Universal Group Membership Caching

Universal Group Membership Caching

در مدیریت گروه ها اشاره شد که نوعی از گروه ها (Group Scope) به نام Universal وجود دارد که می توانند شامل اشیاء (کاربران و گروه های دیگری) از چند دامین در یک Forest (جنگل) باشند. تمام Membership های unversal group از طریق Global Catalog (کاتالوگ جهانی) Replicate خواهد شد. زمانی که یک کاربر logon می کند، عضویت کاربر در Unversal Group ها توسط GC معین می گردد. اگر GC  در دسترس نباشد آنگاه Membership ها در Universal Group در دسترس نخواهد بود. از سوی دیگر، ممکن است از یک unversal group برای deny کردن دسترسی (جلوگیری از دسترسی) به منبعی استفاده شده باشد. ویندوز به دلیل عدم بروز مشکل امنیتی به این دلیل از Authentication کاربر سرباز می زند. اگر کاربر قبل از down شدن GC به سیستم وارد شده باشد، با استفاده از cache شدن Credential می تواند به سیستم وارد شود. اما در زمانی که می خواهد به یک منبع از طریق شبکه دسترسی پیدا کند، دسترسی Deny خواهد شد. به صورت خلاصه؛ اگر Global Catalog در دسترس نباشد، به طرز موثری کاربران از دسترسی به منابع روی شبکه باز خواهند ماند.

اگر تمام DC ها GC نیز باشند، این مسئله بر طرف می گردد. از این رو همواره تذکر داده می شود که به صورت ایده آل تمام DC ها GC هستند. اما از سوی دیگر Replication یک نگرانی است و این مسئله سبب می شود که تا از شرایط ایده آل فاصله بگیریم. از این رو، با استفاده از راهکار Universal Group Membership Caching یا UGMC روشی فرآهم می آید تا در صورت در دسترس نبود GC مشکلات به حداقل برسد. به عنوان مثال، زمانی که UGMC روی یک DC در شعبه سازمان تنظیم شده باشد، زمانی که کاربر logon می کند، DC اطلاعات Unversal Group Membership را از GC به دست می آورد و آن اطلاعات را برای مدت نامحدودی Cache می کند. هر هشت ساعت یک بار، DC تلاش می کند تا با استفاده از GC آن اطلاعات را به روز کند. بنابراین اگر کاربر در زمانی که GC در دسترس نیست logon کند، DC می تواند از اطلاعات Cache شده ی خود برای تعیین دسترسی کاربر استفاده کند.

از این رو، شدیدا توصیه می گردد در سایت هایی که دارای یک Link قابل اعتماد (Reliable) به یک GC نیستند قابلیت UGMC را در DC های آن ها فعال کنید. برای تنظیم UGMC:

1) به کنسول Active Directory Sites and Services رفته و سایت مورد نظر را انتخاب کنید.

2) روی NTDS Site Settings کلیک راست کرده و properties را بزنید.

3) در زبانه Site Settings می توانید قابلیت Universal Group Membership Caching فعال/غیرفعال کنید.

image

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *