Dans une forêt multi domaine chaque contrôleur de domaine ne gère que les utilisateurs de son domaine. Or il est possible à un utilisateur d'un domaine d'utiliser une ressource d'un autre domaine (si l'administrateur de ce domaine l'autorise). Les contrôleurs de domaine doivent être en mesure de localiser les objets des autres domaines de la forêt. Ce service est rendu par le catalogue global. Il contient également des éléments spécifiques, les groupes universels indispensables au moment de l'ouverture d'une session. Si aucun catalogue global n'est joignable, le contrôleur de domaine ne pourra valider l'authentification et générer le jeton utilisateur contenant les groupes auquel il appartient. Pour certains sites distants, de petite taille, il existe une alternative qui n'oblige pas la mise en place du catalogue global en local : la mise en cache des groupes universels.
Le rôle de catalogue global augmente la consommation de ressources sur le serveur et il peut être utile d'augmenter la mémoire sur ces serveurs. Certaines applications comme Microsoft Exchange interrogent régulièrement le catalogue global et il est important de disposer d'un catalogue global sur les sites ou sont déployés les serveurs de messagerie.
Il est recommandé de disposer d'un catalogue global sur un site si :
-
Le site a plus de 100 utilisateurs
-
Le site héberge une application effectuant un nombre élevé de requêtes sur le catalogue global.
Si un site contenant peu d'utilisateurs, dispose d'un contrôleur de domaine, il est recommandé d'activer la mise en cache des groupes universels si le contrôleur de domaine n'est pas catalogue global et si les connexions ne sont pas 100 % fiables.
Un cas particulier concerne les forêts avec un seul domaine. Dans la pratique c'est sans doute le cas le plus fréquemment rencontré. Dans une forêt avec un domaine unique, il est recommandé d'activer le catalogue global sur tous les contrôleurs de domaine.