Řízení přístupu ve službě AD LDS (Active Directory Lightweight Directory Services) se skládá ze dvou částí. Nejprve služba AD LDS ověřuje identitu uživatelů požadujících přístup k adresáři a povolí přístup k adresáři pouze úspěšně ověřeným uživatelům. Potom služba AD LDS použije u objektů adresáře popisovače zabezpečení označované jako seznamy řízení přístupu (ACL) a s jejich pomocí určí, ke kterým objektům má ověřený uživatel přístup.

Uživatelé, neboli zaregistrované objekty zabezpečení, požadují data adresáře ze služby AD LDS prostřednictvím aplikací pro práci s adresáři, které poté vytvoří požadavky na službu AD LDS pomocí protokolu LDAP (Lightweight Directory Access Protocol). Před vytvořením požadavku na data musí aplikace pro práci s adresáři poskytnout službě AD LDS pověření uživatele, která slouží k ověření neboli vytvoření vazby. Tento požadavek zahrnuje uživatelské jméno, heslo a (v závislosti na typu vazby) název domény nebo počítače.

Služba AD LDS může přijmout požadavky na ověření neboli vazbu od zaregistrovaných objektů zabezpečení služby AD LDS i zaregistrovaných objektů zabezpečení systému Windows (místních nebo doménových). Zaregistrované objekty zabezpečení služby AD LDS jsou ověřovány přímo službou AD LDS. Místní zaregistrované objekty zabezpečení systému Windows jsou ověřovány místním počítačem. Zaregistrované objekty zabezpečení domény musí být ověřeny řadičem domény služby AD DS (Active Directory Domain Services).


Obsah