Die Zugriffssteuerung in Active Directory Lightweight Directory Services (AD LDS) besteht aus zwei Teilen. Zuerst authentifiziert AD LDS die Identität von Benutzern, die Zugriff auf das Verzeichnis anfordern. Nur Benutzer, die erfolgreich authentifiziert wurden, erhalten Zugriff auf das Verzeichnis. Anschließend verwendet AD LDS Sicherheitsbeschreibungen, so genannte Zugriffssteuerungslisten (Access Control Lists, ACLs), für Verzeichnisobjekte, um zu bestimmen, auf welche Objekte ein authentifizierter Benutzer Zugriff hat.

Benutzer oder Sicherheitsprinzipale fordern bei AD LDS Verzeichnisdaten über AD-aktivierte Anwendungen an, die wiederum mithilfe von LDAP (Lightweight Directory Access-Protokoll) Anforderungen an AD LDS senden. Bevor Daten angefordert werden, muss die AD-aktivierte Anwendung AD LDS zur Authentifizierung oder Bindung die Anmeldeinformationen des Benutzers angeben. Diese Anforderung enthält einen Benutzernamen, ein Kennwort sowie (je nach Art der Bindung) einen Domänennamen bzw. Computernamen.

AD LDS kann Anforderungen für die Authentifizierung oder Bindung sowohl von AD LDS-Sicherheitsprinzipalen als auch von Windows-Sicherheitsprinzipalen (lokale und Domänenprinzipale) akzeptieren. AD LDS-Sicherheitsprinzipale werden direkt von AD LDS authentifiziert. Lokale Windows-Sicherheitsprinzipale werden vom lokalen Computer authentifiziert. Domänensicherheitsprinzipale müssen von einem AD DS-Domänencontroller (Active Directory Domain Services, Active Directory-Domänendienste) authentifiziert werden.

Weitere Verweise

Inhaltsverzeichnis