Active Directory Lightweight Directory Services (AD LDS) se vale de los usuarios y los grupos para ofrecer y controlar el acceso a los datos del directorio. AD LDS permite el uso simultáneo de usuarios de Windows y de AD LDS. AD LDS proporciona cuatro grupos predeterminados basados en roles. Puede crear más grupos de AD LDS a medida que los necesite. Tanto usuarios de Windows como de AD LDS pueden ser miembros de los grupos de AD LDS. Para crear usuarios de AD LDS en AD LDS, debe importar en primer lugar las definiciones de clases de objetos de usuario suministradas con AD LDS o incluir sus propias definiciones de objetos de usuario.

Grupos predeterminados

AD LDS proporciona cuatro grupos predeterminados basados en roles: Administradores, Instancias, Lectores y Usuarios. Estos grupos se encuentran en la partición de configuración y en cada una de las particiones de aplicaciones, pero no en la partición de esquema. En un conjunto de configuración, AD LDS replica estos grupos junto con los demás datos de directorio.

Los tres grupos siguientes se encuentran en el contenedor CN=Roles de cada partición de directorio:

  • Administradores (CN=Administrators,CN=Roles)

  • Lectores (CN=Readers,CN=Roles)

  • Usuarios (CN=Users,CN=Roles)

El grupo siguiente se encuentra sólo en el contenedor CN=Roles de la partición de directorio de configuración:

  • Instancias (CN=Instances,CN=Roles)

En la siguiente tabla se muestran los grupos predeterminados de AD LDS, junto con los miembros y los accesos predeterminados asignados a cada grupo.

Grupo Miembros predeterminados Acceso predeterminado

Administradores

(CN=Administrators,CN=Roles)

Partición de configuración:

Administradores de AD LDS que se asignan durante la instalación de AD LDS

Particiones de aplicaciones:

Grupo Administradores de la partición de configuración

Acceso completo a todas las particiones

Instancias

(CN=Instances,CN=Roles)

Todas las instancias

 

Lectores

(CN=Readers,CN=Roles)

Ninguno

Acceso de lectura a la partición

Usuarios

(CN=Users,CN=Roles)

Partición de configuración:

De manera transitiva, todos los usuarios de AD LDS

Particiones de aplicaciones:

De manera transitiva, todos los usuarios de AD LDS que se han creado en la partición

Ninguno

Es posible asignar a los grupos de la partición de configuración permisos en cualquier partición de un conjunto de configuración o instancia de AD LDS. A los grupos de una partición de aplicaciones sólo se les pueden asignar permisos en esa partición de aplicaciones. A las entidades de seguridad de Windows se les pueden asignar permisos en cualquier partición de aplicaciones.

Entidades de seguridad

El término "entidad de seguridad" hace referencia a cualquier objeto que tenga un identificador de seguridad (SID) y al que se le puedan asignar permisos para objetos de directorio. En AD LDS, las entidades de seguridad pueden encontrarse en AD LDS, en un equipo local o en un dominio de los Servicios de dominio de Active Directory (AD DS).

Nota

Puede recuperar el SID individual y el de grupo de un usuario activo consultando explícitamente el atributo tokenGroups de rootDSE.

Entidades de seguridad de AD LDS

AD LDS no incluye ninguna entidad de seguridad predeterminada. No obstante, ofrece extensiones de esquema que se pueden importar y usar para crear usuarios en AD LDS. Los usuarios creados a partir de esas clases de usuario se pueden usar como entidades de seguridad. Además, puede convertir cualquier clase de objeto del esquema de AD LDS en una entidad de seguridad agregando la clase auxiliar msDS-bindableobject y el atributo unicodePwd a la definición de esquema de una clase de objeto. A cada entidad de seguridad de AD LDS se le debe asignar una cuenta y una contraseña, que AD LDS usará para su autenticación.

Entidades de seguridad de Windows

AD LDS permite el uso de las entidades de seguridad de Windows para la autenticación y el control de acceso. Los usuarios y grupos locales de Windows, así como los usuarios y grupos de dominio, se pueden usar con AD LDS. Además, puede agregar la pertenencia a entidades de seguridad de Windows a los grupos y miembros de AD LDS. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalación se convertirá en miembro del grupo Administradores de la partición de configuración. En el caso de las entidades de seguridad de Windows, AD LDS usa la Autoridad de seguridad local (LSA) del equipo local (para cuentas locales) o la LSA de un controlador de dominio (para cuentas de dominio) para llevar a cabo la autenticación.

Referencias adicionales


Tabla de contenido