Active Directory ライトウェイト ディレクトリ サービス (AD LDS) のアクセス制御は、2 つの部分で構成されます。最初に、AD LDS は、ディレクトリへのアクセスを要求しているユーザーの ID を認証し、正常に認証されたユーザーにのみディレクトリへのアクセスを許可します。次に、AD LDS は、ディレクトリ オブジェクトのアクセス制御リスト (ACL) と呼ばれるセキュリティ記述子を使用して、認証されたユーザーがアクセスできるオブジェクトを決定します。
ユーザー、またはセキュリティ プリンシパルは、ディレクトリ対応のアプリケーションを使用して AD LDS のディレクトリ データを要求し、ディレクトリ対応のアプリケーションは、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) を使用して AD LDS に要求します。ディレクトリ対応のアプリケーションは、データを要求する前に、認証、つまりバインドするために、ユーザーの資格情報を AD LDS に提示する必要があります。この要求には、ユーザー名とパスワード、およびバインドの種類によってドメイン名またはコンピューター名が含まれます。
AD LDS では、AD LDS セキュリティ プリンシパルと Windows (ローカルおよびドメイン) セキュリティ プリンシパルの両方からの認証、つまりバインドの要求を受け付けることができます。AD LDS セキュリティ プリンシパルは、AD LDS によって直接認証されます。ローカル Windows セキュリティ プリンシパルは、ローカル コンピューターによって認証されます。ドメイン セキュリティ プリンシパルは、Active Directory ドメイン サービス (AD DS) ドメイン コントローラーによって認証される必要があります。