AD LDS(Active Directory Lightweight Directory Services)는 사용자 및 그룹을 통해 디렉터리 데이터에 대한 액세스를 제공하고 제어합니다. AD LDS는 Windows 사용자와 AD LDS 사용자가 동시에 사용할 수 있습니다. AD LDS는 4가지 기본 역할 기반 그룹을 제공합니다. 필요하면 추가적인 AD LDS 그룹을 만들 수 있습니다. Windows 사용자와 AD LDS 사용자 모두 AD LDS 그룹의 구성원이 될 수 있습니다. AD LDS에서 AD LDS 사용자를 만들려면 먼저 AD LDS와 함께 제공되는 사용자 개체 클래스 정의를 가져와야 합니다. 또는 직접 만든 사용자 개체 정의를 제공해도 됩니다.
기본 그룹
AD LDS는 Administrators, Instances, Readers 및 Users의 4가지 기본 역할 기반 그룹을 제공합니다. 이러한 그룹은 구성 파티션과 각 응용 프로그램 파티션에 있고 스키마 파티션에는 없습니다. 구성 집합 내에서 AD LDS는 이 그룹을 다른 모든 디렉터리 데이터와 함께 복제합니다.
다음의 세 그룹은 각 디렉터리 파티션의 CN=Roles 컨테이너에 있습니다.
-
Administrators(CN=Administrators,CN=Roles)
-
Readers(CN=Readers,CN=Roles)
-
Users(CN=Users,CN=Roles)
다음 그룹은 구성 디렉터리 파티션의 CN=Roles 컨테이너에만 있습니다.
-
Instances(CN=Instances,CN=Roles)
다음 표에서는 기본 AD LDS 그룹을 각 그룹에 할당된 기본 구성원 및 기본 액세스 권한과 함께 나열합니다.
| 그룹 | 기본 구성원 | 기본 액세스 권한 |
|---|---|---|
|
Administrators (CN=Administrators,CN=Roles) |
구성 파티션: AD LDS 설치 시 할당된 AD LDS 관리자 응용 프로그램 파티션: 구성 파티션의 Administrators 그룹 |
모든 파티션에 대한 모든 액세스 권한 |
|
Instances (CN=Instances,CN=Roles) |
모든 인스턴스 |
|
|
Readers (CN=Readers,CN=Roles) |
없음 |
파티션 읽기 권한 |
|
Users (CN=Users,CN=Roles) |
구성 파티션: 전이적으로, 모든 AD LDS 사용자 응용 프로그램 파티션: 전이적으로, 파티션에서 만들어진 모든 AD LDS 사용자 |
없음 |
구성 파티션의 그룹에는 AD LDS 인스턴스 또는 구성 집합의 어느 파티션에서나 사용 권한을 할당할 수 있습니다. 응용 프로그램 파티션의 그룹에는 해당 응용 프로그램 파티션에서만 사용 권한을 할당할 수 있습니다. 어느 응용 프로그램 파티션에서나 Windows 보안 주체에 사용 권한을 할당할 수 있습니다.
보안 주체
"보안 주체"라는 용어는 SID(보안 식별자)를 가지고 있으며 디렉터리 개체에 대한 사용 권한을 할당 받을 수 있는 개체를 나타냅니다. AD LDS에서 보안 주체는 AD LDS, 로컬 컴퓨터 또는 AD DS(Active Directory 도메인 서비스) 도메인에 있을 수 있습니다.
 | 참고 |
|
rootDSE에서 tokenGroups 특성을 명시적으로 쿼리하여 활성 사용자의 개별 및 그룹 SID를 검색할 수 있습니다. |
AD LDS 보안 주체
AD LDS에는 기본 보안 주체가 포함되어 있지 않습니다. 그러나 AD LDS에서 사용자를 만드는 데 사용할 수 있는 가져오기가 가능한 스키마 확장을 제공합니다. 이 사용자 클래스로부터 만든 사용자를 보안 주체로 사용할 수 있습니다. 또한 msDS-bindableobject 보조 클래스 및 unicodePwd 특성을 개체 클래스의 스키마 정의에 추가함으로써 AD LDS 스키마에 있는 개체 클래스를 보안 주체로 만들 수 있습니다. 각 AD LDS 보안 주체에는 AD LDS에서 인증에 사용하는 계정과 암호가 할당되어야 합니다.
Windows 보안 주체
AD LDS에서는 Windows 보안 주체를 사용하여 인증하고 액세스를 제어할 수 있습니다. 도메인 사용자 및 그룹은 물론 로컬 Windows 사용자 및 그룹도 AD LDS에서 사용할 수 있습니다. 또한 Windows 보안 주체 구성원을 AD LDS 그룹에 구성원으로 추가할 수 있습니다. 기본적으로 AD LDS를 설치하는 동안 AD LDS 관리자로 지정된 보안 주체는 구성 파티션에서 Administrators 그룹의 구성원이 됩니다. Windows 보안 주체에 대해 AD LDS는 로컬 계정의 경우 로컬 컴퓨터의 LSA(로컬 보안 기관)를 인증에 사용하고 도메인 계정의 경우 도메인 컨트롤러의 LSA를 인증에 사용합니다.