AD LDS(Active Directory Lightweight Directory Services)에서의 액세스 제어는 두 부분으로 구성됩니다. 첫째, AD LDS는 성공적으로 인증된 사용자에게만 디렉터리 액세스를 허용하도록 디렉터리에 대한 액세스를 요청하는 사용자의 ID를 인증합니다. 둘째, AD LDS는 디렉터리 개체의 액세스 제어 목록(ACL)이라고 하는 보안 설명자를 사용하여 인증된 사용자가 액세스할 수 있는 개체를 결정합니다.
사용자나 보안 주체는 디렉터리 사용 응용 프로그램을 통해 AD LDS의 디렉터리 데이터를 요청합니다. 그러면 디렉터리 사용 응용 프로그램은 LDAP(Lightweight Directory Access Protocol)를 사용하여 AD LDS에 요청합니다. 데이터를 요청하기 전에 디렉터리 사용 응용 프로그램은 인증이나 바인딩을 위해 AD LDS에 사용자의 자격 증명을 제공해야 합니다. 이 요청에는 사용자 이름, 암호 및 바인딩 종류에 따라 도메인 이름이나 컴퓨터 이름이 포함됩니다.
AD LDS에서는 AD LDS 보안 주체 및 Windows(로컬 및 도메인) 보안 주체 모두의 인증 또는 바인딩 요청을 수락할 수 있습니다. AD LDS 보안 주체는 AD LDS에서 직접 인증됩니다. 로컬 Windows 보안 주체는 로컬 컴퓨터에서 인증됩니다. 도메인 보안 주체는 AD DS(Active Directory 도메인 서비스) 도메인 컨트롤러에서 인증되어야 합니다.