De toegang tot directorygegevens in AD LDS (Active Directory Lightweight Directory Services) wordt beheerd door middel van gebruikers en groepen. Zowel Windows-gebruikers als AD LDS-gebruikers kunnen tegelijkertijd gebruikmaken van AD LDS. AD LDS beschikt over vier standaardgroepen die op rollen zijn gebaseerd. Als het nodig is, kunt u extra AD LDS-groepen maken. Zowel Windows-gebruikers als AD LDS-gebruikers kunnen lid zijn van AD LDS-groepen. Als u AD LDS-gebruikers wilt maken in AD LDS, importeert u eerst de definities voor gebruikersobjectklassen die bij AD LDS worden geleverd of maakt u zelf definities voor gebruikersobjecten.

Standaardgroepen

AD LDS beschikt over vier standaardgroepen die op rollen zijn gebaseerd: Administrators, Instanties, Lezers en Gebruikers. Deze groepen bevinden zich in de configuratiepartitie en in elke toepassingspartitie, maar niet in de schemapartitie. Binnen een configuratieset repliceert AD LDS deze groepen samen met alle overige directorygegevens.

De volgende drie groepen bevinden zich in de container CN=Roles van elke mappartitie:

  • Administrators (CN=Administrators,CN=Roles)

  • Lezers (CN=Readers,CN=Roles)

  • Gebruikers (CN=Readers,CN=Roles)

De volgende groep bevindt zich alleen in de container CN=Roles van elke configuratiemappartitie:

  • Exemplaren (CN=Instances,CN=Roles)

De volgende tabel bevat de standaardgroepen van AD LDS en de standaardleden en de standaardtoegang die aan elke groep zijn toegewezen.

Groep Standaardleden Standaardtoegang

Administrators

Administrators (CN=Administrators,CN=Roles)

Configuratiepartitie:

AD LDS-administrators die tijdens de installatie van AD LDS zijn toegewezen

Toepassingspartities:

De groep Administrators uit de configuratiepartitie

Volledige toegang tot alle partities

Exemplaren

(CN=Instances,CN=Roles)

Alle exemplaren

 

Lezers

(CN=Readers,CN=Roles)

Geen

Leestoegang tot de partitie

Gebruikers

(CN=Users,CN=Roles)

Configuratiepartitie:

Transitief, alle AD LDS-gebruikers

Toepassingspartities:

Transitief, alle AD LDS-gebruikers die in de partitie zijn gemaakt

Geen

Aan groepen uit de configuratiepartitie kunnen machtigingen worden toegewezen in elke partitie van een AD LDS-exemplaar of -configuratieset. Aan groepen uit een toepassingspartitie kunnen alleen machtigingen worden toegewezen in die toepassingspartitie. Aan Windows-beveiligings-principals kunnen machtigingen worden toegewezen in elke toepassingspartitie.

Beveiligings-principals

De term beveiligings-principal verwijst naar een object dat een beveiligings-id (SID) heeft en waaraan machtigingen voor directoryobjecten kunnen worden toegewezen. In AD LDS kunnen beveiligings-principals zich bevinden in AD LDS, op een lokale computer of in een AD DS-domein (Active Directory Domain Services).

Opmerking

U kunt de individuele SID's en groeps-SID's van actieve gebruikers ophalen door expliciet het kenmerk tokenGroups van de rootDSE op te vragen.

Beveiligings-principals van AD LDS

In AD LDS zijn geen standaardbeveiligings-principals opgenomen. AD LDS beschikt echter wel over schema-uitbreidingen die u kunt importeren om gebruikers te maken in AD LDS. Gebruikers die op basis van deze gebruikersklassen zijn gemaakt, kunnen als beveiligings-principals worden gebruikt. Bovendien kunt u van elke objectklasse in het AD LDS-schema een beveiligings-principal maken door de hulpklasse msDS-bindableobject en het kenmerk unicodePwd toe te voegen aan de schemadefinitie van een objectklasse. Aan elke AD LDS-beveiligings-principal moeten een account en een wachtwoord worden toegewezen dat AD LDS gebruikt voor verificatie.

Windows-beveiligings-principals

In AD LDS kunnen Windows-beveiligings-principals worden gebruikt voor verificatie en toegangsbeheer. Met AD LDS kunnen zowel lokale Windows-gebruikers en -groepen als domeingebruikers en -groepen worden gebruikt. Bovendien kunt u AD LDS-groepen lid maken van Windows-beveiligings-principals. Standaard wordt de beveiligings-principal die u tijdens de installatie van AD LDS als de AD LDS-administrator opgeeft, een lid van de groep Administrators in de configuratiepartitie. Voor Windows-beveiligings-principals gebruikt AD LDS de LSA (Local Security Authority) op de lokale computer (voor lokale accounts) of de LSA op een domeincontroller (voor domeinaccounts) voor verificatie.

Aanvullende naslaginformatie


Inhoudsopgave