Службы Active Directory облегченного доступа к каталогам (AD LDS) используют пользователей и группы для обеспечения доступа к данным каталога и управления доступом. AD LDS поддерживает одновременное использование пользователей Windows и пользователей AD LDS. В AD LDS имеются четыре стандартные группы, основанные на ролях. По мере необходимости можно создавать дополнительные группы AD LDS. Членами групп AD LDS могут быть как пользователи Windows, так и пользователи AD LDS. Чтобы создать пользователей AD LDS, необходимо сначала импортировать определения класса объекта-пользователя, поставляемые с AD LDS, или применить собственные определения объекта-пользователя.
Стандартные группы
В AD LDS имеются четыре стандартные группы, основанные на ролях: «Администраторы», «Экземпляры», «Устройства чтения» и «Пользователи». Эти группы размещаются в разделе конфигурации и в разделе каждого приложения, но не в разделе схемы. В пределах набора конфигурации AD LDS реплицирует эти группы наряду со всеми остальными данными каталога.
Следующие три группы располагаются в контейнере CN=Roles каждого раздела каталога:
-
Администраторы (CN=Administrators,CN=Roles)
-
Устройства чтения (CN=Readers,CN=Roles)
-
Пользователи (CN=Users,CN=Roles)
Следующая группа располагается только в контейнере CN=Roles раздела каталога конфигурации:
-
Экземпляры (CN=Instances,CN=Roles)
В следующей таблице перечислены стандартные группы AD LDS, а также стандартные члены и стандартный доступ, предоставленный каждой из групп.
| Группа | Стандартные члены | Стандартный доступ |
|---|---|---|
|
Администраторы (CN=Administrators,CN=Roles) |
Раздел конфигурации: Администраторы AD LDS. Назначаются при установке. Разделы приложений: Группа «Администраторы» из раздела конфигурации |
Полный доступ ко всем разделам |
|
Экземпляры (CN=Instances,CN=Roles) |
Все экземпляры |
|
|
Устройства чтения (CN=Readers,CN=Roles) |
Нет |
Доступ для чтения к разделу |
|
Пользователи (CN=Users,CN=Roles) |
Раздел конфигурации: Транзитивно все пользователи AD LDS Разделы приложений: Транзитивно все пользователи AD LDS, созданные в данном разделе |
Нет |
Группам из раздела конфигурации могут быть назначены полномочия в любом разделе экземпляра AD LDS или набора конфигурации. Группам из раздела приложения могут быть назначены полномочия только в данном разделе приложения. Субъектам безопасности Windows могут быть назначены полномочия в любом разделе приложения.
Субъекты безопасности
Термин «субъект безопасности» применим к любому объекту, который имеет идентификатор безопасности (SID) и для которого могут быть определены полномочия доступа к объектам каталога. В AD LDS субъекты безопасности могут располагаться в AD LDS, на локальном компьютере или в домене доменных служб Active Directory (AD DS).
 | Примечание |
|
Идентификаторы безопасности (SID) активных индивидуальных пользователей и групп пользователей можно извлечь с помощью явного запроса атрибута tokenGroups на rootDSE. |
Субъекты безопасности AD LDS
По умолчанию в AD LDS нет субъектов безопасности. В то же время AD LDS обеспечивает импортируемые расширения схемы, которые можно использовать для создания пользователей. Пользователи, созданные из этих пользовательских классов, могут использоваться в качестве субъектов безопасности. Кроме того, любой объектный класс в схеме AD LDS можно сделать субъектом безопасности, добавив к определению схемы объектного класса вспомогательный класс msDS-bindableobject и атрибут unicodePwd. Каждому субъекту безопасности AD LDS должны быть назначены учетная запись и пароль, который AD LDS будет использовать для проверки подлинности.
Субъекты безопасности Windows
AD LDS позволяет использовать субъектов безопасности Windows для проверки подлинности и управления доступом. С AD LDS могут использоваться локальные пользователи и группы Windows, а также пользователи и группы домена. Кроме того, к группам AD LDS можно добавлять субъектов безопасности Windows посредством членства. По умолчанию субъект безопасности, указанный во время настройки AD LDS как администратор AD LDS, становится членом группы «Администраторы» в разделе конфигурации. Для проверки подлинности субъектов безопасности Windows служба AD LDS использует локального администратора безопасности (LSA) на локальном компьютере (для локальных учетных записей) или LSA на контроллере домена (для учетных записей домена).