Контроль доступом в службах Active Directory облегченного доступа к каталогам (AD LDS) состоит из двух этапов. На первом этапе AD LDS выполняет проверку подлинности удостоверений пользователей, запрашивающих доступ к каталогу. Доступ к каталогу предоставляется только пользователям, успешно прошедшим проверку подлинности. На втором этапе AD LDS использует дескрипторы безопасности, называемые «таблицами управления доступом» (ACL), на объектах каталога, чтобы определить, к каким объектам имеется доступ у пользователя, прошедшего проверку подлинности.

Пользователи, или субъекты безопасности, запрашивают данные каталога от AD LDS с помощью приложений, поддерживающих службу каталога, которые в свою очередь осуществляют запросы к AD LDS, используя протокол LDAP. Перед запросом данных приложение, поддерживающее службу каталога, должно предоставить AD LDS учетные данные пользователя для проверки подлинности или привязки. В запрос входит имя пользователя, пароль и, в зависимости от типа привязки, имя домена или компьютера.

AD LDS может принимать запросы на проверку подлинности или привязку как от субъектов безопасности AD LDS, так и субъектов безопасности Windows (локальных и домена). Проверка подлинности субъектов безопасности AD LDS производится непосредственно службами AD LDS. Проверка подлинности субъектов безопасности Windows осуществляется локальным компьютером. Субъекты безопасности домена должны проходить проверку подлинности на контроллере домена доменных служб Active Directory (AD DS).


Содержание