Active Directory Basit Dizin Hizmetleri (AD LDS) dizin verilerine erişim sağlamak ve erişimi denetlemek için kullanıcı ve gruplardan yararlanır. AD LDS aynı anda hem Windows kullanıcılarını, hem de AD LDS kullanıcılarını destekler. AD LDS dört varsayılan, rol tabanlı grup sağlar. Gerekirse başka AD LDS grupları da oluşturabilirsiniz. Hem Windows kullanıcıları, hem de AD LDS kullanıcıları, AD LDS gruplarının üyesi olabilir. AD LDS içinde AD LDS kullanıcıları oluşturmak için, önce AD LDS ile sağlanan kullanıcı nesnesi tanımlarını almanız gerekir ya da kendi kullanıcı nesne sınıfı tanımlarınızı sağlayabilirsiniz.

Varsayılan gruplar

AD LDS dört varsayılan, rol tabanlı grup sağlar: Administrators, Instances, Readers ve Users. Bu gruplar, yapılandırma bölümlerinde ve her uygulama bölümünde bulunur, şema bölümünde bulunmaz. Bir yapılandırma kümesi içinde, AD LDS diğer dizin verileriyle birlikte bu grupları çoğaltır.

Şu üç grup her dizin bölümünün CN=Roles kapsayıcısı içinde bulunur:

  • Administrators (CN=Administrators,CN=Roles)

  • Readers (CN=Readers,CN=Roles)

  • Users (CN=Users,CN=Roles)

Aşağıdaki grup, yapılandırma dizin bölümünün yalnızca CN=Roles kapsayıcısı içerisinde bulunur:

  • Instances (CN=Instances,CN=Roles)

Aşağıdaki tablo, her gruba atanmış varsayılan üyeler ve varsayılan erişimle birlikte varsayılan AD LDS gruplarını listeler.

Grup Varsayılan üyeler Varsayılan erişim

Yöneticiler

(CN=Administrators,CN=Roles)

Yapılandırma bölümü:

AD LDS kurulumu sırasında atanan AD LDS yöneticileri

Uygulama bölümleri

Yapılandırma bölümünden Administrators grubu

Tüm bölümlere tam erişim

Instances

(CN=Instances,CN=Roles)

Tüm örnekler

 

Readers

(CN=Readers,CN=Roles)

Yok

Bölüme okuma erişimi

Kullanıcılar

(CN=Users,CN=Roles)

Yapılandırma bölümü:

Geçişli olarak tüm AD LDS kullanıcıları

Uygulama bölümleri:

Geçişli olarak, bölümde oluşturulan tüm AD LDS kullanıcıları

Yok

Yapılandırma bölümündeki gruplara, bir AD LDS örneğinin veya yapılandırma kümesinin herhangi bir bölümünde izinler atanabilir. Bir uygulama bölümündeki gruplara yalnız o uygulama bölümünde izinler atanabilir. Windows güvenlik sorumlularına herhangi bir uygulama bölümünde izinler atanabilir.

Güvenlik sorumluları

"Güvenlik sorumlusu" terimi, bir güvenlik tanımlayıcısına (SID) sahip olan ve dizin nesnelerine izin atanabilen nesneleri belirtir. AD LDS'de güvenlik sorumluları, AD LDS'de, yerel bir bilgisayarda veya bir Active Directory Etki Alanı Hizmetleri (AD DS) etki alanında bulunabilir.

Not

Etkin kullanıcının bireysel ve grup SID'lerini rootDSE üzerindeki tokenGroups özniteliğini açık şekilde sorgulayarak alabilirsiniz.

AD LDS güvenlik sorumluları

AD LDS herhangi bir varsayılan güvenlik sorumlusu içermez. Ancak AD LDS, AD LDS'de kullanıcı oluşturmak için kullanabileceğiniz alınabilir şema uzantıları sağlar. Bu kullanıcı sınıflarından oluşturulan kullanıcılar güvenlik sorumlusu olarak kullanılabilir. Buna ek olarak, bir nesne sınıfının şema tanımlamasına msDS-bindableobject yardımcı sınıfını ve unicodePwd özniteliğini ekleyerek AD LDS şemasındaki herhangi bir nesne sınıfını bir güvenlik sorumlusu yapabilirsiniz. Her AD LDS güvenlik sorumlusuna, AD LDS'nin kimlik doğrulama için kullanacağı bir hesap ve parola atanmalıdır.

Windows güvenlik sorumluları

AD LDS, kimlik doğrulama ve erişim denetimi için Windows güvenlik sorumlularının kullanımına izin verir. Etki alanı kullanıcıları ve grupları gibi, yerel Windows kullanıcıları ve grupları da AD LDS ile kullanılabilir. Bunun yanı sıra, Windows güvenlik sorumluları üyeliğini AD LDS gruplarına ve üyelerine ekleyebilirsiniz. Varsayılan olarak, AD LDS kurulumu sırasında AD LDS yöneticisi olarak belirttiğiniz güvenlik sorumlusu, yapılandırma bölümündeki Administrators grubunun üyesi olur. Windows güvenlik sorumluları için, AD LDS kimlik doğrulama için yerel bilgisayardaki (yerel hesaplar için) Yerel Güvenlik Yetkilisi'ne (LSA) veya bir etki alanı denetleyicisindeki (etki alanı hesapları için) LSA'ya dayanır.

Ek başvurular


İçindekiler