Active Directory Basit Dizin Hizmetleri'nde (AD LDS) erişim denetimi iki bölümden oluşur. Önce, AD LDS, dizine erişim isteyen kullanıcıların kimliklerini doğrular ve yalnızca kimlik doğrulaması başarılı olmuş kullanıcıların dizine erişimine izin verir. Ardından AD LDS, kimliği doğrulanmış bir kullanıcının hangi nesnelere erişebileceğini belirlemek için dizin nesnelerinde, erişim denetim listesi (ACL) adı verilen güvenlik tanımlayıcılarını kullanır.

Kullanıcılar veya güvenlik sorumluları AD LDS'dan dizin altyapılı uygulamalar yoluyla dizin verisi ister, sonra da Basit Dizin Erişim Protokolü (LDAP) kullanarak AD LDS'ye istekte bulunurlar. Dizin altyapılı uygulama, veri isteğinde bulunmadan önce kimlik doğrulama veya bağlama için AD LDS'ye kullanıcı kimlik bilgilerini sunmalıdır. Bu istek bir kullanıcı adı, parola ve bağlama türüne bağlı olarak etki alanı veya bilgisayar adı içerir.

AD LDS, hem AD LDS güvenlik sorumlularından, hem de Windows (yerel ve etki alanı) güvenlik sorumlularından kimlik doğrulama veya bağlama istekleri kabul edebilir. AD LDS güvenlik sorumlularının kimlik doğrulaması doğrudan AD LDS tarafından yapılır. Yerel Windows güvenlik sorumlularının kimlik doğrulaması yerel bilgisayar tarafından yapılır. Etki alanı güvenlik sorumlularının kimlik doğrulaması Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicisi tarafından yapılmalıdır.


İçindekiler