将成员添加到 AD LDS 组或从 AD LDS 组删除成员

Active Directory 轻型目录服务 (AD LDS) 依赖用户和组来提供并控制对目录数据的访问。AD LDS 支持同时使用 Windows 用户和 AD LDS 用户。AD LDS 提供四个默认的、基于角色的组。可以根据需要创建其他 AD LDS 组。Windows 用户和 AD LDS 用户都可以是 AD LDS 组的成员。若要在 AD LDS 中创建 AD LDS 用户，必须首先导入随 AD LDS 提供的用户对象类定义，或者可以提供自己的对象类定义。

AD LDS 提供四个默认的、基于角色的组：Administrators、Instances、Readers 和 Users。这些组存在于配置分区中和每个应用程序分区中，但不存在于架构分区中。在配置集内，AD LDS 复制这些组和所有其他目录数据。

AD LDS 实例的 Administrators 组中的成员身份是完成此过程所需的最低要求。默认情况下，在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中管理员组的成员。有关 AD LDS 组的详细信息，请参阅了解 AD LDS 用户和组。

将成员添加到 AD LDS 组或从 AD LDS 组删除成员的步骤

1. 打开 ADSI 编辑器。

2. 连接并绑定到含有要修改的组的 AD LDS 实例。有关详细信息，请参阅使用 ADSI 编辑器管理 AD LDS 实例。

3. 在控制台树中，双击包含要修改的组的目录分区。

4. 右键单击要修改的组，然后单击“属性”。

5. 在“属性”中单击“成员”，然后单击“编辑”。

6. 对于要添加到组中的每个 AD LDS 安全主体，请单击“添加 DN”，键入新成员的可分辨名称，然后单击“确定”。

7. 对于要添加到组中的每个 Windows 安全主体，请单击“添加 Windows 帐户”，键入新成员的帐户名，然后单击“确定”。

8. 对于要从组中删除的每个组成员，单击要删除的成员，然后单击“删除”。

9. 对组做了希望的更改后，单击“确定”两次。

	注意
	在 AD LDS 中，可能发生这样的情况：AD LDS 管理员或对管理员组拥有足够访问权限的用户可以从 AD LDS 的管理员组中删除成员帐户，这可能会导致 AD LDS 没有任何有效的管理员。若要从此情形中恢复正常，作为管理员组的所有者的指定 AD LDS 管理员可以使用相应的帐户重新填充 AD LDS管理员组。

其他注意事项

• 若要打开 ADSI 编辑器，请在已安装 AD LDS 服务器角色的计算机上，依次单击“开始”、“管理工具”和“ADSI 编辑器”。
  
  
• 还可以通过使用 Windows PowerShell 的 Active Directory 模块执行此过程中的任务。若要打开 Active Directory 模块，请依次单击「开始」、“管理工具”和 Windows PowerShell 的 Active Directory 模块。有关详细信息，请参阅“将成员添加到 AD LDS 组或从 AD LDS 组删除成员”(https://go.microsoft.com/fwlink/?LinkId=137812)（可能为英文网页）。有关 Windows PowerShell 的详细信息，请参阅“Windows PowerShell”(https://go.microsoft.com/fwlink/?LinkID=102372)（可能为英文网页）。
  
  

其他参考

• 使用身份验证和访问控制
  
  
• 使用 ADSI 编辑器管理 AD LDS 实例
  
  
• 了解 AD LDS 用户和组
  
  
• 导入随 AD LDS 提供的用户类