Active Directory 輕量型目錄服務 (AD LDS) 可為具有目錄功能的應用程式提供資料儲存與擷取功能,而不需 Active Directory 網域服務 (AD DS) 需要的其他外在依賴條件。AD LDS 提供許多與 AD DS 相同的功能,但是不需要部署網域或網域控制站。與 Active Directory Federation Services (AD FS) 使用 AD DS 帳戶存放區資訊的方法類似,AD FS 也會從 AD LDS 擷取使用者屬性,而且若您設定 AD FS 使用 AD LDS 做為帳戶存放區,就會驗證使用者的 AD LDS。
若要完成此程序,至少需要本機 Administrators 群組的成員資格或同等權限。 請參閱有關使用適當帳戶與群組成員資格的詳細資料,網址位於:
您可以使用下列程序將 AD LDS 帳戶存放區新增至 AD FS 設定。
 | 新增 AD LDS 帳戶存放區 |
按一下 [開始],指向 [系統管理工具],然後按一下 [Active Directory Federation Services]。
在主控台樹狀目錄中,依序按兩下 [Federation Service]、[信任原則] 與 [我的組織]。
在 [帳戶存放區] 上按一下滑鼠右鍵,指向 [新增],然後按一下 [帳戶存放區]。
在 [歡迎使用新增帳戶存放區精靈] 頁上,按 [下一步]。
在 [帳戶存放區類型] 頁上,按一下 [Active Directory 輕量型目錄服務 (AD LDS)],再按 [下一步]。
在 [AD LDS 存放區詳細資料] 頁上執行下列作業,然後按 [下一步]:
-
在 [帳戶存放區顯示名稱] 中,輸入帳戶存放區的好記名稱。
-
在 [帳戶存放區 URI] 中,輸入 AD LDS 帳戶存放區的統一資源識別項 (URI)。
-
在 [帳戶存放區顯示名稱] 中,輸入帳戶存放區的好記名稱。
在 [AD LDS 伺服器設定] 頁上執行下列作業,然後按 [下一步]:
-
在 [AD LDS 伺服器名稱或 IP 位址] 中,輸入 AD LDS 伺服器的名稱或 IP 位址。
-
在 [連接埠號碼] 中,輸入帳戶服務的 TCP/IP 連接埠號碼。
-
在 [LDAP 搜尋基準辨別名稱] 中輸入辨別名稱,如 DC=adatum,DC=com。
-
在 [使用者名稱 LDAP 屬性] 中,輸入使用者名稱屬性的名稱,如 userPrincipalName。
-
在 [AD LDS 伺服器名稱或 IP 位址] 中,輸入 AD LDS 伺服器的名稱或 IP 位址。
在 [識別宣告] 頁中,選取將由帳戶存放區提供的一或多個識別宣告,然後按 [下一步]:
-
若帳戶存放區提供了 UPN 識別宣告,請選取 [使用者主體名稱 (UPN)] 核取方塊,然後輸入輕量型目錄存取通訊協定 (LDAP) 屬性名稱。
-
若帳戶存放區提供了電子郵件識別宣告,請選取 [電子郵件] 核取方塊,然後輸入 LDAP 屬性名稱。
-
若帳戶存放區提供了一般名稱識別宣告,請選取 [一般名稱] 核取方塊,然後輸入 LDAP 屬性名稱。
-
若帳戶存放區提供了 UPN 識別宣告,請選取 [使用者主體名稱 (UPN)] 核取方塊,然後輸入輕量型目錄存取通訊協定 (LDAP) 屬性名稱。
若不立即啟用此帳戶存放區,請在 [啟用這個帳戶存放區] 頁上,清除 [啟用這個帳戶存放區] 核取方塊,然後按 [下一步]。
若要新增新的帳戶存放區並關閉精靈,請按一下 [完成]。
 | 附註 |
|
AD FS 無法驗證帳戶名稱中含有括弧的 AD LDS 帳戶。帳戶的使用者名稱中若含有左括弧,使用者名稱將形成無效的 LDAP 篩選,進而使 LDAP 搜尋失敗。 |