Služba AD LDS (Active Directory Lightweight Directory Services) využívá k zajištění a řízení přístupu k datům adresáře uživatele a skupiny. Podporuje souběžné používání uživatelů systému Windows a uživatelů služby AD LDS. Služba AD LDS poskytuje čtyři výchozí skupiny založené na rolích. Podle potřeby můžete vytvořit další skupiny služby AD LDS. Členy skupin služby AD LDS mohou být uživatelé systému Windows i uživatelé služby AD LDS. Aby bylo možné vytvořit uživatele služby AD LDS v úložišti služby AD LDS, je třeba nejprve naimportovat definice tříd objektů uživatele, které jsou dodávány se službou AD LDS, nebo zadat vlastní definice objektů uživatele.
Výchozí skupiny
Služba AD LDS poskytuje čtyři výchozí skupiny založené na rolích: Administrators, Instances, Readers a Users. Tyty skupiny jsou uloženy v oddílu konfigurace a v každém oddílu aplikace, nikoli však v oddílu schématu. V rámci konfigurační sady služba AD LDS replikuje tyto skupiny společně se všemi ostatními daty adresáře.
Následující tři skupiny jsou uloženy v kontejneru CN=Roles každého oddílu adresáře:
-
Administrators (CN=Administrators,CN=Roles)
-
Readers (CN=Readers,CN=Roles)
-
Users (CN=Users,CN=Roles)
Následující skupina je uložena pouze v kontejneru CN=Roles oddílu adresáře konfigurace:
-
Instances (CN=Instances,CN=Roles)
V následující tabulce jsou uvedeny výchozí skupiny služby AD LDS společně s výchozími členy a výchozím přístupem přiřazeným každé skupině.
| Skupina | Výchozí členové | Výchozí přístup |
|---|---|---|
|
Administrators (CN=Administrators,CN=Roles) |
Oddíl konfigurace: Správci služby AD LDS, kteří jsou přiřazeni během instalace služby AD LDS Oddíly aplikace: Skupina Administrators z oddílu konfigurace |
Úplný přístup ke všem oddílům |
|
Instances (CN=Instances,CN=Roles) |
Všechny instance |
|
|
Readers (CN=Readers,CN=Roles) |
Žádný |
Oprávnění ke čtení z oddílu |
|
Users (CN=Users,CN=Roles) |
Oddíl konfigurace: Přechodně všichni uživatelé služby AD LDS Oddíly aplikace: Přechodně všichni uživatelé služby AD LDS vytvoření v oddíle |
Žádný |
Skupinám z oddílu konfigurace lze přiřadit oprávnění v jakémkoli oddílu instance služby AD LDS nebo konfigurační sady. Skupinám z oddílu aplikace lze přiřadit oprávnění pouze v daném oddílu aplikace. Zaregistrovaným objektům zabezpečení systému Windows lze přiřadit oprávnění v libovolném oddílu aplikace.
Zaregistrované objekty zabezpečení
Termín zaregistrovaný objekt zabezpečení se vztahuje na všechny objekty s identifikátorem zabezpečení (SID), kterým lze přiřadit oprávnění k objektům adresáře. V případě služby AD LDS mohou být zaregistrované objekty zabezpečení uloženy v úložišti služby AD LDS, v místním počítači nebo v doméně služby AD DS (Active Directory Domain Services).
 | Poznámka |
|
Jednotlivé nebo skupinové identifikátory SID aktivních uživatelů je možné načíst výslovným zadáním dotazu na atribut tokenGroups objektu rootDSE. |
Zaregistrované objekty zabezpečení služby AD LDS
Služba AD LDS nezahrnuje žádné výchozí zaregistrované objekty zabezpečení. Poskytuje však importovatelná rozšíření schémat, pomocí kterých lze vytvářet uživatele ve službě AD LDS. Uživatele vytvořené z těchto tříd uživatelů lze používat jako zaregistrované objekty zabezpečení. Navíc můžete z libovolné třídy objektů ve schématu služby AD LDS vytvořit zaregistrovaný objekt zabezpečení přidáním pomocné třídy msDS-bindableobject a atributu unicodePwd do definice schématu třídy objektů. Každému zaregistrovanému objektu zabezpečení služby AD LDS je nutné přiřadit účet a heslo, které služba AD LDS používá k ověřování.
Zaregistrované objekty zabezpečení systému Windows
Služba AD LDS umožňuje používání zaregistrovaných objektů zabezpečení systému Windows k ověřování a řízení přístupu. Se službou AD LDS lze používat místní uživatele a skupiny systému Windows a také uživatele a skupiny domény. Navíc lze členství zaregistrovaných objektů zabezpečení systému Windows přidávat do skupin služby AD LDS jako členy. Ve výchozím nastavení se zaregistrovaný objekt zabezpečení, který během instalace služby AD LDS určíte jako správce služby AD LDS, stane členem skupiny Administrators v oddílu konfigurace. V případě zaregistrovaných objektů zabezpečení systému Windows služba AD LDS využívá k ověřování místní úřad zabezpečení (LSA) v místním počítači (pro místní účty) nebo místní úřad zabezpečení v řadiči domény (pro účty domény).