In Active Directory Lightweight Directory Services (AD LDS) wird der Zugriff auf Verzeichnisdaten über Benutzer und Gruppen bereitgestellt und gesteuert. AD LDS unterstützt die gleichzeitige Verwendung von Windows-Benutzern und AD LDS-Benutzern. AD LDS stellt vier rollenbasierte Standardgruppen bereit. Bei Bedarf können Sie weitere AD LDS-Gruppen erstellen. Sowohl Windows-Benutzer als auch AD LDS-Benutzer können Mitglieder von AD LDS-Gruppen sein. Zum Erstellen von AD LDS-Benutzern in AD LDS müssen Sie zunächst die mit AD LDS bereitgestellten Benutzerobjekt-Klassendefinitionen importieren oder eigene Benutzerobjekt-Klassendefinitionen angeben.
AD LDS stellt vier rollenbasierte Standardgruppen bereit: Administratoren, Instanzen, Leser und Benutzer. Diese Gruppen sind in der Konfigurationspartition und in jeder Anwendungspartition vorhanden, aber nicht in der Schemapartition. Innerhalb eines Konfigurationssatzes werden die Gruppen von AD LDS zusammen mit allen anderen Verzeichnisdaten repliziert.
Die Mitgliedschaft in der Gruppe Administratoren der AD LDS-Instanz ist mindestens erforderlich, um dieses Verfahren ausführen zu können. Das Sicherheitsprinzipal, das Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition. Weitere Informationen zu AD LDS-Gruppen finden Sie unter Grundlegendes zu AD LDS-Benutzern und -Gruppen.
So fügen Sie Mitglieder zu einer AD LDS-Gruppe hinzu oder entfernen Mitglieder aus dieser |
Öffnen Sie den ADSI-Editor.
Stellen Sie eine Verbindung und eine Bindung mit der AD LDS-Instanz her, die die zu ändernde Gruppe enthält. Weitere Informationen finden Sie unter Verwenden des ADSI-Editors zum Verwalten einer AD LDS-Instanz.
Doppelklicken Sie in der Konsolenstruktur auf die Verzeichnispartition mit der Gruppe, die Sie ändern möchten.
Klicken Sie mit der rechten Maustaste auf die zu ändernde Gruppe, und klicken Sie dann auf Eigenschaften.
Klicken Sie unter Attribute auf Mitglied, und klicken Sie dann auf Bearbeiten.
Klicken Sie für jedes AD LDS-Sicherheitsprinzipal, das Sie der Gruppe hinzufügen möchten, auf DN hinzufügen, geben Sie den definierten Namen des neuen Mitglieds ein, und klicken Sie dann auf OK.
Klicken Sie für jedes Windows-Sicherheitsprinzipal, das Sie der Gruppe hinzufügen möchten, auf Windows-Konto hinzufügen, geben Sie den Kontonamen des neuen Mitglieds ein, und klicken Sie dann auf OK.
Klicken Sie für jedes aus der Gruppe zu entfernende Mitglied auf das zu entfernende Mitglied, und klicken Sie dann auf Entfernen.
Klicken Sie nach dem Ausführen der Änderungen, die Sie an der Gruppe vornehmen möchten, zwei Mal auf OK.
Hinweis | |
In AD LDS kann ein AD LDS-Administrator oder ein Benutzer mit ausreichendem Zugriff auf die Gruppe Administratoren Mitgliedskonten aus der Gruppe Administratoren von AD LDS entfernen, sodass AD LDS u. U. nicht mehr über gültige Administratoren verfügt. Zur Wiederherstellung nach diesem Szenario kann der zugewiesene AD LDS-Administrator als Besitzer der Gruppe Administratoren die AD LDS-Gruppe Administratoren erneut mit den entsprechenden Konten auffüllen. |
Weitere Überlegungen
-
Zum Öffnen des ADSI-Editors auf einem Computer, auf dem die AD LDS-Serverrolle installiert ist, klicken Sie auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf ADSI-Bearbeitung.
- Sie können die Aufgabe in diesem Verfahren auch mithilfe von Active Directory-Modul für Windows PowerShell ausführen. Zum Öffnen von Active Directory-Modul klicken Sie im Startmenü auf Verwaltung, und klicken Sie dann auf Active Directory-Modul für Windows PowerShell. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Hinzufügen oder Entfernen von Mitgliedern zu oder aus einer AD LDS-Gruppe (
https://go.microsoft.com/fwlink/?LinkId=137812 ). Weitere Informationen (möglicherweise in englischer Sprache) zu Windows PowerShell finden Sie unter Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 ).