In Active Directory Lightweight Directory Services (AD LDS) wird der Zugriff auf Verzeichnisdaten über Benutzer und Gruppen bereitgestellt und gesteuert. AD LDS unterstützt die gleichzeitige Verwendung von Windows-Benutzern und AD LDS-Benutzern. AD LDS stellt vier rollenbasierte Standardgruppen bereit. Bei Bedarf können Sie weitere AD LDS-Gruppen erstellen. Sowohl Windows-Benutzer als auch AD LDS-Benutzer können Mitglieder von AD LDS-Gruppen sein. Zum Erstellen von AD LDS-Benutzern in AD LDS müssen Sie zunächst die mit AD LDS bereitgestellten Benutzerobjekt-Klassendefinitionen importieren oder eigene Benutzerobjektdefinitionen angeben.
Standardgruppen
AD LDS stellt vier rollenbasierte Standardgruppen bereit: Administratoren, Instanzen, Leser und Benutzer. Diese Gruppen sind in der Konfigurationspartition und in jeder Anwendungspartition vorhanden, aber nicht in der Schemapartition. Innerhalb eines Konfigurationssatzes werden die Gruppen von AD LDS zusammen mit allen anderen Verzeichnisdaten repliziert.
Die folgenden drei Gruppen befinden sich im Container CN=Roles jeder Verzeichnispartition:
-
Administratoren (CN=Administrators,CN=Roles)
-
Leser (CN=Readers,CN=Roles)
-
Benutzer (CN=Users,CN=Roles)
Die folgende Gruppe befindet sich nur im Container CN=Roles der Konfigurationsverzeichnispartition:
-
Instanzen (CN=Instances,CN=Roles)
In der folgenden Tabelle sind die AD LDS-Standardgruppen zusammen mit den Standardmitgliedern und dem jeder Gruppe zugewiesenen Standardzugriff aufgeführt.
| Gruppe | Standardmitglieder | Standardzugriff |
|---|---|---|
|
Administratoren (CN=Administrators,CN=Roles) |
Konfigurationspartition: Während AD LDS-Setup zugewiesene AD LDS-Administratoren Anwendungspartitionen: Die Gruppe Administratoren aus der Konfigurationspartition |
Vollzugriff auf alle Partitionen |
|
Instanzen (CN=Instances,CN=Roles) |
Alle Instanzen |
|
|
Leser (CN=Readers,CN=Roles) |
Kein |
Lesezugriff auf die Partition |
|
Benutzer (CN=Users,CN=Roles) |
Konfigurationspartition: Transitiv, alle AD LDS-Benutzer Anwendungspartitionen: Transitiv, alle in der Partition erstellten AD LDS-Benutzer |
Kein |
Den Gruppen aus der Konfigurationspartition können in jeder Partition einer AD LDS-Instanz oder eines Konfigurationssatzes Berechtigungen zugewiesen werden. Den Gruppen aus einer Anwendungspartition können nur in dieser Anwendungspartition Berechtigungen zugewiesen werden. Windows-Sicherheitsprinzipalen können in jeder Anwendungspartition Berechtigungen zugewiesen werden.
Sicherheitsprinzipale
Der Begriff Sicherheitsprinzipal bezieht sich auf jedes Objekt, das über eine Sicherheitskennung (SID) verfügt und dem Berechtigungen für Verzeichnisobjekte zugewiesen werden können. In AD LDS können sich Sicherheitsprinzipale in AD LDS, auf einem lokalen Computer oder in einer AD DS-Domäne (Active Directory Domain Services, Active Directory-Domänendienste) befinden.
 | Hinweis |
|
Sie können die persönliche SID und die Gruppen-SID für einen aktiven Benutzer abrufen, indem Sie explizit das tokenGroups-Attribut von rootDSE abfragen. |
AD LDS-Sicherheitsprinzipale
AD LDS enthält keine Standardsicherheitsprinzipale. In AD LDS werden jedoch importierbare Schemaerweiterungen bereitgestellt, mit denen Sie Benutzer in AD LDS erstellen können. Aus diesen Benutzerklassen erstellte Benutzer können als Sicherheitsprinzipale verwendet werden. Zudem können Sie eine beliebige Objektklasse im AD LDS-Schema zu einem Sicherheitsprinzipal machen, indem Sie der Schemadefinition der Objektklasse die msDS-bindableobject-Erweiterungsklasse und das unicodePwd-Attribut hinzufügen. Jedem AD LDS-Sicherheitsprinzipal müssen ein Konto und ein Kennwort zugewiesen werden, die von AD LDS für die Authentifizierung verwendet werden.
Windows-Sicherheitsprinzipale
AD LDS lässt die Verwendung von Windows-Sicherheitsprinzipalen für die Authentifizierung und Zugriffssteuerung zu. Lokale Windows-Benutzer und -Gruppen sowie Domänenbenutzer und -gruppen können mit AD LDS verwendet werden. Darüber hinaus können Sie den AD LDS-Gruppen Windows-Sicherheitsprinzipale als Mitglieder hinzufügen. Das Sicherheitsprinzipal, das Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition. Für Windows-Sicherheitsprinzipale verwendet AD LDS zur Authentifizierung die lokale Sicherheitsautorität (Local Security Authority, LSA) auf dem lokalen Computer (für lokale Konten) bzw. auf einem Domänencontroller (für Domänenkonten).