Les services d’annuaire AD LDS (Active Directory Lightweight Directory Services) s’appuient sur des utilisateurs et des groupes pour fournir et contrôler l’accès aux données d’annuaire. Les services AD LDS (Active Directory Lightweight Directory Services) prennent en charge l’utilisation simultanée d’utilisateurs Windows et d’utilisateurs AD LDS. Les services AD LDS (Active Directory Lightweight Directory Services) fournissent par défaut quatre groupes basés sur des rôles. Si nécessaire, vous pouvez créer des groupes AD LDS supplémentaires. Les utilisateurs Windows et les utilisateurs AD LDS peuvent appartenir aux groupes AD LDS. Pour créer des utilisateurs AD LDS dans les services AD LDS (Active Directory Lightweight Directory Services), vous devez d’abord importer les définitions de classes d’objets utilisateur fournies avec les services AD LDS (Active Directory Lightweight Directory Services), ou vous pouvez fournir vos propres définitions d’objets utilisateur.

Groupes par défaut

Les services AD LDS (Active Directory Lightweight Directory Services) fournissent par défaut quatre groupes basés sur des rôles : Administrateurs, Instances, Lecteurs et Utilisateurs. Ces groupes résident dans la partition de configuration et dans chaque partition d’applications, mais pas dans la partition de schéma. Avec un jeu de confirmation, les services AD LDS (Active Directory Lightweight Directory Services) répliquent ces groupes, avec toutes les autres données d’annuaire.

Les trois groupes suivants résident dans le conteneur CN=Rôles de chaque partition d’annuaire :

  • Administrateurs (CN=Administrateurs,CN=Rôles)

  • Lecteurs (CN=Lecteurs,CN=Rôles)

  • Utilisateurs (CN=Utilisateurs,CN=Rôles)

Le groupe suivant réside uniquement dans le conteneur CN=Rôles de la partition d’annuaire de configuration :

  • Instances (CN=Instances,CN=Rôles)

Le tableau suivant répertorie les groupes AD LDS par défaut, ainsi que les membres par défaut et l’accès par défaut affectés à chaque groupe.

Groupe Membres par défaut Accès par défaut

Administrateurs

(CN=Administrateurs,CN=Rôles)

Partition de configuration :

Administrateurs AD LDS assignés pendant l’installation des services AD LDS (Active Directory Lightweight Directory Services)

Partitions d’applications :

Groupe Administrateurs de la partition de configuration

Accès total à toutes les partitions

Instances

(CN=Instances,CN=Rôles)

Toutes les instances

 

Lecteurs

(CN=Lecteurs,CN=Rôles)

Aucun

Accès en lecture à la partition

Utilisateurs

(CN=Utilisateurs,CN=Rôles)

Partition de configuration :

De manière transitive, tous les utilisateurs AD LDS

Partitions d’applications :

De manière transitive, tous les utilisateurs AD LDS créés dans la partition

Aucun

Les groupes de la partition de configuration peuvent recevoir des autorisations dans n’importe quelle partition d’une instance ou d’un jeu de configuration AD LDS. Les groupes d’une partition d’applications peuvent recevoir des autorisations uniquement dans cette partition d’applications. Les entités de sécurité Windows peuvent recevoir des autorisations dans n’importe quelle partition d’applications.

Entités de sécurité

Le terme entité de sécurité se réfère à tout objet ayant un identificateur de sécurité (SID) et pouvant recevoir des autorisations à des objets d’annuaire. Dans les services AD LDS (Active Directory Lightweight Directory Services), les entités de sécurité peuvent résider dans les services AD LDS (Active Directory Lightweight Directory Services), sur un ordinateur local ou dans un domaine AD DS (Active Directory Domain Services).

Remarques

Vous pouvez récupérer un SID individuel d’un utilisateur ou les SID d’un groupe en interrogeant explicitement l’attribut tokenGroups sur le rootDSE.

Entités de sécurité AD LDS

Les services AD LDS (Active Directory Lightweight Directory Services) n’incluent aucune entité de sécurité par défaut. Cependant, les services AD LDS (Active Directory Lightweight Directory Services) fournissent des extensions de schéma portables que vous pouvez utiliser pour créer des utilisateurs dans les services AD LDS (Active Directory Lightweight Directory Services). Les utilisateurs créés à partir de ces classes d’utilisateurs peuvent être utilisés comme entité de sécurité. De plus, vous pouvez faire de toute classe d’objets dans le schéma AD LDS une entité de sécurité en ajoutant la classe auxiliaire msDS-bindableobject et l’attribut unicodePwd à la définition de schéma d’une classe d’objets. Chaque entité de sécurité AD LDS doit se voir affecter un compte et un mot de passe, que les services AD LDS (Active Directory Lightweight Directory Services) utilisent pour l’authentification.

Entités de sécurité Windows

Les services AD LDS (Active Directory Lightweight Directory Services) permettent l’utilisation d’entités de sécurité Windows pour l’authentification et le contrôle d’accès. Des utilisateurs et des groupes Windows locaux, ainsi que des utilisateurs et des groupes de domaine, peuvent être utilisés avec les services AD LDS (Active Directory Lightweight Directory Services). En outre, vous pouvez ajouter pour des entités de sécurité Windows une appartenance à des groupes AD LDS en tant que membres. Par défaut, l’entité de sécurité que vous spécifiez en tant qu’administrateur AD LDS pendant l’installation des services AD LDS (Active Directory Lightweight Directory Services) devient un membre du groupe Administrateurs dans la partition de configuration. Pour les entités de sécurité Windows, les services AD LDS (Active Directory Lightweight Directory Services) utilisent LSA (Local Security Authority) sur l’ordinateur local (pour les comptes locaux) ou LSA sur un contrôleur de domaine (pour les comptes de domaine) pour l’authentification.

Références supplémentaires


Table des matières