Az Active Directory Lightweight Directory-szolgáltatások (AD LDS) a felhasználók és csoportok használatával biztosít hozzáférést a címtáradatokhoz, és a hozzáférés-szabályozás is ezen az elven működik. Az AD LDS a Windows-felhasználók és AD LDS-felhasználók egyidejű használatát is támogatja. Az Active Directory LDS négy alapértelmezett, szerepkörökre épülő csoportot tartalmaz, de szükség esetén további csoportok is létrehozhatók. E csoportoknak Windows-felhasználók és AD LDS-felhasználók egyaránt tagjai lehetnek. Ha felhasználókat szeretne létrehozni az AD LDS szolgáltatásban, először importálnia kell a szolgáltatásban elérhető felhasználói objektumok osztálydefinícióit, de megadhatja saját felhasználói objektumainak definícióit is.

Alapértelmezett csoportok

Az Active Directory LDS négy alapértelmezett, szerepkörökre épülő csoportot tartalmaz, a Rendszergazdák, a Példányok, az Olvasók és a Felhasználók csoportot. E négy csoport a konfigurációs partíción és az összes alkalmazásspecifikus partíción megtalálható, a sémapartíción azonban nem. A konfigurációkészleteken belül az AD LDS az egyéb címtáradatokkal együtt replikálja ezeket a csoportokat.

A következő három csoport az egyes címtárpartíciók CN=Roles tárolójában található:

  • Rendszergazdák (CN=Administrators, CN=Roles)

  • Olvasók (CN=Readers, CN=Roles)

  • Felhasználók (CN=Users, CN=Roles)

Az alábbi csoport kizárólag a konfigurációs címtárpartíció CN=Roles tárolójában található meg:

  • Példányok (CN=Instances, CN=Roles)

Az alábbi táblázat felsorolja az alapértelmezett AD LDS-csoportokat, valamint az azokhoz hozzárendelt alapértelmezett tagokat és alapértelmezett hozzáféréstípust.

Csoport Alapértelmezett tagok Alapértelmezett hozzáféréstípus

Rendszergazdák

(CN=Administrators,CN=Roles)

Konfigurációs partíció:

Az AD LDS telepítése során hozzárendelt AD LDS-rendszergazdák

Alkalmazásspecifikus partíciók:

A konfigurációs partíció Rendszergazdák csoportja

Teljes hozzáférés valamennyi partícióhoz

Példányok

(CN=Instances,CN=Roles)

Minden példány

 

Olvasók

(CN=Readers,CN=Roles)

Nincs

Olvasási hozzáférés a partícióhoz

Felhasználók

(CN=Users,CN=Roles)

Konfigurációs partíció:

Tranzitív módon, minden AD LDS-felhasználó

Alkalmazásspecifikus partíciók:

Tranzitív módon, a partíción létrehozott összes AD LDS-felhasználó

Nincs

A konfigurációs partíción lévő csoportokhoz az AD LDS-példányok és a konfigurációkészletek bármely partícióján engedély rendelhető hozzá. Az alkalmazásspecifikus partíción található csoportokhoz csak ugyanazon az alkalmazásspecifikus partíción lehet engedélyeket hozzárendelni. A rendszerbiztonsági tagokhoz bármely partíción engedélyek hozzárendelhetők engedélyek.

Rendszerbiztonsági tagok

A rendszerbiztonsági tag kifejezés azokra a biztonsági azonosítóval (SID) rendelkező objektumokra utal, amelyekhez címtárobjektumokra vonatkozó engedélyek rendelhetők hozzá. Az AD LDS szolgáltatásban a rendszerbiztonsági tagok az AD LDS-példányban, a helyi számítógépen vagy az AD DS-tartományokban egyaránt elhelyezkedhetnek.

Megjegyzés

Az aktív felhasználók egyéni és csoportos biztonsági azonosítójának beolvasásához kérdezze le a rootDSE objektum tokenGroups attribútumát.

Az Active Directory Lightweight Directory-szolgáltatások rendszerbiztonsági tagjai

Az AD LDS nem tartalmaz alapértelmezett rendszerbiztonsági tagokat, de az importálható sémabővítésekkel felhasználókat lehet létrehozni a szolgáltatásban. Az ezen felhasználói osztályokból létrehozott felhasználók rendszerbiztonsági tagokként is használhatók. Ezenkívül az AD LDS-séma bármely objektumosztálya rendszerbiztonsági taggá tehető, ha a megfelelő objektumosztály sémadefiníciójához hozzáadja az msDS-bindableobject kiegészítő osztályt és a unicodePwd attribútumot. Az AD LDS valamennyi rendszerbiztonsági tagjához fiókot és jelszót kell hozzárendelni, mivel az AD LDS ezekkel az adatokkal végzi a hitelesítést.

A Windows rendszerbiztonsági tagjai

Az AD LDS lehetővé teszi a Windows rendszerbiztonsági tagjainak hitelesítésre és hozzáférés-vezérlésre történő használatát. Ennek megfelelően az AD LDS szolgáltatásban a Windows rendszer felhasználói és csoportjai, valamint tartományi felhasználói és tartományi csoportjai is használhatók. A Windows rendszerbiztonsági tagjainak tagságát az AD LDS csoportjaihoz is hozzá lehet adni. Az AD LDS telepítése közben AD LDS-rendszergazdaként definiált rendszerbiztonsági tag alapértelmezés szerint egyben a konfigurációs partíció Rendszergazdák csoportjának tagja is lesz. A Windows rendszerbiztonsági tagjainak esetében az AD LDS a helyi számítógép helyi biztonsági rendszerét (helyi fiókok esetén) vagy egy tartományvezérlő helyi biztonsági rendszerét (tartományi fiókok esetén) használja hitelesítésre.

További hivatkozások


Tartalom