Az Active Directory Lightweight Directory-szolgáltatások (AD LDS) a felhasználók és csoportok használatával biztosít hozzáférést a címtáradatokhoz, és a hozzáférés-szabályozás is ezen az elven működik. Az AD LDS a Windows-felhasználók és AD LDS-felhasználók egyidejű használatát is támogatja. Az Active Directory LDS négy alapértelmezett, szerepkörökre épülő csoportot tartalmaz, de szükség esetén további csoportok is létrehozhatók. E csoportoknak Windows-felhasználók és AD LDS-felhasználók egyaránt tagjai lehetnek. Ha felhasználókat szeretne létrehozni az AD LDS szolgáltatásban, először importálnia kell a szolgáltatásban elérhető felhasználói objektumok osztálydefinícióit, de megadhatja saját felhasználói objektumainak definícióit is.
Alapértelmezett csoportok
Az Active Directory LDS négy alapértelmezett, szerepkörökre épülő csoportot tartalmaz, a Rendszergazdák, a Példányok, az Olvasók és a Felhasználók csoportot. E négy csoport a konfigurációs partíción és az összes alkalmazásspecifikus partíción megtalálható, a sémapartíción azonban nem. A konfigurációkészleteken belül az AD LDS az egyéb címtáradatokkal együtt replikálja ezeket a csoportokat.
A következő három csoport az egyes címtárpartíciók CN=Roles tárolójában található:
-
Rendszergazdák (CN=Administrators, CN=Roles)
-
Olvasók (CN=Readers, CN=Roles)
-
Felhasználók (CN=Users, CN=Roles)
Az alábbi csoport kizárólag a konfigurációs címtárpartíció CN=Roles tárolójában található meg:
-
Példányok (CN=Instances, CN=Roles)
Az alábbi táblázat felsorolja az alapértelmezett AD LDS-csoportokat, valamint az azokhoz hozzárendelt alapértelmezett tagokat és alapértelmezett hozzáféréstípust.
Csoport | Alapértelmezett tagok | Alapértelmezett hozzáféréstípus |
---|---|---|
Rendszergazdák (CN=Administrators,CN=Roles) |
Konfigurációs partíció: Az AD LDS telepítése során hozzárendelt AD LDS-rendszergazdák Alkalmazásspecifikus partíciók: A konfigurációs partíció Rendszergazdák csoportja |
Teljes hozzáférés valamennyi partícióhoz |
Példányok (CN=Instances,CN=Roles) |
Minden példány |
|
Olvasók (CN=Readers,CN=Roles) |
Nincs |
Olvasási hozzáférés a partícióhoz |
Felhasználók (CN=Users,CN=Roles) |
Konfigurációs partíció: Tranzitív módon, minden AD LDS-felhasználó Alkalmazásspecifikus partíciók: Tranzitív módon, a partíción létrehozott összes AD LDS-felhasználó |
Nincs |
A konfigurációs partíción lévő csoportokhoz az AD LDS-példányok és a konfigurációkészletek bármely partícióján engedély rendelhető hozzá. Az alkalmazásspecifikus partíción található csoportokhoz csak ugyanazon az alkalmazásspecifikus partíción lehet engedélyeket hozzárendelni. A rendszerbiztonsági tagokhoz bármely partíción engedélyek hozzárendelhetők engedélyek.
Rendszerbiztonsági tagok
A rendszerbiztonsági tag kifejezés azokra a biztonsági azonosítóval (SID) rendelkező objektumokra utal, amelyekhez címtárobjektumokra vonatkozó engedélyek rendelhetők hozzá. Az AD LDS szolgáltatásban a rendszerbiztonsági tagok az AD LDS-példányban, a helyi számítógépen vagy az AD DS-tartományokban egyaránt elhelyezkedhetnek.
Megjegyzés | |
Az aktív felhasználók egyéni és csoportos biztonsági azonosítójának beolvasásához kérdezze le a rootDSE objektum tokenGroups attribútumát. |
Az Active Directory Lightweight Directory-szolgáltatások rendszerbiztonsági tagjai
Az AD LDS nem tartalmaz alapértelmezett rendszerbiztonsági tagokat, de az importálható sémabővítésekkel felhasználókat lehet létrehozni a szolgáltatásban. Az ezen felhasználói osztályokból létrehozott felhasználók rendszerbiztonsági tagokként is használhatók. Ezenkívül az AD LDS-séma bármely objektumosztálya rendszerbiztonsági taggá tehető, ha a megfelelő objektumosztály sémadefiníciójához hozzáadja az msDS-bindableobject kiegészítő osztályt és a unicodePwd attribútumot. Az AD LDS valamennyi rendszerbiztonsági tagjához fiókot és jelszót kell hozzárendelni, mivel az AD LDS ezekkel az adatokkal végzi a hitelesítést.
A Windows rendszerbiztonsági tagjai
Az AD LDS lehetővé teszi a Windows rendszerbiztonsági tagjainak hitelesítésre és hozzáférés-vezérlésre történő használatát. Ennek megfelelően az AD LDS szolgáltatásban a Windows rendszer felhasználói és csoportjai, valamint tartományi felhasználói és tartományi csoportjai is használhatók. A Windows rendszerbiztonsági tagjainak tagságát az AD LDS csoportjaihoz is hozzá lehet adni. Az AD LDS telepítése közben AD LDS-rendszergazdaként definiált rendszerbiztonsági tag alapértelmezés szerint egyben a konfigurációs partíció Rendszergazdák csoportjának tagja is lesz. A Windows rendszerbiztonsági tagjainak esetében az AD LDS a helyi számítógép helyi biztonsági rendszerét (helyi fiókok esetén) vagy egy tartományvezérlő helyi biztonsági rendszerét (tartományi fiókok esetén) használja hitelesítésre.