Az Active Directory Lightweight Directory-szolgáltatásokban (AD LDS) a hozzáférés-vezérlés két részből tevődik össze: az AD LDS először hitelesíti a címtárhoz hozzáférést kérő felhasználókat, és a sikeresen hitelesítetteknek ad hozzáférést a címtárhoz. Második lépésként a címtárobjektumokra alkalmazott, hozzáférési listáknak (ACL) nevezett biztonsági leírókkal meghatározza, hogy a hitelesített felhasználók mely objektumokhoz férhetnek hozzá.

A felhasználók vagy rendszerbiztonsági tagok a címtárbarát alkalmazásokon keresztül kérnek címtáradatokat az AD LDS szolgáltatástól. Ezek az alkalmazások az LDAP protokoll használatával juttatják el a kérelmeket az AD LDS szolgáltatásnak. Az adatokra vonatkozó kérelem létrehozása előtt a címtárbarát alkalmazásnak át kell adnia a kérelmező felhasználó biztonsági hitelesítő adatait az AD LDS szolgáltatásnak, hogy az végrehajthassa a hitelesítést vagy kötést. A kérelemben a felhasználó neve, jelszava és (a kötés típusától függően) egy tartomány- vagy számítógépnév szerepel.

Az AD LDS mind az AD LDS, mind pedig a Windows (helyi vagy tartományi) rendszerbiztonsági tagjaitól fogadhat hitelesítési vagy kötési kérelmeket. Az AD LDS rendszerbiztonsági tagjainak hitelesítése közvetlenül az AD LDS szolgáltatásban történik, a Windows helyi rendszerbiztonsági tagjainak hitelesítését pedig a helyi számítógép végzi. A tartományi rendszerbiztonsági tagok hitelesítését egy Active Directory tartományi szolgáltatásokat futtató tartományvezérlőnek kell végrehajtania.


Tartalom