Active Directory Lightweight Directory Services (AD LDS) si basa su utenti e gruppi per consentire e controllare l'accesso ai dati di directory. In AD LDS è supportato l'utilizzo simultaneo di utenti Windows e utenti AD LDS. AD LDS include quattro gruppi predefiniti basati sui ruoli. Se necessario, è possibile creare ulteriori gruppi AD LDS. Sia gli utenti Windows che gli utenti AD LDS possono essere membri dei gruppi AD LDS. Per creare utenti AD LDS, è prima necessario importare le definizioni delle classi di oggetti utente incluse in AD LDS o specificare definizioni personalizzate.
Gruppi predefiniti
AD LDS include quattro gruppi predefiniti basati sui ruoli: Administrators, Instances, Readers e Users. Questi gruppi si trovano nella partizione di configurazione e in ogni partizione applicativa, ma non nella partizione dello schema. In un set di configurazione questi gruppi vengono replicati da AD LDS insieme a tutti gli altri dati di directory.
I tre gruppi seguenti si trovano nel contenitore CN=Roles di ogni partizione di directory:
-
Administrators (CN=Administrators,CN=Roles)
-
Readers (CN=Readers,CN=Roles)
-
Users (CN=Users,CN=Roles)
Il gruppo seguente si trova solo nel contenitore CN=Roles della partizione di directory di configurazione:
-
Instances (CN=Instances,CN=Roles)
Nella tabella seguente vengono elencati i gruppi AD LDS predefiniti con i membri predefiniti e l'accesso predefinito assegnato a ogni gruppo.
Gruppo | Membri predefiniti | Accesso predefinito |
---|---|---|
Administrators (CN=Administrators,CN=Roles) |
Partizione di configurazione: Amministratori di AD LDS definiti durante l'installazione di AD LDS Partizioni applicative: Gruppo Administrators della partizione di configurazione |
Accesso completo a tutte le partizioni |
Istanze (CN=Instances,CN=Roles) |
Tutte le istanze |
|
Readers (CN=Readers,CN=Roles) |
Nessuno |
Accesso in lettura alla partizione |
Users (CN=Users,CN=Roles) |
Partizione di configurazione: In modo transitivo, tutti gli utenti AD LDS Partizioni applicative: In modo transitivo, tutti gli utenti AD LDS creati nella partizione |
Nessuno |
Ai gruppi della partizione di configurazione è possibile assegnare autorizzazioni in qualsiasi partizione di un set di configurazione o di un'istanza di AD LDS. Ai gruppi della partizione applicativa è possibile assegnare autorizzazioni solo in tale partizione applicativa. Alle entità di sicurezza di Windows è possibile assegnare autorizzazioni in qualsiasi partizione applicativa.
Entità di sicurezza
Il termine "entità di sicurezza" si riferisce a qualsiasi oggetto che dispone di un ID di sicurezza (SID) e a cui è possibile assegnare autorizzazioni per gli oggetti directory. In AD LDS le entità di sicurezza possono essere incluse in AD LDS, in un computer locale o in un dominio di Servizi di dominio Active Directory.
Nota | |
È possibile recuperare i SID individuale e di gruppo di un utente attivo eseguendo una query esplicita sull'attributo tokenGroups in rootDSE. |
Entità di sicurezza AD LDS
In AD LDS non sono incluse entità di sicurezza predefinite. Sono tuttavia disponibili estensioni dello schema che è possibile importare e poi utilizzare per la creazione di utenti AD LDS. Gli utenti creati da queste classi utente possono essere utilizzati come entità di sicurezza. È inoltre possibile rendere entità di sicurezza qualsiasi classe di oggetti contenuta nello schema AD LDS aggiungendo la classe ausiliaria msDS-bindableobject e l'attributo unicodePwd alla definizione dello schema della classe di oggetti. A ogni entità di sicurezza AD LDS è necessario assegnare un account e una password, che verranno utilizzati da AD LDS per l'autenticazione.
Entità di sicurezza di Windows
AD LDS consente l'utilizzo delle entità di sicurezza di Windows per il controllo dell'accesso e dell'autenticazione. Con AD LDS è possibile utilizzare gruppi e utenti Windows locali, nonché gruppi e utenti di dominio. È inoltre possibile aggiungere l'appartenenza alle entità di sicurezza di Windows ai gruppi AD LDS impostandoli come membri. Per impostazione predefinita, l'entità di sicurezza specificata come amministratore di AD LDS durante l'installazione di AD LDS diventa un membro del gruppo Administrators nella partizione di configurazione. Per l'autenticazione delle entità di sicurezza di Windows, in AD LDS viene utilizzata l'autorità di sicurezza locale (LSA, Local Security Authority) nel computer locale per gli account locali oppure l'autorità di sicurezza locale in un controller di dominio per gli account di dominio.