Active Directory ライトウェイト ディレクトリ サービス (AD LDS) は、ユーザーとグループに依存して、ディレクトリ データへのアクセスを提供および制御します。AD LDS は、Windows ユーザーと AD LDS ユーザーの両方の同時使用をサポートします。既定では、AD LDS には役割に基づく 4 つのグループがあります。必要に応じて追加の AD LDS グループを作成できます。また Windows ユーザーと AD LDS ユーザーの両方を AD LDS グループのメンバーに含めることができます。AD LDS で AD LDS ユーザーを作成するには、AD LDS で提供されるユーザー オブジェクト クラス定義を最初にインポートする必要があります。または、独自のユーザー オブジェクト クラス定義を指定できます。
既定のグループ
既定では、AD LDS には、役割に基づく 4 つのグループ (Administrators、Instances、Readers、User) があります。これらのグループは、構成パーティションと各アプリケーション パーティションに存在しますが、スキーマ パーティションには存在しません。構成セット内では、AD LDS によってこれらのグループがレプリケートされるとき、その他のすべてのディレクトリ データも同時にレプリケートされます。
次の 3 つのグループは、各ディレクトリ パーティションの CN=Roles コンテナーに存在します。
-
Administrators (CN=Administrators,CN=Roles)
-
Readers (CN=Readers,CN=Roles)
-
Users (CN=Users,CN=Roles)
次のグループは、構成ディレクトリ パーティションの CN=Roles コンテナーにのみ存在します。
-
Instances (CN=Instances,CN=Roles)
次の表は、既定の AD LDS グループ、および各グループに割り当てられている既定のメンバーと既定のアクセスを示しています。
| グループ | 既定のメンバー | 既定のアクセス |
|---|---|---|
|
Administrators (CN=Administrators,CN=Roles) |
構成パーティション: AD LDS のセットアップ中に割り当てられる AD LDS 管理者 アプリケーション パーティション: 構成パーティションからの管理者グループ |
すべてのパーティションへのフル アクセス |
|
Instances (CN=Instances,CN=Roles) |
すべてのインスタンス |
|
|
Readers (CN=Readers,CN=Roles) |
なし |
パーティションへの読み取りアクセス |
|
Users (CN=Users,CN=Roles) |
構成パーティション: 推移的に、すべての AD LDS ユーザー アプリケーション パーティション: 推移的に、パーティションで作成されたすべての AD LDS ユーザー |
なし |
構成パーティションからのグループには、AD LDS インスタンスまたは構成セットの任意のパーティションでアクセス許可を割り当てることができます。アプリケーション パーティションからのグループには、そのアプリケーション パーティションでのみアクセス許可を割り当てることができます。Windows セキュリティ プリンシパルには、任意のアプリケーション パーティションでアクセス許可を割り当てることができます。
セキュリティ プリンシパル
"セキュリティ プリンシパル" という用語は、セキュリティ ID (SID) を含み、ディレクトリ オブジェクトへのアクセス許可を割り当てることができる任意のオブジェクトを意味します。AD LDS のセキュリティ プリンシパルは、AD LDS 内、ローカル コンピューター上、または Active Directory ドメイン内に存在できます。
 | 注 |
|
rootDSE の tokenGroups 属性を明示的に照会すると、アクティブ ユーザーの個々の SID またはグループ SID を取得できます。 |
AD LDS セキュリティ プリンシパル
AD LDS には、既定のセキュリティ プリンシパルが含まれていません。ただし、AD LDS 内でユーザーを作成するために使用できるインポート可能なスキーマ拡張が用意されています。これらのユーザー クラスから作成されるユーザーは、セキュリティ プリンシパルとして使用できます。さらに、オブジェクト クラスのスキーマ定義に msDS-bindableobject 補助クラスと unicodePwd 属性を追加することで、AD LDS スキーマ内の任意のオブジェクト クラスをセキュリティ プリンシパルにすることができます。各 AD LDS セキュリティ プリンシパルには、AD LDS が認証に使用するアカウントとパスワードを割り当てる必要があります。
Windows セキュリティ プリンシパル
AD LDS では、認証およびアクセス制御のために Windows セキュリティ プリンシパルを使用できます。ローカル Windows のユーザーとグループ、およびドメインのユーザーとグループを AD LDS で使用できます。さらに、AD LDS グループのメンバーとして、Windows セキュリティ プリンシパル メンバーシップを追加できます。既定では、AD LDS セットアップ中に AD LDS 管理者として指定するセキュリティ プリンシパルが、構成パーティションの Administrators グループのメンバーとなります。Windows セキュリティ プリンシパルの場合、AD LDS は、認証の際、ローカル コンピューター (ローカル アカウント用) 上のローカル セキュリティ機関 (LSA)、またはドメイン コントローラー (ドメイン アカウント用) 上の LSA に依存します。