Kontrolowanie i udzielanie dostępu do danych katalogu w usługach LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) jest oparte na użytkownikach i grupach. W usługach LDS w usłudze AD jest obsługiwane równoczesne korzystanie z kont użytkowników systemu Windows i kont użytkowników usług LDS w usłudze AD. W usługach LDS w usłudze AD są dostępne cztery domyślne grupy oparte na rolach. W razie potrzeby można utworzyć dodatkowe grupy usług LDS w usłudze AD. Do grup usług LDS w usłudze AD mogą należeć zarówno użytkownicy systemu Windows, jak i użytkownicy usług LDS w usłudze AD. Aby utworzyć użytkowników usług LDS w usłudze AD w tych usługach, należy najpierw zaimportować definicje klas obiektów użytkowników dostarczane z usługami LDS w usłudze AD lub podać własne definicje obiektów użytkowników.

Grupy domyślne

W usługach LDS w usłudze AD są dostępne cztery domyślne grupy oparte na rolach: Administratorzy, Wystąpienia, Czytelnicy i Użytkownicy. Te grupy znajdują się w partycji konfiguracji i w każdej partycji aplikacji, ale nie w partycji schematu. Usługi LDS w usłudze AD replikują te grupy w obrębie zestawu konfiguracyjnego razem ze wszystkimi innymi danymi katalogowymi.

Trzy poniższe grupy znajdują się w kontenerze CN=Roles każdej partycji katalogu:

  • Administratorzy (CN=Administrators,CN=Roles)

  • Czytelnicy (CN=Readers,CN=Roles)

  • Użytkownicy (CN=Users,CN=Roles)

Poniższa grupa znajduje się tylko w kontenerze CN=Roles partycji katalogu konfiguracji:

  • Wystąpienia (CN=Instances,CN=Roles)

W poniższej tabeli przedstawiono domyślne grupy usług LDS w usłudze AD oraz ich domyślnych członków i prawa dostępu przypisane każdej z grup.

Grupa Domyślni członkowie Domyślne prawa dostępu

Administratorzy

(CN=Administrators,CN=Roles)

Partycja konfiguracji

Administratorzy usług LDS w usłudze AD przypisani podczas instalacji tych usług

Partycje aplikacji

Grupa Administratorzy z partycji konfiguracji

Pełny dostęp do wszystkich partycji

Wystąpienia

(CN=Instances,CN=Roles)

Wszystkie wystąpienia

 

Czytelnicy

(CN=Readers,CN=Roles)

Brak

Dostęp w trybie odczytu do partycji

Użytkownicy

(CN=Users,CN=Roles)

Partycja konfiguracji

Przejściowo wszyscy użytkownicy usług LDS w usłudze AD

Partycje aplikacji

Przejściowo wszyscy użytkownicy usług LDS w usłudze AD utworzeni w partycji

Brak

Grupom z partycji konfiguracji można przypisywać uprawnienia w dowolnej partycji wystąpienia usług LDS w usłudze AD lub zestawu konfiguracyjnego. Grupom z partycji aplikacji można przypisywać uprawnienia tylko w tej partycji aplikacji. Podmiotom zabezpieczeń systemu Windows można przypisywać uprawnienia we wszystkich partycjach aplikacji.

Podmioty zabezpieczeń

Termin „podmiot zabezpieczeń” oznacza dowolny, wyposażony w identyfikator zabezpieczeń (SID) obiekt, któremu można przypisać uprawnienia do obiektów katalogu. W usługach LDS w usłudze AD podmioty zabezpieczeń mogą znajdować się w tych usługach, na komputerze lokalnym lub w domenie usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services).

Uwaga

Identyfikator SID aktywnego użytkownika lub jego grupy można uzyskać, wysyłając zapytanie dotyczące atrybutu tokenGroups w obiekcie rootDSE.

Podmioty zabezpieczeń usług LDS w usłudze AD

Usługi LDS w usłudze AD nie zawierają żadnych domyślnych podmiotów zabezpieczeń. Jednak w celu utworzenia użytkowników w usługach LDS w usłudze AD można zaimportować udostępnione przez te usługi rozszerzenia schematu usług LDS w usłudze AD. Użytkowników utworzonych na podstawie tych klas użytkowników można używać jako podmiotów zabezpieczeń. Ponadto podmiotem zabezpieczeń można uczynić dowolną klasę obiektu ze schematu usług LDS w usłudze AD, dodając do definicji schematu tej klasy obiektu klasę pomocniczą msDS-bindableobject i atrybut unicodePwd. Każdemu podmiotowi zabezpieczeń usług LDS w usłudze AD należy przypisać konto i hasło, które będą używane przez usługi LDS w usłudze AD do uwierzytelniania.

Podmioty zabezpieczeń systemu Windows

W usługach LDS w usłudze AD jest dozwolone stosowanie podmiotów zabezpieczeń systemu Windows do celów uwierzytelniania i kontroli dostępu. W usługach LDS w usłudze AD można posługiwać się lokalnymi użytkownikami i grupami systemu Windows oraz użytkownikami i grupami domeny. Ponadto do grup usług LDS w usłudze AD można dodawać jako elementy członkowskie podmioty zabezpieczeń systemu Windows. Domyślnie podmiot zabezpieczeń określony jako administrator usług LDS w usłudze AD podczas instalacji tych usług staje się członkiem grupy Administratorzy w partycji konfiguracji. Podczas uwierzytelniania podmiotów zabezpieczeń systemu Windows usługi LDS w usłudze AD korzystają z urzędu zabezpieczeń lokalnych (LSA, Local Security Authority) komputera lokalnego (dla kont lokalnych) lub z urzędu zabezpieczeń lokalnych kontrolera domeny (dla kont domeny).

Dodatkowe informacje


Spis treści