Kontrolowanie i udzielanie dostępu do danych katalogu w usługach LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) jest oparte na użytkownikach i grupach. W usługach LDS w usłudze AD jest obsługiwane równoczesne korzystanie z kont użytkowników systemu Windows i kont użytkowników usług LDS w usłudze AD. W usługach LDS w usłudze AD są dostępne cztery domyślne grupy oparte na rolach. W razie potrzeby można utworzyć dodatkowe grupy usług LDS w usłudze AD. Do grup usług LDS w usłudze AD mogą należeć zarówno użytkownicy systemu Windows, jak i użytkownicy usług LDS w usłudze AD. Aby utworzyć użytkowników usług LDS w usłudze AD w tych usługach, należy najpierw zaimportować definicje klas obiektów użytkowników dostarczane z usługami LDS w usłudze AD lub podać własne definicje obiektów użytkowników.
Grupy domyślne
W usługach LDS w usłudze AD są dostępne cztery domyślne grupy oparte na rolach: Administratorzy, Wystąpienia, Czytelnicy i Użytkownicy. Te grupy znajdują się w partycji konfiguracji i w każdej partycji aplikacji, ale nie w partycji schematu. Usługi LDS w usłudze AD replikują te grupy w obrębie zestawu konfiguracyjnego razem ze wszystkimi innymi danymi katalogowymi.
Trzy poniższe grupy znajdują się w kontenerze CN=Roles każdej partycji katalogu:
-
Administratorzy (CN=Administrators,CN=Roles)
-
Czytelnicy (CN=Readers,CN=Roles)
-
Użytkownicy (CN=Users,CN=Roles)
Poniższa grupa znajduje się tylko w kontenerze CN=Roles partycji katalogu konfiguracji:
-
Wystąpienia (CN=Instances,CN=Roles)
W poniższej tabeli przedstawiono domyślne grupy usług LDS w usłudze AD oraz ich domyślnych członków i prawa dostępu przypisane każdej z grup.
Grupa | Domyślni członkowie | Domyślne prawa dostępu |
---|---|---|
Administratorzy (CN=Administrators,CN=Roles) |
Partycja konfiguracji Administratorzy usług LDS w usłudze AD przypisani podczas instalacji tych usług Partycje aplikacji Grupa Administratorzy z partycji konfiguracji |
Pełny dostęp do wszystkich partycji |
Wystąpienia (CN=Instances,CN=Roles) |
Wszystkie wystąpienia |
|
Czytelnicy (CN=Readers,CN=Roles) |
Brak |
Dostęp w trybie odczytu do partycji |
Użytkownicy (CN=Users,CN=Roles) |
Partycja konfiguracji Przejściowo wszyscy użytkownicy usług LDS w usłudze AD Partycje aplikacji Przejściowo wszyscy użytkownicy usług LDS w usłudze AD utworzeni w partycji |
Brak |
Grupom z partycji konfiguracji można przypisywać uprawnienia w dowolnej partycji wystąpienia usług LDS w usłudze AD lub zestawu konfiguracyjnego. Grupom z partycji aplikacji można przypisywać uprawnienia tylko w tej partycji aplikacji. Podmiotom zabezpieczeń systemu Windows można przypisywać uprawnienia we wszystkich partycjach aplikacji.
Podmioty zabezpieczeń
Termin „podmiot zabezpieczeń” oznacza dowolny, wyposażony w identyfikator zabezpieczeń (SID) obiekt, któremu można przypisać uprawnienia do obiektów katalogu. W usługach LDS w usłudze AD podmioty zabezpieczeń mogą znajdować się w tych usługach, na komputerze lokalnym lub w domenie usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services).
Uwaga | |
Identyfikator SID aktywnego użytkownika lub jego grupy można uzyskać, wysyłając zapytanie dotyczące atrybutu tokenGroups w obiekcie rootDSE. |
Podmioty zabezpieczeń usług LDS w usłudze AD
Usługi LDS w usłudze AD nie zawierają żadnych domyślnych podmiotów zabezpieczeń. Jednak w celu utworzenia użytkowników w usługach LDS w usłudze AD można zaimportować udostępnione przez te usługi rozszerzenia schematu usług LDS w usłudze AD. Użytkowników utworzonych na podstawie tych klas użytkowników można używać jako podmiotów zabezpieczeń. Ponadto podmiotem zabezpieczeń można uczynić dowolną klasę obiektu ze schematu usług LDS w usłudze AD, dodając do definicji schematu tej klasy obiektu klasę pomocniczą msDS-bindableobject i atrybut unicodePwd. Każdemu podmiotowi zabezpieczeń usług LDS w usłudze AD należy przypisać konto i hasło, które będą używane przez usługi LDS w usłudze AD do uwierzytelniania.
Podmioty zabezpieczeń systemu Windows
W usługach LDS w usłudze AD jest dozwolone stosowanie podmiotów zabezpieczeń systemu Windows do celów uwierzytelniania i kontroli dostępu. W usługach LDS w usłudze AD można posługiwać się lokalnymi użytkownikami i grupami systemu Windows oraz użytkownikami i grupami domeny. Ponadto do grup usług LDS w usłudze AD można dodawać jako elementy członkowskie podmioty zabezpieczeń systemu Windows. Domyślnie podmiot zabezpieczeń określony jako administrator usług LDS w usłudze AD podczas instalacji tych usług staje się członkiem grupy Administratorzy w partycji konfiguracji. Podczas uwierzytelniania podmiotów zabezpieczeń systemu Windows usługi LDS w usłudze AD korzystają z urzędu zabezpieczeń lokalnych (LSA, Local Security Authority) komputera lokalnego (dla kont lokalnych) lub z urzędu zabezpieczeń lokalnych kontrolera domeny (dla kont domeny).