Kontrola dostępu w usługach LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) składa się z dwóch części. Usługi LDS w usłudze AD uwierzytelniają w pierwszej kolejności tożsamość użytkowników żądających dostępu do katalogu, dopuszczając jedynie tych, którzy zostali pomyślnie uwierzytelnieni. Następnie za pomocą deskryptorów zabezpieczeń zwanych listami kontroli dostępu (ACL) usługi LDS w usłudze AD określają obiekty katalogu, do których uwierzytelniony użytkownik ma dostęp.

Użytkownicy lub podmioty zabezpieczeń wysyłają żądania danych katalogowych z usług LDS w usłudze AD za pośrednictwem aplikacji obsługujących katalogi, które z kolei przesyłają te żądania do usług LDS w usłudze AD za pomocą protokołu LDAP (Lightweight Directory Access Protocol). Aplikacja obsługująca katalog musi przed wysłaniem żądania danych przedstawić usługom LDS w usłudze AD poświadczenia użytkownika w celu uwierzytelnienia lub utworzenia powiązania. To żądanie obejmuje nazwę użytkownika i jego hasło oraz, zależnie od rodzaju powiązania, nazwę domeny lub komputera.

Usługi LDS w usłudze AD mogą akceptować żądania uwierzytelnienia lub utworzenia powiązania pochodzące zarówno od podmiotów zabezpieczeń usług LDS w usłudze AD, jak i od podmiotów zabezpieczeń systemu Windows (lokalnych i domeny). Podmioty zabezpieczeń usług LDS w usłudze AD są uwierzytelniane bezpośrednio przez te usługi. Lokalne podmioty zabezpieczeń systemu Windows są uwierzytelniane przez komputer lokalny. Podmioty zabezpieczeń domeny muszą być uwierzytelniane przez kontroler domeny usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services).


Spis treści