Os Serviços AD LDS dependem de usuários e grupos para fornecer e controlar o acesso aos dados do diretório. O AD LDS oferece suporte ao uso simultâneo de usuários do Windows e do AD LDS. O AD LDS fornece quatro grupos padrão baseados em função. É possível criar grupos adicionais do AD LDS conforme necessário. Os usuários do Windows e do AD LDS podem ser membros dos grupos do AD LDS. Para criar usuários do AD LDS no AD LDS, primeiro importe as definições de classe de objeto do usuário fornecidas com o AD LDS, ou forneça suas próprias definições de objeto de usuário.

Grupos padrão

O AD LDS fornece quatro grupos padrão baseados em função: Administradores, Instâncias, Leitores e Usuários. Esses grupos residem na partição de configuração e em cada partição de aplicativo, mas não na partição de esquema. Em um conjunto de configurações, o AD LDS replica esses grupos junto com todos os outros dados do diretório.

Os três grupos a seguir residem no recipiente CN=Funções de cada partição de diretório:

  • Administradores (CN=Administradores,CN=Funções)

  • Leitores (CN=Leitores,CN=Funções)

  • Usuários (CN=Usuários,CN=Funções)

O grupo a seguir reside somente no recipiente CN=Funções da partição de diretório de configuração:

  • Instâncias (CN=Instâncias,CN=Funções)

A tabela a seguir lista os grupos padrão do AD LDS, junto com os membros e o acesso padrão atribuídos a cada grupo.

Grupo Membros padrão Acesso padrão

Administradores

(CN=Administradores,CN=Funções)

Partição de configuração:

Administradores do AD LDS atribuídos durante a instalação do AD LDS

Partições de aplicativo:

O grupo de administradores da partição de configuração

Acesso total a todas as partições

Instâncias

(CN=Instâncias,CN=Funções)

Todas as instâncias

 

Leitores

(CN=Leitores,CN=Funções)

Nenhuma

Acesso de leitura para a partição

Usuários

(CN=Usuários,CN=Funções)

Partição de configuração:

Temporariamente, todos os usuários do AD LDS

Partições de aplicativo:

Temporariamente, todos os usuários do AD LDS criados na partição

Nenhum

Grupos da partição de configuração podem receber permissões em qualquer partição de um conjunto de configurações ou uma instância do AD LDS. Grupos de uma partição de aplicativo podem receber permissões somente nessa partição de aplicativo. Os objetos de segurança do Windows podem receber permissões em qualquer partição de aplicativo.

Objetos de segurança

O termo "entidade de segurança" refere-se a qualquer objeto que tenha um identificador de segurança (SID) e possa receber permissões para objetos de diretório. No AD LDS, as entidades de segurança podem residir no AD LDS, em um computador local ou em um domínio dos Serviços de Domínio Active Directory (AD DS).

Observação

Você pode recuperar as SIDs individuais e de grupo de um usuário ativo consultando explicitamente o atributo tokenGroups em rootDSE.

Entidades de segurança do AD LDS

O AD LDS não inclui quaisquer entidades de segurança padrão. No entanto, o AD LDS fornece extensões de esquema importáveis que podem ser usadas para criar usuários no AD LDS. Os usuários criados dessas classes de usuário podem ser usados como entidades de segurança. Além disso, você pode tornar qualquer classe de objeto no esquema do AD LDS uma entidade de segurança ao adicionar a classe auxiliar msDS-bindableobject e o atributo unicodePwd à definição de esquema de uma classe de objeto. Cada entidade de segurança do AD LDS deve receber uma conta e senha, as quais o AD LDS usa para autenticação.

Objetos de segurança do Windows

O AD LDS permite o uso das entidades de segurança do Windows para controle de acesso e autenticação. Usuários e grupos locais do Windows, bem como usuários e grupos de domínio, podem ser usados com o AD LDS. Além disso, você pode adicionar membros de entidade de segurança do Windows aos grupos do AD LDS como membros. Por padrão, a entidade de segurança especificada como administrador do AD LDS durante a instalação do AD LDS torna-se um membro do grupo Administradores na partição de configuração. No caso de entidades de segurança do Windows, o AD LDS depende da autoridade de segurança local (LSA) no computador local (para contas locais) ou da LSA no controlador de domínio (para contas de domínio) a fim de efetuar a autenticação.

Referências adicionais


Sumário