O Active Directory Lightweight Directory Services (AD LDS) fornece armazenamento e recuperação de dados para aplicativos habilitados por diretório, sem as dependências que os Serviços de Domínio Active Directory (AD DS) requerem. O AD LDS oferece grande parte da mesma funcionalidade que o AD DS, mas não requer a implantação de domínios ou controladores de domínio. Similar à forma como os Serviços de Federação do Active Directory (AD FS) usam as informações de repositório de conta do AD DS, o AD FS também recupera atributos de usuário do AD LDS e autentica usuários no AD LDS se você configurar o AD FS para usar o AD LDS como o repositório de conta.

A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477 (a página pode estar em inglês).

Você pode usar o seguinte procedimento para adicionar um repositório de conta do AD LDS à configuração do AD FS.

Para adicionar um repositório de conta do AD LDS
  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços de Federação do Active Directory.

  2. Na árvore de console, clique duas vezes em Serviço de Federação, Diretiva de Confiança e em Minha Organização.

  3. Clique com o botão direito do mouse em Repositórios de Conta, aponte para Novo e, em seguida, clique em Repositório de Conta.

  4. Na página Bem-vindo ao Assistente para Adicionar Repositório de Conta, clique em Avançar.

  5. Na página Tipo de Repositório de Conta, clique em Active Directory Lightweight Directory Services (AD LDS) e, em seguida, clique em Avançar.

  6. Na página Detalhes de Repositório do AD LDS, faça o seguinte e clique em Avançar:

    • Em Nome para exibição de repositório de conta, digite o nome amigável do repositório de conta.

    • Em URI de repositório de conta, digite o URI do repositório de conta do AD LDS.

  7. Na página Configurações do Servidor AD LDS, faça o seguinte e clique em Avançar:

    • Em Nome do servidor AD LDS ou endereço IP, digite o nome ou endereço IP do servidor AD LDS.

    • Em Número da porta, digite o número da porta TCP/IP do serviço de conta.

    • Em Nome distinto da base de pesquisa do LDAP, digite o nome distinto, por exemplo, DC=adatum,DC=com.

    • Em Atributo LDAP para nome de usuário, digite o nome do atributo de nome de usuário, por exemplo, userPrincipalName.

  8. Na página Declarações de Identidade, selecione uma ou mais declarações de identidade que serão fornecidas pelo repositório de conta e clique em Avançar:

    • Se o repositório de conta fornecer declarações de identidade de UPN, marque a caixa de seleção Nome Principal do Usuário (UPN) e depois digite o nome do atributo LDAP.

    • Se o repositório de conta fornecer declarações de identidade de email, marque a caixa de seleção Email e digite o nome do atributo LDAP.

    • Se o repositório de conta fornecer declarações de identidade de nome comum, marque a caixa de seleção Nome comum e digite o nome do atributo LDAP.

  9. Se você não desejar habilitar este repositório de conta agora, na página Habilitar este Repositório de Conta, desmarque a caixa de seleção Habilitar este repositório de conta e clique em Avançar.

  10. Para adicionar o novo repositório de conta e fechar o assistente, clique em Concluir.

Observação

O AD FS não pode autenticar contas do AD LDS que usem parênteses como parte do nome da conta. As contas que possuam parênteses abertos no nome do usuário geram uma falha de pesquisa LDAP, pois o nome de usuário forma um filtro LDAP inválido.


Sumário