Os Serviços LDS do Active Directory (AD LDS) baseiam-se em utilizadores e grupos para fornecer e controlar o acesso a dados de directório. O AD LDS suporta a utilização simultânea de utilizadores do Windows e do AD LDS. O AD LDS fornece quatro grupos predefinidos baseados em funções. Pode criar grupos adicionais do AD LDS, conforme necessário. Tanto os utilizadores do Windows como os do AD LDS podem ser membros de grupos do AD LDS. Para criar utilizadores do AD LDS no AD LDS, tem de importar primeiro definições da classe de objecto de utilizador fornecidas com o AD LDS, ou pode fornecer as suas próprias definições de objecto de utilizador.

Grupos predefinidos

O AD LDS fornece quatro grupos predefinidos baseados em funções: Administradores, Instâncias, Leitores e Utilizadores. Estes grupos residem na partição de configuração e em cada partição de aplicação, mas não na partição do esquema. Num conjunto de configuração, o AD LDS replica estes grupos, juntamente com todos os outros dados de directório.

Os três grupos que se seguem residem no contentor CN=Funções de cada partição de directório:

  • Administradores (CN=Administradores,CN=Funções)

  • Leitores (CN=Leitores,CN=Funções)

  • Utilizadores (CN=Utilizadores,CN=Funções)

O grupo que se segue reside apenas no contentor CN=Funções da partição de directório de configuração:

  • Instâncias (CN=Instâncias,CN=Funções)

A seguinte tabela lista os grupos predefinidos do AD LDS, juntamente com os membros predefinidos e acesso predefinido atribuído a cada grupo.

Grupo Membros predefinidos Acesso predefinido

Administradores

(CN=Administradores,CN=Funções)

Partição de configuração:

Os administradores do AD LDS atribuídos durante a configuração do AD LDS

Partições de aplicação:

O grupo Administradores da partição de configuração

Acesso total a todas as partições

Instâncias

(CN=Instâncias,CN=Funções)

Todas as instâncias

 

Leitores

(CN=Leitores,CN=Funções)

Nenhum

Acesso de leitura à partição

Utilizadores

(CN=Utilizadores,CN=Funções)

Partição de configuração:

Transitoriamente, todos os utilizadores do AD LDS

Partições de aplicação:

Transitoriamente, todos os utilizadores do AD LDS criados na partição

Nenhum

É possível atribuir permissões a grupos da partição de configuração em qualquer partição de uma instância do AD LDS ou conjunto de configuração. Só é possível atribuir permissões a grupos de uma partição de aplicação nessa mesma partição de aplicação. É possível atribuir permissões aos principais de segurança do Windows em qualquer partição de aplicação.

Principais de segurança

O termo "principal de segurança" refere-se a qualquer objecto com um identificador de segurança (SID) e ao qual se possam atribuir permissões para objectos de directório. No AD LDS, os principais de segurança podem residir no AD LDS, num computador local ou num domínio dos Serviços de Domínio do Active Directory (AD DS).

Nota

Pode obter os SIDs de grupo e individuais do utilizador activo ao consultar explicitamente o atributo tokenGroups em rootDSE.

Principais de segurança do AD LDS

O AD LDS não inclui quaisquer principais de segurança predefinidos. No entanto, o AD LDS fornece extensões de esquema importáveis que pode utilizar para criar utilizadores no AD LDS. Os utilizadores criados a partir destas classes de utilizador podem ser utilizados como principais de segurança. Além disso, pode tornar qualquer classe de objecto do esquema do AD LDS num principal de segurança adicionando a classe auxiliar msDS-bindableobject e o atributo unicodePwd à definição de esquema de uma classe de objecto. Cada principal de segurança do AD LDS tem de ter uma conta e palavra-passe atribuídas, utilizadas pelo AD LDS para autenticação.

Principais de segurança do Windows

O AD LDS permite a utilização de principais de segurança do Windows para autenticação e controlo de acesso. Os utilizadores e grupos locais do Windows, bem como utilizadores e grupos de domínio, podem ser utilizados com o AD LDS. Além disso, pode adicionar membros de principais de segurança do Windows a grupos do AD LDS como membros. Por predefinição, o principal de segurança especificado como administrador do AD LDS durante o programa de configuração do AD LDS torna-se membro do grupo Administradores na partição de configuração. Para principais de segurança do Windows, o AD LDS baseia-se na LSA (Autoridade de Segurança Local) no computador local (para contas locais) ou na LSA num controlador de domínio (para contas de domínio) para autenticação.

Referências adicionais


Sumário