AD LDS (Active Directory Lightweight Directory Services) bygger på att användare och grupper tillhandahåller och kontrollerar åtkomst till katalogdata. AD LDS stöder simultan användning av både Windows-användare och AD LDS-användare. AD LDS har fyra rollbaserade standardgrupper. Du kan skapa fler AD LDS-grupper vid behov. Både Windows-användare och AD LDS-användare kan vara medlemmar i AD LDS-grupper. Om du vill skapa AD LDS-användare i AD LDS måste du först importera de definitioner för användarobjektklasser som finns i AD LDS eller också kan du använda dina egna användarobjektdefinitioner.
Standardgrupper
AD LDS har fyra rollbaserade standardgrupper: Administratörer, instanser, läsare och användare. Dessa grupper finns i konfigurationspartitionen och i varje programpartition men inte i schemapartitionen. Inom en konfigurationsuppsättning replikerar AD LDS dessa grupper tillsammans med alla övriga katalogdata.
Följande tre grupper finns i behållaren CN=Roles för varje katalogpartition:
-
Administratörer (CN=Administrators,CN=Roles)
-
Läsare (CN=Readers,CN=Roles)
-
Användare (CN=Users,CN=Roles)
Följande grupp finns bara i behållaren CN=Roles i konfigurationskatalogpartitionen:
-
Instanser (CN=Instances,CN=Roles)
I följande tabell visas standard-AD LDS-grupperna, tillsammans med de standardmedlemmar och den standardåtkomst som är tilldelad till varje grupp.
| Grupp | Standardmedlemmar | Standardåtkomst |
|---|---|---|
|
Administratörer (CN=Administrators,CN=Roles) |
Konfigurationspartition: AD LDS-administratörer som utses under installationen av AD LDS Programpartitioner: Administratörsgrupp från konfigurationspartitionen |
Fullständig åtkomst till alla partitioner |
|
Instanser (CN=Instances,CN=Roles) |
Alla instanser |
|
|
Läsare (CN=Readers,CN=Roles) |
Ingen |
Läsåtkomst till partitionen |
|
Användare (CN=Users,CN=Roles) |
Konfigurationspartition: Transitivt, alla AD LDS-användare Programpartitioner: Transitivt, alla AD LDS-användare som skapas i partitionen |
Ingen |
Grupper från konfigurationspartitionen kan tilldelas behörigheter i alla partitioner för en AD LDS-instans eller konfigurationsuppsättning. Grupper från en programpartition kan tilldelas behörigheter endast i den programpartitionen. Windows-säkerhetsobjekt kan tilldelas behörigheter i vilken programpartition som helst.
Säkerhetsobjekt
Termen "säkerhetsobjekt" avser ett objekt som har en säkerhetsidentifierare (SID) och som kan tilldelas behörigheter till katalogobjekt. I AD LDS kan säkerhetsobjekt finnas i AD LDS, på en lokal dator eller på en AD DS-domän (Active Directory Domain Services).
 | OBS |
|
Du kan hämta en aktiv användares individuella SID och grupp-SID genom att söka attributet tokenGroups i rootDSE. |
AD LDS-säkerhetsobjekt
AD LDS innehåller inga standardsäkerhetsobjekt. AD LDS tillhandahåller dock importerbara schematillägg som du kan använda för att skapa användare i AD LDS. Användare som skapats från dessa användarklasser kan användas som säkerhetsobjekt. Du kan dessutom omvandla en objektklass i AD LDS-schemat till ett säkerhetsobjekt genom att lägga till tilläggsklassen msDS-bindableobject och attributet unicodePwd i schemadefinitionen för en objektklass. Varje AD LDS-säkerhetsobjekt måste tilldelas ett konto och lösenord, som AD LDS använder för autentisering.
Windows-säkerhetsobjekt
AD LDS tillåter användning av Windows-säkerhetsobjekt för autentisering och åtkomstkontroll. Både lokala Windows-användare och -grupper samt domänanvändare och -grupper kan användas med AD LDS. Dessutom kan du lägga till medlemskap för Windows-säkerhetsobjekt till AD LDS-grupper som medlemmar. Som standard blir det säkerhetsobjekt som du anger som AD LDS-administratör under AD LDS-inställningen medlem av gruppen Administratörer i konfigurationspartitionen. När det gäller Windows-säkerhetsobjekt använder AD LDS SLA (Local Security Authority) på den lokala datorn (för lokala konton) eller LSA på en domänkontrollant (för domänkonton) för autentisering.