Åtkomstkontrollen i AD LDS (Active Directory Lightweight Directory Services) består av två delar. Till att börja med autentiserar AD LDS identiteten hos användare som begär åtkomst till katalogen, och beviljar endast åtkomst för användare för vilka autentiseringen lyckats. Därefter använder AD LDS säkerhetsbeskrivare, så kallade åtkomstkontrollistor (access control lists, ACLs), på katalogobjekt för att fastställa vilka objekt som en autentiserad användare har åtkomst till.

Användare, eller säkerhetsobjekt, begär katalogdata från AD LDS via katalogaktiverade program, som i sin tur skickar en begäran till AD LDS med hjälp av LDAP (Lightweight Directory Access Protocol). Innan det katalogaktiverade programmet begär data, måste användarens autentiseringsuppgifter skickas till AD LDS för autentisering, eller bindning. Begäran innehåller ett användarnamn, lösenord och, beroende på vilken slags bindning det är, ett domännamn eller datornamn.

AD LDS kan acceptera begäran om autentisering, eller bindning, från både AD LDS-säkerhetsobjekt och Windows-säkerhetsobjekt (lokalt och på domännivå). AD LDS-säkerhetsobjekt autentiseras direkt av AD LDS. Lokala Windows-säkerhetsobjekt autentiseras av den lokala datorn. Domänsäkerhetsobjekt måste autentiseras av en AD DS-domänkontrollant (Active Directory Domain Services).


Innehåll