Active Directory Basit Dizin Hizmetleri (AD LDS) dizin verilerine erişim sağlamak ve erişimi denetlemek için kullanıcı ve gruplardan yararlanır. AD LDS aynı anda hem Windows kullanıcılarını, hem de AD LDS kullanıcılarını destekler. AD LDS dört varsayılan, rol tabanlı grup sağlar. Gerekirse başka AD LDS grupları da oluşturabilirsiniz. Hem Windows kullanıcıları, hem de AD LDS kullanıcıları, AD LDS gruplarının üyesi olabilir. AD LDS içinde AD LDS kullanıcıları oluşturmak için, önce AD LDS ile sağlanan kullanıcı nesnesi tanımlarını almanız gerekir ya da kendi kullanıcı nesne sınıfı tanımlarınızı sağlayabilirsiniz.
Varsayılan gruplar
AD LDS dört varsayılan, rol tabanlı grup sağlar: Administrators, Instances, Readers ve Users. Bu gruplar, yapılandırma bölümlerinde ve her uygulama bölümünde bulunur, şema bölümünde bulunmaz. Bir yapılandırma kümesi içinde, AD LDS diğer dizin verileriyle birlikte bu grupları çoğaltır.
Şu üç grup her dizin bölümünün CN=Roles kapsayıcısı içinde bulunur:
-
Administrators (CN=Administrators,CN=Roles)
-
Readers (CN=Readers,CN=Roles)
-
Users (CN=Users,CN=Roles)
Aşağıdaki grup, yapılandırma dizin bölümünün yalnızca CN=Roles kapsayıcısı içerisinde bulunur:
-
Instances (CN=Instances,CN=Roles)
Aşağıdaki tablo, her gruba atanmış varsayılan üyeler ve varsayılan erişimle birlikte varsayılan AD LDS gruplarını listeler.
| Grup | Varsayılan üyeler | Varsayılan erişim |
|---|---|---|
|
Yöneticiler (CN=Administrators,CN=Roles) |
Yapılandırma bölümü: AD LDS kurulumu sırasında atanan AD LDS yöneticileri Uygulama bölümleri Yapılandırma bölümünden Administrators grubu |
Tüm bölümlere tam erişim |
|
Instances (CN=Instances,CN=Roles) |
Tüm örnekler |
|
|
Readers (CN=Readers,CN=Roles) |
Yok |
Bölüme okuma erişimi |
|
Kullanıcılar (CN=Users,CN=Roles) |
Yapılandırma bölümü: Geçişli olarak tüm AD LDS kullanıcıları Uygulama bölümleri: Geçişli olarak, bölümde oluşturulan tüm AD LDS kullanıcıları |
Yok |
Yapılandırma bölümündeki gruplara, bir AD LDS örneğinin veya yapılandırma kümesinin herhangi bir bölümünde izinler atanabilir. Bir uygulama bölümündeki gruplara yalnız o uygulama bölümünde izinler atanabilir. Windows güvenlik sorumlularına herhangi bir uygulama bölümünde izinler atanabilir.
Güvenlik sorumluları
"Güvenlik sorumlusu" terimi, bir güvenlik tanımlayıcısına (SID) sahip olan ve dizin nesnelerine izin atanabilen nesneleri belirtir. AD LDS'de güvenlik sorumluları, AD LDS'de, yerel bir bilgisayarda veya bir Active Directory Etki Alanı Hizmetleri (AD DS) etki alanında bulunabilir.
 | Not |
|
Etkin kullanıcının bireysel ve grup SID'lerini rootDSE üzerindeki tokenGroups özniteliğini açık şekilde sorgulayarak alabilirsiniz. |
AD LDS güvenlik sorumluları
AD LDS herhangi bir varsayılan güvenlik sorumlusu içermez. Ancak AD LDS, AD LDS'de kullanıcı oluşturmak için kullanabileceğiniz alınabilir şema uzantıları sağlar. Bu kullanıcı sınıflarından oluşturulan kullanıcılar güvenlik sorumlusu olarak kullanılabilir. Buna ek olarak, bir nesne sınıfının şema tanımlamasına msDS-bindableobject yardımcı sınıfını ve unicodePwd özniteliğini ekleyerek AD LDS şemasındaki herhangi bir nesne sınıfını bir güvenlik sorumlusu yapabilirsiniz. Her AD LDS güvenlik sorumlusuna, AD LDS'nin kimlik doğrulama için kullanacağı bir hesap ve parola atanmalıdır.
Windows güvenlik sorumluları
AD LDS, kimlik doğrulama ve erişim denetimi için Windows güvenlik sorumlularının kullanımına izin verir. Etki alanı kullanıcıları ve grupları gibi, yerel Windows kullanıcıları ve grupları da AD LDS ile kullanılabilir. Bunun yanı sıra, Windows güvenlik sorumluları üyeliğini AD LDS gruplarına ve üyelerine ekleyebilirsiniz. Varsayılan olarak, AD LDS kurulumu sırasında AD LDS yöneticisi olarak belirttiğiniz güvenlik sorumlusu, yapılandırma bölümündeki Administrators grubunun üyesi olur. Windows güvenlik sorumluları için, AD LDS kimlik doğrulama için yerel bilgisayardaki (yerel hesaplar için) Yerel Güvenlik Yetkilisi'ne (LSA) veya bir etki alanı denetleyicisindeki (etki alanı hesapları için) LSA'ya dayanır.