若要在 Active Directory 轻型目录服务 (AD LDS) 中创建用户,必须首先将随 AD LDS 提供的可选用户类导入 AD LDS 架构中。这些用户类是在可导入的 .ldf 文件中提供的,该文件可在安装 AD LDS 的计算机上的 %windir%\adam 目录中找到。
AD LDS 实例的 Administrators 组中的成员身份是完成此过程所需的最低要求。默认情况下,在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中管理员组的成员。有关 AD LDS 组的详细信息,请参阅了解 AD LDS 用户和组。
 | 导入随 AD LDS 提供的用户类的步骤 |
打开命令提示符。
在命令提示符下,键入以下命令,然后按 Enter:
ldifde -i -f %windir%\adam\filename -s computername:port [-b username domain password] -k -j . -c "CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
其中 filename 代表随 AD LDS 提供的其中一个 .ldf 文件的名称,computername:port 代表 AD LDS 实例的计算机名称和端口号,username domain password 代表运行命令所使用的帐户。
运行此命令后,应看到与以下内容相似的结果:
Connecting to "localhost" Logging in as current user using SSPI Importing directory from file "ms-user.ldf" Loading entries................................ 65 entries modified successfully. The command has completed successfully
| 参数 | 描述 |
|---|---|
|
-i |
执行导入。 |
|
-f |
指定要导入或导出的文件。 |
|
-s |
指定 AD LDS 实例的主机名和端口。 |
|
-b |
指定在操作过程中使用的安全凭据。 |
|
-k |
发生错误时继续操作。 |
|
-j |
在指定的目录中创建日志文件,这种情况下指定的目录为当前 (".") 目录。 |
|
-c "CN=Schema,CN=Configuration,DC=X" #schemaNamingContext |
不要修改此字符串。 在导入过程中,-c 参数会使用其他字符串替换 .ldf 文件中的指定字符串。#schemaNamingContext 常量所传递的、特定 AD LDS 实例的架构目录分区的可分辨名称会替换 .ldf 文件中指定的可分辨名称(例如 CN=Schema,CN=Configuration,DC=X)。 |
| 替换... | 替换为... |
|---|---|
|
computername:port |
AD LDS 实例的主机名和端口号。如果您正在管理本地计算机,则可使用 localhost 作为 computername。 |
|
username domain password |
正用作 AD LDS 管理员帐户的帐户信息(用户名、域和密码)。 |
若要查看此命令的完整语法以及有关输入用户帐户信息的信息,请在命令提示符下键入以下命令,然后按 Enter:
ldifde /?
其他注意事项
-
若要打开命令提示符,请单击“开始”,右键单击“命令提示符”,然后单击“以管理员身份运行”。
-
AD LDS 包括以下含有可以导入的用户类的 .ldf 文件。这些文件位于 %windir%\adam 目录中。
.ldf 文件 用户类 在下列情况下导入此文件... MS-ADAM-DisplaySpecifiers-0409.LDF
-
不适用
希望将 Active Directory 管理单元(如 Active Directory 站点和服务)与 AD LDS 一起使用。
MS-AdamSyncMetadata.LDF
-
不适用
希望使用 adamsync 让 AD LDS 与 Active Directory 域服务 (AD DS) 同步。
MS-AZMan.LDF
-
不适用
希望将 Windows Authorization Manager 与 AD LDS 一起使用。
MS-InetOrgPerson.LDF
-
Person
-
Organizational-Person
-
User
-
inetOrgPerson
希望在 AD LDS 目录中创建用户对象,并希望创建 InetOrgPerson 类的用户(如 RFC 2798 中所定义)。MS-InetOrgPerson.LDF 是一个示例文件,可以修改它来满足特定的要求。
MS-User.LDF
-
Person
-
Organizational-Person
-
User
希望在 AD LDS 目录中创建用户对象,但不希望创建 InetOrgPerson 类的用户(如 RFC 2798 中所定义)。MS-User.LDF 是一个示例文件,可以修改它来满足特定的要求。
MS-UserProxy.LDF
-
User-Proxy
希望在 AD LDS 中创建用于绑定重定向的简单代理对象。MS-UserProxy.LDF 是一个示例文件,可以修改它来满足特定的要求。
MS-UserProxyFull.LDF
-
User-Proxy-Full
希望在 AD LDS 中创建用于绑定重定向的完整代理对象。若要使用此文件,还必须导入 MS-InetOrgPerson.LDF 或 MS-User.LDF。MS-UserProxyFull.LDF 是一个示例文件,可以修改它来满足特定的要求。
-
不适用
-
使用 ldifde 的另一种方法是,在 AD LDS 安装过程中导入可选的 AD LDS 用户类。
-
如果不使用 -b 参数指定用户凭据,则 ldifde 会使用当前登录用户的凭据。