Active Directory 轻型目录服务 (AD LDS) 依赖用户和组来提供并控制对目录数据的访问。AD LDS 支持同时使用 Windows 用户和 AD LDS 用户。AD LDS 提供四个默认的、基于角色的组。可以根据需要创建其他 AD LDS 组。Windows 用户和 AD LDS 用户都可以是 AD LDS 组的成员。若要在 AD LDS 中创建 AD LDS 用户,必须首先导入随 AD LDS 提供的用户对象类定义,或者可以提供您自己的对象定义。
默认组
AD LDS 提供四个默认的、基于角色的组:Administrators、Instances、Readers 和 Users。这些组存在于配置分区中和每个应用程序分区中,但不存在于架构分区中。在配置集内,AD LDS 复制这些组和所有其他目录数据。
以下三个组存在于每个目录分区的 CN=Roles 容器中:
-
Administrators (CN=Administrators,CN=Roles)
-
Readers (CN=Readers,CN=Roles)
-
Users (CN=Users,CN=Roles)
以下组仅存在于配置目录分区的 CN=Roles 容器中:
-
Instances (CN=Instances,CN=Roles)
下表列出了默认的 AD LDS 组及分配给每个组的默认成员和默认访问权限。
| 组 | 默认成员 | 默认访问权限 |
|---|---|---|
|
Administrators (CN=Administrators,CN=Roles) |
Configuration partition: 在 AD LDS 安装过程中分配的 AD LDS 管理员 Application partitions: 来自配置分区的管理员组 |
对所有分区的完全访问权限 |
|
Instances (CN=Instances,CN=Roles) |
所有实例 |
|
|
Readers (CN=Readers,CN=Roles) |
无 |
对分区的读取访问权限 |
|
用户 (CN=Users,CN=Roles) |
Configuration partition: 间接地,所有 AD LDS 用户 Application partitions: 间接地,在分区中创建的所有 AD LDS 用户 |
无 |
可以在 AD LDS 实例或配置集的任何分区中,为来自配置分区的组分配权限。仅可以在应用程序分区中为来自应用程序分区的组分配权限。可以在任何应用程序分区中为 Windows 安全主体分配权限。
安全主体
术语“安全主体”指具有安全标识符 (SID) 并可以向目录对象分配权限的任何对象。在 AD LDS 中,安全主体可以存在于 AD LDS 中、本地计算机中或 Active Directory 域服务 (AD DS) 域中。
 | 注意 |
|
您可以通过显式查询 rootDSE 中的 tokenGroups 属性来检索某个活动用户的个人 SID 和组 SID。 |
AD LDS 安全主体
AD LDS 不包含任何默认的安全主体。但是,AD LDS 提供可用来在 AD LDS 中创建用户的可导入的架构扩展。从这些用户类创建的用户可以用作安全主体。另外,可以在 AD LDS 架构安全主体中创建任何对象类,方法是将 msDS-bindableobject 辅助类和 unicodePwd 属性添加到对象类的架构定义中。必须给每个 AD LDS 安全主体分配一个帐户和密码,AD LDS 会用之进行身份验证。
Windows 安全主体
AD LDS 允许使用 Windows 安全主体进行身份验证和访问控制。本地 Windows 用户和组以及域用户和组可以与 AD LDS 一起使用。另外,可以将 Windows 安全主体成员身份作为成员添加到 AD LDS 组中。默认情况下,在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中管理员组的成员。对于 Windows 安全主体,AD LDS 依赖于本地计算机(对于本地帐户)上的本地安全机构 (LSA) 或域控制器(对于域帐户)上的 LSA 进行身份验证。