Active Directory 轻型目录服务 (AD LDS) 中的访问控制由两部分组成。首先,AD LDS 会验证请求访问目录的用户的身份,仅允许成功通过验证的用户进入目录。其次,AD LDS 对目录对象使用称为访问控制列表 (ACL) 的安全描述符,以确定已验证的用户对哪些对象有访问权限。
用户或安全主体通过启用目录的应用程序从 AD LDS 请求目录数据,这样随后就会使用轻型目录访问协议 (ADAP) 向 AD LDS 发出请求。请求数据之前,启用目录的应用程序必须向 AD LDS 提供用户凭据以便进行身份验证或绑定。此请求中包括用户名、密码以及域名或计算机名(此选项取决于绑定类型)。
AD LDS 可以接受同时从 AD LDS 安全主体和 Windows(本地和域)安全主体请求的身份验证或绑定。AD LDS 安全主体直接由 AD LDS 进行身份验证。本地 Windows 安全主体由本地计算机进行身份验证。域安全主体则必须由 Active Directory 域服务 (AD DS) 域控制器进行身份验证。