Active Directory 轻型目录服务 (AD LDS) 为启用目录的应用程序提供数据存储和检索,没有 Active Directory 域服务 (AD DS) 所需的依存关系。AD LDS 提供的许多功能都与 AD DS 相同,但是无需部署域或域控制器。与 Active Directory 联合身份验证服务 (AD FS) 使用 AD DS 帐户存储信息的方式相似,如果您将 AD FS 配置为使用 AD LDS 作为帐户存储,则 AD FS 也从 AD LDS 检索用户属性并根据 AD LDS 对用户进行身份验证。
本地 Administrators 组中的成员身份或等效身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问
可以使用下列步骤将 AD LDS 帐户存储添加到您的 AD FS 配置中。
 | 添加 AD LDS 帐户存储的步骤 |
单击“开始”,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
在控制台树中,双击“联合身份验证服务”、“信任策略”和“我的组织”。
右键单击“帐户存储”,指向“新建”,然后单击“帐户存储”。
在“欢迎使用添加帐户存储向导”页上,单击“下一步”。
在“帐户存储类型”页上,单击“Active Directory 轻型目录服务(AD LDS)”,然后单击“下一步”。
在“AD LDS 存储详细信息”页上执行以下操作,然后单击“下一步”:
-
在“帐户存储显示名称”中,键入帐户存储的友好名称。
-
在“帐户存储 URI”中,键入 AD LDS 帐户存储的统一资源标识符 (URI)。
-
在“帐户存储显示名称”中,键入帐户存储的友好名称。
在“AD LDS 服务器设置”页上执行以下操作,然后单击“下一步”:
-
在“AD LDS 服务器名或 IP 地址”中,键入 AD LDS 服务器的名称或 IP 地址。
-
在“端口号”中,键入帐户服务的 TCP/IP 端口号。
-
在“LDAP 搜索基础可分辨名称”中,键入可分辨名称,例如 DC=adatum,DC=com。
-
在“用户名 LDAP 属性”中,键入用户名属性的名称,例如 userPrincipalName。
-
在“AD LDS 服务器名或 IP 地址”中,键入 AD LDS 服务器的名称或 IP 地址。
在“标识声明”页上,选择帐户存储将提供的一个或多个标识声明,然后单击“下一步”:
-
如果帐户存储提供 UPN 标识声明,选中“用户主体名称 (UPN)”复选框,然后键入轻型目录访问协议 (LDAP) 属性名。
-
如果帐户存储提供电子邮件标识声明,选中“电子邮件”复选框,然后键入 LDAP 属性名。
-
如果帐户存储提供公用名标识声明,选中“公用名”复选框,然后键入 LDAP 属性名。
-
如果帐户存储提供 UPN 标识声明,选中“用户主体名称 (UPN)”复选框,然后键入轻型目录访问协议 (LDAP) 属性名。
如果不希望立即启用此帐户存储,在“启用此帐户存储”页上,清除“启用此帐户存储”复选框,然后单击“下一步”。
若要添加新的帐户存储并关闭该向导,单击“完成”。
 | 注意 |
|
AD FS 不能对帐户名中包含括号的 AD LDS 帐户进行身份验证。用户名中包含左括号的帐户会导致 LDAP 搜索因为用户名生成的 LDAP 筛选器无效而失败。 |