Active Directory 輕量型目錄服務 (AD LDS) 會依賴使用者和群組來提供並控制目錄資料的存取權。AD LDS 支援同時使用 Windows 使用者和 AD LDS 使用者。AD LDS 還提供四個預設的角色型群組。您可以視需要建立額外的 AD LDS 群組。Windows 使用者和 AD LDS 使用者都可以是 AD LDS 群組的成員。若要在 AD LDS 中建立 AD LDS 使用者,必須先匯入 AD LDS 提供的使用者物件類別定義,或提供您自己的使用者物件類別定義。

AD LDS 提供四個預設的角色型群組:Administrators、Instances、Readers 與 Users。這些群組位於設定磁碟分割及每個應用程式分割中,但是不會存在於架構磁碟分割中。在組態集內,AD LDS 會複寫這些群組以及其他所有目錄資料。

若要完成此程序,至少需要 AD LDS 執行個體 Administrators 群組的成員資格。依預設,在 AD LDS 安裝期間指定為 AD LDS 系統管理員的安全性主體,會變成設定磁碟分割中 Administrators 群組的成員。如需 AD LDS 群組的相關資訊,請參閱了解 AD LDS 使用者和群組

在 AD LDS 群組上新增或移除成員
  1. 開啟 ADSI 編輯器。

  2. 連線並繫結內含想要修改之群組的 AD LDS 執行個體。如需相關資訊,請參閱使用 ADSI 編輯器管理 AD LDS 執行個體

  3. 在主控台樹狀目錄中,連按兩下您要修改的群組所在之目錄分割。

  4. 在想要修改的群組上按一下滑鼠右鍵,再按 [內容]

  5. [屬性] 中按一下 [成員],再按 [編輯]

  6. 針對每個要新增到群組的 AD LDS 安全性主體,按一下 [新增 DN],並輸入新成員的辨別名稱,再按一下 [確定]

  7. 針對每個要新增到群組的 Windows 安全性主體,按一下 [新增 Windows 帳戶],並輸入新成員的帳戶名稱,然後按一下 [確定]

  8. 針對每個要從群組中移除的群組成員,按一下要移除的成員,然後按一下 [移除]

  9. 完成對群組的變更後,請按兩次 [確定]

附註

在 AD LDS 中,AD LDS 系統管理員或對 Administrators 群組具有足夠存取權的使用者,都可以移除 AD LDS Administrators 群組的成員帳戶,因而可能會導致 AD LDS 中沒有任何有效的系統管理員。若要從此狀況下進行復原,指派為 Administrators 群組擁有者的 AD LDS 系統管理員,可以重新填入具有適當帳戶的 AD LDS Administrators 群組。

其他考量

  • 若要開啟 ADSI 編輯器,請在已安裝 AD LDS 伺服器角色的電腦上,依序按一下 [開始][系統管理工具],然後按一下 [ADSI 編輯器]

  • 您也可以使用 Windows PowerShell 的 Active Directory 模組 執行此程序中的工作。若要開啟 [Active Directory 模組],請依序按一下 [開始][系統管理工具],然後按一下 [Windows PowerShell 的 Active Directory 模組]。如需相關資訊,請參閱<在 AD LDS 群組上新增或移除成員>(https://go.microsoft.com/fwlink/?LinkId=137812 (可能為英文網頁))。如需 Windows PowerShell 的相關資訊,請參閱<Windows PowerShell>(https://go.microsoft.com/fwlink/?LinkID=102372 (可能為英文網頁))。

其他參考資料


目錄