Active Directory 輕量型目錄服務 (AD LDS) 會依賴使用者和群組來提供並控制目錄資料的存取權。AD LDS 支援同時使用 Windows 使用者和 AD LDS 使用者。AD LDS 還提供四個預設的角色型群組。您可以視需要建立額外的 AD LDS 群組。Windows 使用者和 AD LDS 使用者都可以是 AD LDS 群組的成員。若要在 AD LDS 中建立 AD LDS 使用者,必須先匯入 AD LDS 提供的使用者物件類別定義,或提供您自己的使用者物件定義。
預設群組
AD LDS 提供四個預設的角色型群組:Administrators、Instances、Readers 與 Users。這些群組位於設定磁碟分割及每個應用程式分割中,但是不會存在於架構磁碟分割中。在組態集內,AD LDS 會複寫這些群組以及其他所有目錄資料。
下列三個群組位於每個目錄分割的 CN=Roles 容器中:
-
Administrators (CN=Administrators,CN=Roles)
-
Readers (CN=Readers,CN=Roles)
-
Users (CN=Users,CN=Roles)
下列群組只會位於設定目錄分割的 CN=Roles 容器中:
-
Instances (CN=Instances,CN=Roles)
下表列出預設的 AD LDS 群組,以及指派給每個群組的預設成員和預設存取權。
| 群組 | 預設成員 | 預設存取權 |
|---|---|---|
|
系統管理員 (CN=Administrators,CN=Roles) |
設定分割: AD LDS 安裝期間指派的 AD LDS 系統管理員 應用程式分割: 來自設定磁碟分割的 Administrators 群組 |
所有磁碟分割的完整存取權 |
|
執行個體 (CN=Instances,CN=Roles) |
所有執行個體 |
|
|
讀取者 (CN=Readers,CN=Roles) |
無 |
磁碟分割的讀取權 |
|
使用者 (CN=Users,CN=Roles) |
設定分割: 可轉移的,所有 AD LDS 使用者 應用程式分割: 可轉移的,在磁碟分割中建立的所有 AD LDS 使用者 |
無 |
可在 AD LDS 執行個體或組態集的任何磁碟分割中,將權限指派給來自設定磁碟分割的群組。但只可以在應用程式磁碟分割中,將權限指派給來自應用程式磁碟分割的群組。可在任何應用程式磁碟分割中,指派權限給 Windows 安全性主體。
安全性主體
術語「安全性主體」指的是任何具有安全性識別碼 (SID) 的物件,以及任何可以指派目錄物件權限的物件。在 AD LDS 中,安全性主體可以位於 AD LDS、本機電腦或 Active Directory 網域服務 (AD DS) 網域中。
 | 附註 |
|
明確查詢 rootDSE 上的 tokenGroups 屬性,就可以擷取作用中使用者的個別和群組 SID。 |
AD LDS 安全性主體
AD LDS 並未包括任何預設安全性主體。然而,AD LDS 提供了可匯入的架構延伸,可讓您用來在 AD LDS 中建立使用者。透過這些使用者類別建立的使用者可以當成安全性主體。此外,您可以在 AD LDS 架構中將任何物件類別變成安全性主體,方法是將 msDS-bindableobject 輔助類別及 unicodePwd 屬性新增到物件類別的架構定義中。每個 AD LDS 安全性主體都必須指派帳戶及密碼,AD LDS 會使用帳戶及密碼來進行驗證。
Windows 安全性主體
AD LDS 可以使用 Windows 安全性主體來進行驗證及存取控制。本機 Windows 使用者和群組以及網域使用者和群組,都可以與 AD LDS 搭配使用。此外,您可以將 Windows 安全性主體成員資格加入 AD LDS 群組中,做為成員。依預設,在 AD LDS 安裝期間指定為 AD LDS 系統管理員的安全性主體,會變成設定磁碟分割中 Administrators 群組的成員。針對 Windows 安全性主體,AD LDS 會依賴本機電腦 (本機帳戶) 上的本機安全性授權 (LSA),或網域控制站 (網域帳戶) 上的 LSA 來進行驗證。