Active Directory 輕量型目錄服務 (AD LDS) 中的存取控制是由兩個部分組成。首先,AD LDS 會對要求目錄存取權的使用者進行識別驗證,而且只讓驗證成功的使用者進入目錄中。其次,AD LDS 會對目錄物件使用安全性描述元 (稱為存取控制清單 (ACL)),以判定已驗證使用者對哪些物件具有存取權。

使用者或安全性主體透過啟用目錄的應用程式要求來自 AD LDS 的目錄資料後,接著會使用輕量型目錄存取通訊協定 (LDAP) 對 AD LDS 提出要求。在要求資料前,啟用目錄的應用程式必須將使用者的認證提供給 AD LDS,以進行驗證或繫結。此要求包含了使用者名稱、密碼,以及網域名稱或電腦名稱 (最後兩項須視繫結類型而定)。

AD LDS 可以接受來自 AD LDS 安全性主體與 Windows (本機及網域) 安全性主體的驗證或繫結要求。AD LDS 安全性主體則直接由 AD LDS 進行驗證。本機 Windows 安全性主體會由本機電腦進行驗證。網域安全性主體則必須由 Active Directory 網域服務 (AD DS) 網域控制站進行驗證。


目錄