Пользователи и группы

Служба ADAM (Active Directory Application Mode) использует пользователей и группы, чтобы обеспечивать доступ к данным каталога и управлять этим доступом. ADAM поддерживает одновременное использование как пользователей Windows, так и пользователей ADAM. В ADAM имеется четыре стандартные группы, основанные на ролях. По мере необходимости можно создавать дополнительные группы ADAM. Членами групп ADAM могут быть как пользователи Windows, так и пользователи ADAM. Чтобы создать пользователей ADAM в ADAM, необходимо сначала импортировать определения класса объекта-пользователя, поставляемые с ADAM, или применить пользовательские определения объекта-пользователя.

Стандартные группы

В ADAM имеются четыре стандартные группы, основанные на ролях: «Администраторы», «Экземпляры», «Устройства чтения» и «Пользователи». Эти группы размещаются в разделе конфигурации и в разделе каждого приложения, но не в разделе схемы. В пределах набора конфигурации ADAM реплицирует эти группы наряду со всеми остальными данными каталога.

Следующие три группы располагаются в контейнере CN=Roles каждого раздела каталога:

  • Администраторы (CN=Administrators, CN=Roles)

  • Устройства чтения (CN=Readers, CN=Roles)

  • Пользователи (CN=Users, CN=Roles)

Следующая группа располагается только в контейнере CN=Roles раздела каталога конфигурации:

  • Экземпляры (CN=Instances, CN=Roles)

В следующей таблице перечислены стандартные группы ADAM, а также стандартные члены и стандартный доступ, предоставленный каждой из групп.

Группа Стандартные члены Стандартный доступ

Администраторы

(CN=Administrators, CN=Roles)

Раздел конфигурации:

Администраторы ADAM, назначаемые при установке ADAM

Разделы приложений:

Группа «Администраторы» из раздела конфигурации

Полный доступ ко всем разделам

Экземпляры

(CN=Instances, CN=Roles)

Все экземпляры

Устройства чтения

(CN=Readers, CN=Roles)

Нет

Доступ для чтения к разделу

Пользователи

(CN=Users, CN=Roles)

Раздел конфигурации:

транзитивно, все пользователи ADAM

Разделы приложений:

транзитивно, все пользователи ADAM, созданные в разделе

Нет

Группам из раздела конфигурации могут быть назначены полномочия в любом разделе экземпляра ADAM или набора конфигурации. Группам из раздела приложения могут быть назначены полномочия только в данном разделе приложения. Участникам безопасности Windows могут быть назначены полномочия в любом разделе приложения.

Участники безопасности

Термин участник безопасности относится к любому объекту, который имеет идентификатор безопасности (SID) и которому могут быть определены полномочия доступа к объектам каталога. В ADAM участники безопасности могут располагаться в ADAM, на локальном компьютере или в домене Active Directory.

Примечание

Идентификаторы безопасности (SID) активных индивидуальных пользователей и групп пользователей можно извлечь с помощью явного запроса атрибута tokenGroups на rootDSE.

Участники безопасности ADAM

В ADAM нет каких-либо стандартных участников безопасности. Однако ADAM обеспечивает импортируемые расширения схемы, которые можно использовать для создания пользователей в ADAM. Пользователи, созданные из этих пользовательских классов, могут использоваться в качестве участников безопасности. Кроме того, любой объектный класс в схеме ADAM можно сделать участником безопасности, добавив к определению схемы объектного класса вспомогательный класс msDS-bindableobject и атрибут unicodePwd. Каждому участнику безопасности ADAM должны быть назначены учетная запись и пароль, который ADAM будет использовать для проверки подлинности.

Дополнительные сведения о проверке подлинности в ADAM см. в разделе Общие сведения об управлении доступом к ADAM. Сведения о дополнительных классах пользователей, поставляемых с ADAM, см. в разделе Администрирование пользователей и групп.

Участники безопасности Windows

ADAM позволяет использовать участников безопасности Windows для проверки подлинности и управления доступом. С ADAM могут использоваться локальные пользователи и группы Windows, а также пользователи и группы домена. Кроме того, в качестве членов к группам ADAM можно добавлять членство участников безопасности Windows. По умолчанию участник безопасности, указанный во время настройки ADAM как администратор ADAM, становится членом группы «Администраторы» в разделе конфигурации. Для проверки подлинности участников безопасности Windows ADAM использует локального администратора безопасности (LSA) на локальном компьютере (для локальных учетных записей) или LSA на контроллере домена (для учетных записей домена).

Дополнительные сведения о проверке подлинности в ADAM см. в разделе Общие сведения об управлении доступом к ADAM.