Служба Active Directory® Lightweight Directory Services (AD LDS), ранее известная как Active Directory Application Mode (ADAM) – это служба каталогов, работающая по протоколу LDAP (Lightweight Directory Access Protocol – облегчённый протокол доступа к каталогам) и обеспечивающая поддержку хранения и извлечения данных для приложений, ориентированных на работу с каталогами, избавляя Вас от требований, предъявляемых к традиционной службе каталогов Active Directory (Active Directory Domain Services, AD DS). Вы можете запускать сразу несколько экземпляров AD LDS на одном компьютере, при этом каждый экземпляр будет использовать свою собственную, независимо управляемую схему.
Для получения дополнительной информации о службах AD LDS обратитесь к статье Обзор служб Active Directory Lightweight Directory Services.
Для получения дополнительной информации о службах ADAM обратитесь к статье Пошаговое руководство по развертыванию ADAM.
Об этом руководстве
Это руководство содержит инструкции по установке, настройке и запуску служб AD LDS. Вы можете использовать процедуры, описанные в этом руководстве, для установки служб AD LDS на серверах под управлением ОС Windows Server® 2008 в лабораторной среде.
Выполнив все шаги данного руководства, Вы научитесь:
-
Устанавливать серверную роль AD LDS и работать с экземплярами службы AD LDS.
-
Использовать средства администрирования AD LDS.
-
Создавать организационные подразделения, группы и пользователей AD LDS, а также управлять ими.
-
Создавать и удалять разделы каталога приложений AD LDS.
-
Просматривать, предоставлять и отказывать в предоставлении разрешений AD LDS пользователям.
-
Выполнять привязку к экземплярам AD LDS различными способами.
-
Управлять наборами конфигурации AD LDS.
|
Примечание:
|
|
Чтобы повысить Ваши шансы на успешное выполнение всех задач этого руководства, важно выполнять все шаги именно в том порядке, в котором они представлены.
|
Требования для успешного выполнения данного руководства
Прежде чем приступить к работе с данным руководством, убедитесь, что выполняются следующие требования:
-
У Вас должен быть как минимум один тестовый компьютер, на котором можно установить службу AD LDS. Для того чтобы Ваши действия соответствовали действиям, описанными в данном руководстве, установите службу AD LDS на компьютер под управлением ОС Windows Server 2008.
-
Вы должны выполнять вход в операционную систему Windows Server 2008 под административной учетной записью.
-
Для выполнения процедур, представленных в данном руководстве, Вы можете установить реплики экземпляров AD LDS на тестовом компьютере с установленной службой AD LDS. Если у Вас есть отдельный компьютер, Вы можете установить реплики экземпляров AD LDS на нем.
Шаги для начала работы со службами AD LDS
В следующих разделах представлены пошаговые инструкции по настройке служб AD LDS. Описываются как средства с графическим пользовательским интерфейсом (GUI), так и методы с использованием командной строки (в случаях, когда они могут быть применены), позволяющие создавать резервные копии и восстанавливать AD LDS.
Для получения дополнительной информации обратитесь к Приложению А. Настройка работы AD LDS по протоколу LDAP через SSL.
Шаг 1. Установка серверной роли AD LDS
Для установки серверной роли AD LDS на компьютере под управлением Windows Server 2008 выполните следующую процедуру.
Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для установки серверной роли AD LDS выполните следующие действия:
-
Откройте меню Start и щелкните значок Server Manager.
-
В дереве консоли щелкните правой кнопкой мыши на узле Roles и в контекстном меню выберите команду Add Roles.
-
Просмотрите информацию на странице Before You Begin мастера Add Roles Wizard и нажмите кнопку Next.
-
В списке Roles, расположенном на странице Select Server Roles, установите флажок Active Directory Lightweight Directory Services и нажмите кнопку Next.
-
Следуйте дальнейшим инструкциям мастера для добавления роли AD LDS.
Наверх страницы
Шаг 2. Работа с экземплярами AD LDS
Теперь, когда Вы установили серверную роль AD LDS, Вы готовы приступить к работе с экземплярами AD LDS. В этом разделе будут рассмотрены следующие процедуры:
Создание нового экземпляра AD LDS
Для создания экземпляров AD LDS используется мастер Active Directory Lightweight Directory Services Setup Wizard. Применительно к AD LDS, «экземпляр службы» (или просто «экземпляр») – это отдельная копия службы каталогов AD LDS. Несколько экземпляров AD LDS могут одновременно работать на одном компьютере. Каждый экземпляр службы каталогов AD LDS имеет отдельное хранилище каталога, а также уникальные имя и описание службы, назначаемые ему во время установки. Во время установки AD LDS Вы можете выбрать опцию создания раздела каталога приложения, если работающее по протоколу LDAP приложение не создает его автоматически.
Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для создания экземпляра AD LDS с помощью мастера «Active Directory Lightweight Directory Services Setup Wizard» выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Lightweight Directory Services Setup Wizard.
-
На странице Welcome to the Active Directory Lightweight Directory Services Setup Wizard нажмите кнопку Next.
-
На странице Setup Options установите переключатель в положение A unique instance и нажмите кнопку Next.
-
На странице Instance Name задайте имя устанавливаемого экземпляра AD LDS. Это имя будет использоваться на локальном компьютере для идентификации экземпляра AD LDS.
В нашем примере оставьте имя instance1, предлагаемое по умолчанию, и нажмите кнопку Next.
-
На странице Ports укажите номера портов, через которые будет осуществляться взаимодействие с экземпляром AD LDS. AD LDS может использовать как протокол LDAP, так и защищенный протокол SSL; поэтому Вы должны указать номер для каждого из портов.
В нашем примере оставьте номера 389 и 636, предлагаемые по умолчанию, и нажмите кнопку Next.
Примечание:
Если Вы устанавливаете AD LDS на компьютере, где один из предлагаемых по умолчанию портов уже используется, мастер Active Directory Lightweight Directory Services Setup Wizard автоматически обнаружит первый доступный порт, начиная с номера 50000. Например, служба каталогов Active Directory (Active Directory Domain Services, AD DS), использует порты 389 и 636, а также порты 3268 и 3269 на серверах глобального каталога. Поэтому, если Вы устанавливаете службу AD LDS на контроллере домена, мастер установки AD LDS по умолчанию предложит использовать номер 50000 для LDAP-порта и номер 50001 – для SSL-порта.
-
На странице Application Directory Partition Вы можете создать раздел каталога приложений (или контекст именования), установив переключатель в положение Yes, create an application directory partition. Если же Вы установите переключатель в положение No, do not create an application directory partition, то Вы должны будете создать раздел каталога приложений вручную после завершения установки.
В нашем примере установите переключатель в положение Yes, create an application directory partition.
Введите o=Microsoft,c=US в качестве различающегося имени раздела каталога приложений и нажмите кнопку Next.
Примечание:
AD LDS поддерживает как стиль именования X.500, так и стиль DNS для задания полных имен разделов каталога приложений верхнего уровня.
-
На странице File Locations Вы можете просмотреть и изменить папки, в которых будут храниться файлы данных и файлы восстановления AD LDS. По умолчанию файлы данных и файлы восстановления хранятся в папке «%ProgramFiles%\Microsoft ADAM\имя_экземпляра\data», где имя_экземпляра – имя устанавливаемого экземпляра AD LDS, которое Вы указываете на странице Instance Name мастера установки AD LDS.
В нашем примере нажмите кнопку Next, чтобы принять значения по умолчанию.
-
На странице Service Account Selection Вам будет предложено выбрать учетную запись, которая будет использоваться в качестве учетной записи службы AD LDS. Выбранная учетная запись определяет контекст безопасности, в котором будет выполняться экземпляр AD LDS. По умолчанию мастер установки AD LDS предлагает использовать учетную запись Network Service account.
В нашем примере нажмите кнопку Next, чтобы выбрать предложенную по умолчанию учетную запись Network service account. Если же Вы устанавливаете службу AD LDS на контроллере домена, установите переключатель в положение This account и выберите учетную запись пользователя домена, чтобы использовать ее в качестве учетной записи службы AD LDS.
-
На странице AD LDS Administrators Вам будет предложено выбрать учетную запись пользователя или группы, которая будет использоваться в качестве учетной записи администратора экземпляра AD LDS. Эта учетная запись будет иметь полный административный контроль над экземпляром AD LDS. По умолчанию мастер установки AD LDS предлагает использовать учетную запись текущего пользователя. Вы можете выбрать любую другую локальную или доменную учетную запись пользователя или группы.
В нашем примере установите переключатель в положение Currently logged on user и нажмите кнопку Next.
-
На странице Importing LDIF Files Вы можете импортировать LDIF-файлы схемы в экземпляр AD LDS.
В нашем примере отметьте LDIF-файлы, перечисленные в следующей таблице, и нажмите кнопку Next.
Имя LDIF-файла
|
Описание
|
MS-InetOrgPerson.ldf
|
Содержит определение класса объекта LDAP inetOrgPerson.
|
MS-User.ldf
|
Содержит определения классов объектов, относящихся к пользователям.
|
MS-UserProxy.ldf
|
Содержит простое определение класса объекта userProxy.
|
MS-UserProxyFull.ldf
|
Содержит полное определение класса объекта userProxy.
|
MS-ADLDS-DisplaySpecifiers.ldf
|
Содержит спецификаторы отображения. Этот файл требуется для работы оснастки консоли управления MMC. Если Вы планируете подключаться к экземпляру AD LDS при помощи оснастки Active Directory – сайты и службы, импортируйте этот файл на данном этапе с помощью мастера Active Directory Lightweight Directory Services Setup Wizard.
|
Примечание:
Служба AD LDS позволяет Вам использовать собственные файлы формата LDIF (LDAP Data Interchange Format) в дополнение к файлам, поставляемым по умолчанию. Для того чтобы Ваши LDIF-файлы были доступны во время установки экземпляра AD LDS, поместите их в папку «%systemroot%\ADAM». Вы можете создавать собственные LDIF-файлы с помощью инструмента ADSchemaAnalyzer. Для получения дополнительной информации обратитесь к процедуре «Создание LDIF-файла с помощью ADSchemaAnalyzer» раздела Шаг 3. Использование средств администрирования AD LDS этого документа. Поместите Ваши собственные LDIF-файлы в папку «%systemroot%\ADAM» и запустите мастер Active Directory Lightweight Directory Services Setup Wizard, чтобы создать новый экземпляр AD LDS. Ваши LDIF-файлы будут доступны в списке файлов, расположенном на странице Importing LDIF Files.
-
На странице Ready to Install Вы можете просмотреть выбранные параметры установки экземпляра AD LDS. После того, как Вы нажмете кнопку Next, мастер установки скопирует необходимые файлы и установит экземпляр AD LDS на Ваш компьютер.
-
После того как установка AD LDS будет завершена, на экран будет выведено следующее сообщение: «You have successfully completed the Active Directory Lightweight Directory Services Setup Wizard». Когда откроется страница Completing the Active Directory Lightweight Directory Services Setup Wizard, нажмите кнопку Finish, чтобы закрыть мастер установки AD LDS.
Примечание:
Если работа мастера Active Directory Lightweight Directory Services Setup Wizard завершится с ошибкой, то на странице Summary Вы увидите описание причины ее возникновения.
|
Примечание:
|
|
Если ошибка возникнет до того, как откроется страница Summary, Вы можете просмотреть появившееся сообщение об ошибке. В дополнение к этому Вы можете открыть меню Start, щелкнуть значок Run и набрать одну из следующих команд:
%windir%\Debug\adamsetup.log
%windir%\Debug\adamsetup_loader.log
Файлы Adamsetup.log и Adamsetup_loader.log содержат информацию, которая может помочь Вам выяснить причину возникновения ошибки при установке AD LDS.
|
Наверх страницы
Импорт данных в экземпляр AD LDS
Вы можете импортировать данные в экземпляр AD LDS во время его установки (на странице Importing LDIF Files мастера установки AD LDS) или в любой момент после его создания, воспользовавшись инструментом командной строки ldifde, позволяющим создавать, редактировать и удалять объекты каталога. Также Вы можете использовать команду ldifde для расширения схемы и для экспорта информации о пользователях и группах в другие приложения или службы. Например, с помощью команды ldifde Вы можете импортировать в экземпляр AD LDS объекты каталога, экспортированные из какой-либо другой службы каталогов.
Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для выполнения импорта или экспорта объектов каталога с помощью команды ldifde выполните следующие действия:
-
Запустите окно командной строки. Для этого в меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.
-
Выполните одно из следующих действий:
Чтобы импортировать объекты каталога, наберите в командной строке следующую команду и нажмите клавишу ENTER:
ldifde -i -f <имя_файла> -s <имя_сервера>:<порт> -m -a <имя_пользователя> <домен> <пароль>
Чтобы экспортировать объекты каталога, наберите в командной строке следующую команду и нажмите клавишу ENTER:
ldifde -e -f < имя_файла> -s <имя_сервера>:<порт> -m -a <имя_пользователя> <домен> <пароль>
Параметр
|
Описание
|
ldifde
|
Имя команды, поддерживающей пакетные операции с LDIF-файлами.
|
-i
|
Выполнение импорта.
|
-e
|
Выполнение экспорта.
|
-f
|
Файл для импорта или экспорта.
|
<имя_файла>
|
Имя экспортируемого или импортируемого файла.
|
-s
|
Сервер и порт, на котором запущен экземпляр AD LDS или иная служба каталогов.
|
<имя_сервера>
|
Имя сервера, на котором запущен экземпляр AD LDS или иная служба каталогов
|
<порт>
|
Номер порта, на котором запущен экземпляр AD LDS или иная служба каталогов
|
-m
|
Игнорирование атрибутов (не выполняется их импорт или экспорт), использующихся только службой AD DS.
Вы можете использовать этот параметр в тех случаях, когда Вы экспортируете объекты каталога из существующего леса AD DS и затем импортируете их в экземпляр AD LDS.
|
-a
|
Данные учетной записи. Если данные учетной записи не предоставляются, используются данные учетной записи текущего пользователя.
|
<имя_пользователя>
|
Имя учетной записи, использующейся для выполнения привязки к указанной службе каталогов.
|
<домен>
|
Имя домена учетной записи, использующейся для выполнения привязки к указанной службе каталогов.
|
<пароль>
|
Пароль учетной записи, использующейся для выполнения привязки к указанной службе каталогов.
|
-h
|
Разрешение импорта паролей с использованием простой проверки подлинности и шифрования SASL (Simple Authentication and Security Layer).
|
-c <Строка1> <Строка2>
|
Заменяет все вхождения строки, заданные параметром Строка1, значением параметра Строка2. При работе с AD LDS Вы можете использовать в LDIF-файлах константы #schemaNamingContext и #configurationNamingContext для задания различающихся имен раздела каталога схемы и раздела каталога конфигурации, различающихся для разных экземпляров AD LDS.
|
Для просмотра полной справки по синтаксису утилиты ldifde наберите в командной строке следующую команду и нажмите клавишу ENTER:
ldifde /?
Наверх страницы
Шаг 3. Использование средств администрирования AD LDS
Служба AD LDS в ОС Windows Server 2008 содержит несколько средств, предназначенных для решения общих задач администрирования. В число таких задач входят:
Запуск, остановка и перезапуск экземпляра AD LDS
Экземпляр AD LDS выполняется в качестве службы, поэтому для его запуска, остановки и перезапуска Вы можете использовать те же самые способы, что и для любой другой службы Windows Server 2008.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для запуска, остановки или перезапуска экземпляра AD LDS с помощью интерфейса Windows выполните следующие действия:
-
Откройте меню Start и щелкните значок Server Manager.
-
В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.
-
В списке System Services, расположенном в области сведений, выберите нужный Вам экземпляр AD LDS.
-
Щелкните одну из ссылок – Start, Stop или Restart.
Примечание:
По умолчанию запуск экземпляра AD LDS происходит автоматически.
Наверх страницы
Использование инструмента ADSI Edit
Оснастка ADSI Edit консоли MMC является основным средством администрирования AD LDS. Эта оснастка устанавливается как часть серверных ролей AD LDS и Active Directory Domain Services (AD DS). Чтобы использовать оснастку ADSI Edit для управления экземпляром AD LDS, сначала необходимо выполнить подключение и привязку к этому экземпляру. Вы можете управлять контейнерами и объектами экземпляра, просматривая их и щелкая на них правой кнопкой мыши.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для управления экземпляром AD LDS с помощью оснастки «ADSI Edit» выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
В дереве консоли щелкните значок ADSI Edit.
-
В меню Action выберите команду Connect to. Откроется диалоговое окно Connection Settings.
-
В поле Name Вы можете задать имя, под которым данное соединение будет отображаться в дереве консоли оснастки ADSI Edit. В нашем примере введите имя AD LDS Demo.
-
Установите переключатель в положение Select or type a domain or server: (Server | Domain[:port] и введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS. После этого через двоеточие (:) укажите номер порта LDAP, на котором работает экземпляр AD LDS.
В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому Вы можете ввести следующую строку: localhost:389.
-
В разделе Connection point Вы можете установить переключатель в положение Select or type a Distinguished Name or Naming Context и затем указать различающееся имя экземпляра AD LDS, к которому Вы хотите подключиться. Вы также можете установить переключатель в положение Select a well-known naming context и в раскрывающемся списке выбрать параметр Configuration, RootDSE или Schema.
В нашем примере установите переключатель в положение Select or type a Distinguished Name or Naming Context, введите o=Microsoft,c=US и нажмите кнопку OK.
-
В дереве консоли последовательно раскройте узлы AD LDS demo и O=Microsoft,c=US. Теперь в оснастке ADSI Edit отображается раздел каталога приложений.
-
В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.
-
В меню File выберите команду Exit, чтобы закрыть оснастку ADSI Edit.
Наверх страницы
Использование инструмента Ldp.exe
LDP.exe является основным средством администрирования службы каталогов LDAP, обладающим графическим пользовательским интерфейсом (GUI). Чтобы использовать LDP.exe для управления экземпляром AD LDS, сначала необходимо выполнить подключение и привязку к этому экземпляру, а затем настроить отображение иерархической структуры (дерева) этого экземпляра. После этого Вы можете управлять объектами дерева, щелкая на них правой кнопкой мыши.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для управления экземпляром AD LDS с помощью средства Ldp.exe выполните следующие действия:
-
Откройте меню Start и щелкните значок Server Manager.
-
В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.
-
В разделе Advanced Tools, расположенном в области сведений, щелкните ссылку Ldp.exe или запустите это приложение из командной строки.
-
В меню Connection окна программы Ldp.exe выберите команду Connect.
-
В поле Server введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS.
В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому в качестве имени введите localhost.
-
В поле Port введите номер порта LDAP или SSL, на котором работает экземпляр AD LDS и нажмите кнопку OK.
Примечание:
Для протокола LDAP по умолчанию используется номер порта 389. Для протокола SSL по умолчанию используется номер порта 636.
-
В меню Connection выберите команду Bind.
-
Выполните одно из следующих действий:
-
Чтобы выполнить привязку с использованием учетных данных текущего пользователя, установите переключатель в положение Bind as currently logged on user.
-
Чтобы выполнить привязку с использованием доменной учетной записи, установите переключатель в положение Bind with credentials, введите имя пользователя (если Вы используете учетную запись локального компьютера, введите имя рабочей станции), пароль и имя домена используемой учетной записи, и нажмите кнопку OK.
-
Чтобы выполнить привязку с использованием только имени пользователя и пароля, установите переключатель в положение Simple bind, введите имя пользователя и пароль используемой учетной записи, и нажмите кнопку OK.
-
Чтобы выполнить привязку с использованием дополнительных методов проверки подлинности (NTLM, распределенная проверка подлинности пароля (Distributed Password Authentication, DPA), метод согласования (Negotiate) или краткая проверка подлинности (Digest)), установите переключатель в положение Advanced (метод), нажмите кнопку Advanced, выберите нужный метод в раскрывающемся списке, задайте другие необходимые параметры и нажмите кнопку OK.
В нашем примере установите переключатель в положение Bind as currently logged on user.
-
После указания параметров привязки нажмите кнопку OK.
-
В меню View выберите пункт Tree.
-
Раскройте список BaseDN и выберите различающееся имя объекта для его использования в качестве корневого объекта области переходов. В нашем примере выберите имя O=Microsoft,c=US и нажмите кнопку OK.
-
В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.
-
В меню Connection выберите команду Exit, чтобы закрыть окно программы Ldp.exe.
Наверх страницы
Использование оснастки «Active Directory Schema» для администрирования AD LDS
Вы можете использовать оснастку Active Directory Schema для просмотра и управления объектами схемы AD LDS.
|
Примечание:
|
|
Если оснастка Active Directory Schema уже установлена на Вашем компьютере, начните следующую процедуру с шага 8.
|
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для подключения к экземпляру AD LDS с помощью оснастки «Active Directory Schema» выполните следующие действия:
-
Откройте меню Start, правой кнопкой мыши щелкните значок Command Prompt и в контекстном меню выберите команду Run as administrator.
-
В окне командной строки наберите следующую команду и нажмите клавишу ENTER:
regsvr32 schmmgmt.dll
-
Откройте меню Start, щелкните значок Run, введите mmc и нажмите кнопку OK.
-
В меню File консоли MMC выберите команду Add/Remove Snap-in.
-
В списке Available snap-ins выберите оснасткуActive Directory Schema, нажмите кнопку Add, затем нажмите кнопку OK.
-
В меню File выберите команду Save, чтобы сохранить консоль.
-
В диалоговом окне Save As выполните одно из следующих действий:
-
Чтобы сохранить оснастку в папке Administrative Tools, задайте имя оснастки в поле File name и нажмите кнопку Save.
-
Чтобы сохранить оснастку в другом месте, задайте местоположение в раскрывающемся списке Save in. Задайте имя оснастки в поле File name и нажмите кнопку Save.
-
Откройте оснастку Active Directory Schema.
-
В дереве консоли щелкните правой кнопкой мыши значок Active Directory Schema и в контекстном меню выберите команду Change Active Directory Domain Controller.
-
В диалоговом окне Change Directory Server щелкните на строке <Type a Directory Server name[:port]here> и введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS.
В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому введите следующую строку: localhost:389.
-
Щелкните на строке localhost:389 и нажмите кнопку OK.
-
В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.
Для получения дополнительной информации об управлении объектами схемы с помощью оснастки Active Directory Schema обратитесь к справочной системе Вашего сервера. Для этого откройте оснастку Active Directory Schema и нажмите клавишу F1.
Наверх страницы
Использование оснастки «Active Directory Sites and Services» для администрирования AD LDS
Вы можете использовать оснастку Active Directory Sites and Services для подключения к экземпляру AD LDS и для управления репликацией данных каталога между всеми сайтами, входящими в набор конфигурации AD LDS.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для подключения к экземпляру AD LDS с помощью оснастки «Active Directory Sites and Services» выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Sites and Services.
-
В дереве консоли щелкните правой кнопкой мыши значок Active Directory Sites and Services и в контекстном меню выберите команду Change Domain Controller.
-
В диалоговом окне Change Directory Server щелкните на строке <Type a Directory Server name[:port]here> и введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS.
В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому введите следующую строку: localhost:389.
-
Щелкните на строке localhost:389 и нажмите кнопку OK.
-
В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.
Примечание:
Для работы с оснасткой Active Directory Sites and Services необходимо использовать файл MS-ADLDS-DisplaySpecifiers.ldf. Если Вы планируете работать с экземпляром AD LDS, используя оснастку Active Directory Sites and Services, импортируйте этот файл с помощью мастера Active Directory Lightweight Directory Services Setup Wizard. Для получения дополнительной информации обратитесь к процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.
Для получения дополнительной информации о работе с оснасткой Active Directory Sites and Services (Active Directory - сайты и службы) обратитесь к справочной системе Вашего сервера. Для этого откройте указанную оснастку и нажмите клавишу F1.
Наверх страницы
Создание LDIF-файла с помощью ADSchemaAnalyzer
Если Вы разрабатываете собственное приложение, Вы легко можете создать Вашу собственную схему с помощью пользовательских LDIF-файлов. Тем не менее, если Вам требуется скопировать данные из существующего каталога AD DS в новый экземпляр AD LDS, процесс создания файла схемы может быть непростым.
Администраторы AD LDS могут использовать средство ADSchemaAnalyzer для того, чтобы быстро скопировать существующую схему AD DS и затем импортировать ее в экземпляр AD LDS, а также для переноса схемы из Active Directory в AD LDS, от одного экземпляра AD LDS к другому или из любого LDAP-совместимого каталога в экземпляр AD LDS. Кроме того, с помощью ADSchemaAnalyzer Вы можете загружать исходную или конечную схему, отмечать элементы, которые Вы хотите перенести, а затем экспортировать их в базовую схему AD LDS.
|
Важно:
|
|
При создании LDIF-файла с помощью средства ADSchemaAnalyzer необходимо загрузить как конечную, так и базовую схемы. В противном случае итоговый LDIF-файл может быть недоступен для средства ldifde.
|
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для создания LDIF-файла с помощью средства ADSchemaAnalyzer выполните следующие действия:
-
Откройте окно командной строки и перейдите в папку «%windir%\ADAM».
-
Наберите следующую команду и нажмите клавишу ENTER:
adschemaanalyzer
-
Чтобы загрузить конечную схему, в меню File выберите команду Load target schema и выполните одно из следующих действий:
-
Чтобы загрузить в качестве конечной схемы схему домена Active Directory, введите в диалоговом окне имя пользователя, пароль, имя домена, а затем нажмите кнопку OK.
-
Чтобы загрузить другую схему (например, схему леса Active Directory или иного LDAP-совместимого каталога), введите в диалоговом окне имя сервера и порт каталога, содержащего конечную схему, введите имя пользователя, пароль, имя домена (при необходимости), а затем нажмите кнопку ОК.
-
Чтобы загрузить в качестве базовой схемы схему текущего экземпляра AD LDS, в меню File выберите команду Load base schema и в поле Server[:port] введите имя сервера и порт экземпляра AD LDS.
-
В диалоговом окне нажмите кнопку OK.
-
В итоговом дереве отметьте все элементы, которые Вы хотите экспортировать в базовую схему, щелкнув на каждом из них правой кнопкой мыши и выбрав один из следующих параметров:
-
Auto – элемент автоматически помечается как включаемый или исключаемый при экспорте. Если элемент отмечен как Auto (included), Вы можете щелкнуть на нем правой кнопкой мыши и выбрать пункт Why auto included?, чтобы просмотреть дерево обратных зависимостей для этого элемента.
-
Included – элемент помечается как включаемый в экспорт. ADSchemaAnalyzer отмечает все связанные элементы, такие как атрибуты, которые могут или должны содержать данный элемент, суперклассы, атрибуты auxClasses, defaultObjectCategory и possSuperiors. В ADSchemaAnalyzer включаются наборы свойств для включенных атрибутов и обратные ссылки для ссылок.
-
Excluded – элемент помечается как исключаемый из экспорта. Вы можете заблокировать определенные пути в графе зависимостей. Например, Вам может потребоваться импортировать атрибут domainDns, но при этом не импортировать атрибут samAccountDomain, являющийся атрибутом auxClass атрибута domainDns. Вы можете исключить элемент полностью (например, исключить класс samAccountDomain) или исключить его отношение (например, удалить ссылку auxClass из класса domainDns). Если Вы исключаете отношение, то этот элемент остается включенным во всех других классах, ссылающихся на него.
-
Present – означает, что элемент существует на конечном сервере. По умолчанию элементы верхнего класса отмечаются как существующие.
-
Чтобы создать LDIF-файл, в меню File выберите команду Create LDIF file.
Наверх страницы
Синхронизация со службой AD DS
Синхронизация данных между лесом AD LDS и набором конфигурации экземпляра AD LDS состоит из двух шагов:
Как правило, первый шаг выполняется только один раз. Второй шаг выполняется каждый раз, когда Вы хотите обновить экземпляр AD LDS.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для подготовки экземпляра AD LDS к синхронизации выполните следующие действия:
-
Откройте окно командной строки.
-
В командной строке наберите следующую команду и нажмите клавишу ENTER:
cd %windir%\adam
-
Выполните одно из следующих действий:
-
Чтобы подготовить экземпляр AD LDS к синхронизации с лесом Windows Server 2003, наберите следующую команду и нажмите клавишу ENTER:
ldifde -i -u -f ms-adamschemaw2k3.ldf -s <имя_сервера>:<порт> -b <имя_пользователя> <домен> <пароль> -j . -c "cn=Configuration,dc=X" #configurationNamingContext
-
Чтобы подготовить экземпляр AD LDS к синхронизации с лесом Windows Server 2008, наберите следующую команду и нажмите клавишу ENTER:
ldifde -i -u -f ms-adamschemaw2k8.ldf -s <имя_сервера>:<порт> -b <имя_пользователя> <домен> <пароль> -j . -c "cn=Configuration,dc=X" #configurationNamingContext
Важно:
Вы должны поставить точку (.) между параметрами -j и -c.
Примечание:
В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому для параметра server используйте значение localhost, а в качестве порта LDAP по умолчанию укажите номер порта 389.
-
Наберите следующую команду и нажмите клавишу ENTER:
ldifde -i -s <имя_сервера>:<порт> -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf
-
Наберите следующую команду и нажмите клавишу ENTER:
notepad MS-AdamSyncConf.xml
-
В программе Блокнот измените содержимое файла конфигурации:
-
Замените значение <source-ad-name> на имя исходного контроллера домена AD DS.
-
Замените значение <source-ad-partition> на различающееся имя исходного домена.
-
Замените значение <source-ad-account> на имя учетной записи, входящей в группу Domain Admins (Администраторы домена) исходного домена.
-
Замените значение <account-domain> на полное DNS-имя исходного домена.
-
Замените значение <target-dn> на имя раздела конечного экземпляра AD LDS.
-
Замените значение <base-dn> на базовое различающееся имя исходного домена.
-
В меню File (Файл) программы Блокнот выберите команду Save As (Сохранить как), введите новое имя файла, нажмите кнопку Save (Сохранить) и закройте программу Блокнот.
-
В командной строке наберите следующую команду, заменив параметр xml-файл на имя XML-файла, заданное на предыдущем шаге, и нажмите клавишу ENTER:
adamsync /install <имя_сервера>:<порт> <.xml-файл>
После подготовки экземпляра AD LDS к синхронизации Вы можете выполнить следующую процедуру при необходимости синхронизации данных между указанными лесом AD DS и экземпляром AD LDS.
Для выполнения синхронизации данных между лесом AD DS и экземпляром AD LDS выполните следующие действия:
В следующей таблице перечислены параметры процедур, использовавшихся ранее в этом разделе, а также другие часто используемые параметры утилиты adamsync. Для получения дополнительной информации о параметрах утилиты adamsync наберите в командной строке команду adamsync /? и нажмите клавишу ENTER.
Параметр
|
Описание
|
/?
|
Вывести список параметров командной строки.
|
/i или /install <входной_файл>
|
Установить конфигурацию, содержащуюся в указанном входном файле.
|
/sync <конфигурация>
|
Синхронизировать указанную конфигурацию.
|
/fs <конфигурация>
|
Выполнить синхронизацию полной репликации для указанной конфигурации.
|
/ageall <конфигурация>
|
Выполнить проход старения для указанной конфигурации. При выполнении этой процедуры происходит поиск объектов AD LDS в службе Active Directory, и определяется, были ли в AD DS удалены объекты AD LDS, входящие в указанную конфигурацию.
|
/so <конфигурация объект>
|
Выполняет синхронизацию репликации для указанного объекта в указанной конфигурации. Для указания объекта используйте его различающееся имя.
|
|
Примечание:
|
|
Для объектов или разделов леса AD DS, которые Вы хотите синхронизировать, Вы должны иметь установленное разрешение Read или Dirsync.
|
|
Примечание:
|
|
Для выполнения этой команды Вы должны иметь разрешение на полный доступ к разделу каталога приложения экземпляра AD LDS.
|
Наверх страницы
Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS
Наиболее часто служба Active Directory Lightweight Directory Services (AD LDS) используется для хранения информации о пользователях, организациях и группах, к которым они принадлежат. В число задач по администрированию организационных подразделений (Organizational Unit, OU), групп и пользователей AD LDS входят следующие задачи:
Создание организационного подразделения (OU)
Для упорядочивания пользователей и групп Вы можете поместить их в организационные подразделения, что является наиболее распространенным способом достижения этой цели при работе со службами AD DS и AD LDS, а также с другими LDAP-каталогами.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для создания организационного подразделения выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
Выполните подключение и привязку к разделу каталога экземпляра AD LDS, в котором Вы хотите создать организационное подразделение.
В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В дереве консоли раскройте узел o=Microsoft,c=US, щелкните правой кнопкой мыши на контейнере, в котором Вы хотите создать организационное подразделение, раскройте меню New и выберите пункт Object.
-
В списке Select a class выберите объект organizationalUnit и нажмите кнопку Next.
-
В поле Value задайте имя для нового организационного подразделения и нажмите кнопку Next.
В нашем примере в поле Value введите имя AD LDS Users.
-
Если Вы хотите задать значения для дополнительных атрибутов, нажмите кнопку More attributes.
В нашем примере просто нажмите кнопку Finish.
Наверх страницы
Создание группы AD LDS
Вы можете управлять пользователями и группами AD LDS через оснастку ADSI Edit или с помощью приложений, ориентированных на работу с каталогами. Для создания пользователей в AD LDS Вы сначала должны импортировать в схему AD LDS опциональные классы пользователей, предоставляемые этой службой. Эти классы представлены в виде доступных для импорта LDF-файлов, расположенных в папке «%windir%\ADAM» на компьютере с установленной службой AD LDS. Для получения дополнительной информации обратитесь к процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для создания группы AD LDS выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
Выполните подключение и привязку к разделу каталога экземпляра AD LDS, в котором Вы хотите создать группу.
В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В дереве консоли раскройте узел o=Microsoft,c=US, щелкните правой кнопкой мыши на контейнере OU=AD LDS Users, раскройте меню New и выберите пункт Object.
-
В списке Select a class выберите объект group и нажмите кнопку Next.
-
В поле Value задайте различающееся имя (Common Name, CN) для новой группы и нажмите кнопку Next.
В нашем примере в поле Value введите имя AD LDS Testers.
Примечание:
По умолчанию значением атрибута groupType является шестнадцатеричное число 0x80000002, означающее группу учетных записей. Если Вы хотите изменить это значение, нажмите кнопку More attributes и в раскрывающемся списке Select which properties to view выберите параметр Both (отображение как обязательных, так и дополнительных параметров). В раскрывающемся списке Select a property to view выберите атрибут groupType и отредактируйте его в соответствии с Вашими требованиями, введя новое значение в поле Edit Attribute.
-
Если Вы хотите задать значения для дополнительных атрибутов, нажмите кнопку More attributes.
-
После настройки дополнительных атрибутов для новой группы нажмите кнопку Finish.
Наверх страницы
Создание пользователя AD LDS
Вы можете управлять пользователями и группами AD LDS через оснастку ADSI Edit или с помощью приложений, ориентированных на работу с каталогами. Для создания пользователей в AD LDS Вы сначала должны импортировать в схему AD LDS опциональные классы пользователей, предоставляемые этой службой. Эти классы представлены в виде доступных для импорта LDF-файлов, расположенных в папке «%windir%\ADAM» на компьютере с установленной службой AD LDS. Для получения дополнительной информации обратитесь к процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для создания пользователя AD LDS выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
Выполните подключение и привязку к разделу каталога экземпляра AD LDS, в котором Вы хотите создать пользователя.
В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В дереве консоли щелкните правой кнопкой мыши на контейнере OU=AD LDS Users, раскройте меню New и выберите пункт Object.
-
В списке Select a class выберите желаемый класс объекта (user, inetOrgPerson, person или OrganizationalPerson) и нажмите кнопку Next.
-
В поле Value задайте различающееся имя (CN) для нового пользователя и нажмите кнопку Next.
В нашем примере в поле Value введите имя Mary North.
-
Если Вы хотите задать значения для дополнительных атрибутов, нажмите кнопку More attributes.
-
После настройки дополнительных атрибутов для новой группы нажмите кнопку Finish.
Примечание:
Если учетная запись пользователя AD LDS создается с пустым паролем, она автоматически отключается. Для успешного выполнения всех последующих процедур этого руководства выполните шаги, описанные в разделе «Включение и отключение учетных записей пользователей AD LDS», представленном ниже в этом документе, чтобы включить только что созданную учетную запись CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US.
Наверх страницы
Добавление пользователей в группу AD LDS и удаление из нее
Для управления доступом к данным каталога служба AD LDS опирается на работу с пользователями и группами. Служба AD LDS поддерживает одновременную работу как с пользователями Windows, так и с пользователями AD LDS. И те, и другие могут являться членами групп AD LDS.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для добавления пользователей в группу AD LDS или для удаления из нее выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
Выполните подключение и привязку к разделу каталога экземпляра AD LDS, содержащему группу, пользователями которой Вы хотите управлять.
В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В дереве консоли дважды щелкните раздел каталога, содержащий группу, которой Вы хотите управлять.
-
Щелкните правой кнопкой мыши на требуемой группе и в контекстном меню выберите пункт Properties.
В нашем примере откройте свойства группы CN=AD LDS Testers.
-
В списке Attributes выберите атрибут member и нажмите кнопку Edit.
-
Чтобы добавить в группу участника безопасности AD LDS, в диалоговом окне Multi-valued Distinguished Name With Security Principal Editor нажмите кнопку Add DN, введите его различающееся имя (DN) и нажмите кнопку OK. Повторите эти действия для каждого участника безопасности AD LDS, которого Вы хотите добавить в группу.
В нашем примере введите имя CN=Mary North,OU=AD LDS Users,o=Microsoft,c=US.
-
Чтобы добавить в группу участника безопасности Windows, в диалоговом окне Multi-valued Distinguished Name With Security Principal Editor нажмите кнопку Add Windows account, введите имя его учетной записи и нажмите кнопку OK. Повторите эти действия для каждого участника безопасности Windows, которого Вы хотите добавить в группу.
-
Чтобы удалить участника безопасности из группы, выберите его имя в диалоговом окне Multi-valued Distinguished Name With Security Principal Editor и нажмите кнопку Remove. Повторите эти действия для каждого участника безопасности, которого Вы хотите удалить из группы.
-
После выполнения всех необходимых действий дважды нажмите кнопку OK.
Наверх страницы
Включение и отключение учетных записей пользователей AD LDS
Включая и отключая учетные записи пользователей AD LDS, Вы контролируете возможность привязки этих пользователей к каталогу AD LDS. Включение и отключение учетных записей пользователей AD LDS выполняется с помощью оснастки ADSI Edit.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для включения или отключения учетной записи пользователя AD LDS выполните следующие действия:
-
Откройте оснастку ADSI Edit.
-
Выполните подключение и привязку к разделу каталога экземпляра AD LDS, содержащему нужные учетные записи.
В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
Выберите учетную запись пользователя AD LDS, которую Вы хотите включить либо отключить, щелкните на ней правой кнопкой мыши и в контекстном меню выберите пункт Properties.
В нашем примере выберите учетную запись CN=Mary North.
-
В списке Attributes выберите атрибут msDS-UserAccountDisabled и нажмите кнопку Edit (примечание переводчика: этот атрибут доступен, если пользователь является объектом класса user; если при создании пользователя был выбран класс объекта inetOrgPerson, person или OrganizationalPerson, атрибут msDS-UserAccountDisabled может быть недоступен).
-
В диалоговом окне Boolean Attribute Editor выполните одно из следующих действий и нажмите кнопку OK:
-
Чтобы отключить учетную запись пользователя AD LDS, установите переключатель в положение True.
-
Чтобы включить учетную запись пользователя AD LDS, установите переключатель в положение False или Not set.
Наверх страницы
Шаг 5: Работа с разделами каталога приложений
Каталог службы AD LDS состоит из логических разделов. Существует три различных типа разделов каталога:
Каждое хранилище каталога AD LDS должно содержать один раздел каталога конфигурации и один раздел каталога схемы. В хранилище также могут содержаться несколько разделов каталога приложений, однако их наличие не является обязательным.
Разделы каталога приложений содержат данные, использующиеся Вашими приложениями. Вы можете создать раздел каталога приложений во время установки AD LDS или в любое время после установки этой службы. Для получения дополнительной информации о создании раздела каталога приложений во время установки службы AD LDS обратитесь к процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.
Вы можете выполнять вручную следующие действия по администрированию раздела каталога приложений:
Создание раздела каталога приложений
Для добавления нового раздела каталога приложений к существующему экземпляру AD LDS Вы можете использовать административный инструмент Ldp.exe.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для добавления раздела каталога приложений к существующему экземпляру AD LDS выполните следующие действия:
-
Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В меню Browse выберите команду Add child.
-
В поле Dn задайте различающееся имя для нового раздела каталога приложений.
В нашем примере введите имя cn=test,o=testpartition,c=us.
-
В разделе Edit entry введите следующие данные и нажмите кнопку Enter:
-
В разделе Edit entry введите следующие данные и нажмите кнопку Enter:
-
Нажмите кнопку Run.
После добавления нового раздела каталога приложений в области сведений будет выведен следующий текст:
Added {cn=test,o=testpartition,c=us}.
-
Нажмите кнопку Close.
-
Чтобы обновить окно программы Ldp и просмотреть новый раздел каталога, необходимо отключиться и повторно выполнить привязку к экземпляру AD LDS. В меню Connection выберите команду Disconnect.
-
Выполните повторную привязку к экземпляру AD LDS, как Вы делали это ранее.
-
Чтобы просмотреть дерево каталогов в окне Ldp, в меню View выберите команду Tree.
-
Чтобы просмотреть все разделы каталога экземпляра AD LDS, оставьте поле BaseDN пустым и нажмите кнопку OK.
-
Чтобы просмотреть новый раздел каталога вместе с его контейнерами и объектами по умолчанию, в дереве консоли дважды щелкните узел CN=test,O=testpartition,C=US.
Вы также можете создавать разделы каталога приложений AD LDS с помощью команды Dsmgmt.exe. Для получения дополнительной информации об этой команде обратитесь к статье Dsmgmt.
Наверх страницы
Удаление раздела каталога приложений
Для удаления раздела каталога приложений из существующего экземпляра AD LDS Вы можете использовать административный инструмент Ldp.exe.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для удаления раздела каталога приложений из существующего экземпляра AD LDS выполните следующие действия:
-
Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В дереве консоли дважды щелкните раздел каталога конфигурации CN=Configuration,CN={GUID}, где GUID – глобальный уникальный идентификатор, присваиваемый службой AD LDS.
-
Чтобы просмотреть объекты перекрестной ссылки для разделов каталога приложений экземпляра AD LDS, в дереве консоли дважды щелкните контейнер разделов CN=Partitions.
-
В контейнере разделов CN=Partitions дерева консоли дважды щелкайте объекты перекрестной ссылки, пока не найдете объект, для которого значение атрибута nCName, отображаемое в области сведений, равно CN=test,O=testpartition,C=US.
-
Чтобы удалить данный объект перекрестной ссылки (и, таким образом, соответствующий раздел каталога), в дереве консоли щелкните правой кнопкой мыши этот объект, в контекстном меню выберите команду Delete и нажмите кнопку OK.
Внимание:
Вы не сможете отменить удаление раздела после того, как нажмете кнопку OK.
-
После удаления объекта перекрестной ссылки в области сведений должен отображаться текст, подобный приведенному ниже:
ldap_delete_s(ld, "CN=56c5aea2-5cb1-450a-96f0-5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-DCBBEE6E08B1}");
Deleted "CN=56c5aea2-5cb1-450a-96f0-5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-DCBBEE6E08B1}"
-
Чтобы обновить окно программы Ldp и убедиться, что тестовый раздел каталога был успешно удален, необходимо отключиться и повторно выполнить привязку к экземпляру AD LDS. В меню Connection выберите команду Disconnect.
-
Выполните повторную привязку к экземпляру AD LDS, как Вы делали это ранее.
-
Чтобы просмотреть дерево каталогов в окне Ldp, в меню View выберите команду Tree.
-
Чтобы просмотреть все разделы каталога экземпляра AD LDS, оставьте поле BaseDN пустым и нажмите кнопку OK. Раздел CN=test,O=testpartition,C=US больше не должен отображаться в дереве консоли.
Вы также можете удалять разделы каталога приложений AD LDS с помощью команды Dsmgmt.exe. Для получения дополнительной информации об этой команде обратитесь к статье Dsmgmt.
Наверх страницы
Шаг 6. Управление авторизацией
Авторизацией называется процесс определения того, какие пользователи имеют доступ к определенным объектам каталога. Для каждого объекта каталога AD LDS существуют списки управления доступом (Access Control Lists, ACLs), которые определяют, какие пользователи имеют доступ к данному объекту. По умолчанию списки управления доступом службы AD LDS хранятся в объектах верхнего уровня каждого из разделов каталога. Все остальные объекты соответствующего раздела каталога наследуют эти списки. Для получения дополнительной информации о списках ACL обратитесь к статье Средства управления списками ACL.
В число задач по управлению авторизацией в AD LDS входят следующие задачи:
Просмотр действующих разрешений
Для просмотра действующих разрешений объектов AD LDS Вы можете использовать следующие средства:
Просмотр разрешений с помощью инструмента командной строки dsacls
Необходимым условием для выполнения следующей процедуры является членство в группе Readers экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для просмотра разрешений объекта каталога с помощью средства dsacls выполните следующие действия:
-
Откройте меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.
-
Чтобы вывести список всех действующих разрешений, установленных для объекта раздела каталога, в командной строке наберите следующую команду и нажмите клавишу ENTER:
dsacls \\<имя_сервера>:<порт>\<имя_объекта>
Параметр
|
Описание
|
dsacls
|
Просмотр или изменение разрешений для объектов AD DS и AD LDS.
|
<имя_сервера>
|
Имя сервера, на котором запущен экземпляр AD LDS, содержащий указанный объект каталога.
|
<порт>
|
Номер порта, на котором работает экземпляр AD LDS.
|
<имя_объекта>
|
Различающееся имя объекта каталога.
|
В нашем примере введите команду dsacls \\localhost:389\o=Microsoft,c=US и нажмите клавишу ENTER.
На экране должен отобразиться текст, подобный приведенному ниже:
Access list:
Effective Permissions on this object are:
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
Replicating Directory Changes
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
Replication Synchronization
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
Manage Replication Topology
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
Replicating Directory Changes All
Permissions inherited to subobjects are:
Inherited to all subobjects
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL
The command completed successfully
Наверх страницы
Просмотр разрешений с помощью инструмента Ldp.exe
Необходимым условием для выполнения следующей процедуры является членство в группе Readers экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для просмотра разрешений объекта каталога с помощью программы LDP.exe выполните следующие действия:
-
Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В области переходов щелкните правой кнопкой мыши на объекте каталога, разрешения которого Вы хотите просмотреть, в меню Advanced выберите пункт Security Descriptor и нажмите кнопку OK.
В результате этих действий откроется диалоговое окно Security Descriptor, в котором отображаются все записи управления доступом выбранного объекта раздела каталога, а также все связанные с ними права доступа.
Наверх страницы
Предоставление разрешений
Для предоставления разрешений для объектов AD LDS Вы можете использовать следующие средства:
Предоставление разрешений с помощью инструмента командной строки dsacls
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для предоставления разрешений для объекта каталога с помощью средства dsacls выполните следующие действия:
-
Откройте меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.
-
В командной строке наберите следующую команду и нажмите клавишу ENTER:
dsacls "\\<имя_сервера>:<порт>\<имя_объекта>" /G "<пользователь_или_группа>":<разрешения>
Параметр
|
Описание
|
dsacls
|
Просмотр или изменение разрешений для объектов AD DS и AD LDS.
|
<имя_сервера>
|
Имя сервера, на котором запущен экземпляр AD LDS, содержащий указанный объект каталога.
|
<порт>
|
Номер порта, на котором работает экземпляр AD LDS.
|
<имя_объекта>
|
Различающееся имя объекта каталога.
|
<пользователь_или_группа>
|
Пользователь или группа, которым предоставляются разрешения.
|
<разрешения>
|
Предоставляемые разрешения.
|
/G
|
Предоставление разрешений указанному пользователю или указанной группе.
|
В нашем примере введите следующую команду (в одной строке) и нажмите клавишу ENTER:
dsacls "\\localhost:389\cn=AD LDS Testers,OU=AD LDS users,o=Microsoft,c=US" /G "CN=Mary North,OU=AD LDS users,o=Microsoft,c=US":SD
Эта команда предоставляет пользователю Mary North разрешение Delete для объекта CN=AD LDS Testers.
На экране должен отобразиться текст, подобный приведенному ниже:
Access list:
Effective Permissions on this object are:
Allow CN=Mary North,OU=ADAM users,O=Microsoft,C=US
SPECIAL ACCESS
DELETE
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
Permissions inherited to subobjects are:
Inherited to all subobjects
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
The command completed successfully
Наверх страницы
Предоставление разрешений с помощью инструмента Ldp.exe
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для предоставления разрешений для объекта каталога с помощью программы LDP.exe выполните следующие действия:
-
Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В области переходов щелкните правой кнопкой мыши на объекте каталога, разрешения для которого Вы хотите изменить, в меню Advanced выберите пункт Security Descriptor и нажмите кнопку OK.
В результате этих действий откроется диалоговое окно Security Descriptor, в котором отображаются все записи управления доступом выбранного объекта раздела каталога, а также все связанные с ними права доступа.
-
Щелкните на любой записи управления доступом в списке DACL (n ACEs) и нажмите кнопку Add ACE.
-
В поле Trustee введите различающееся имя учетной записи пользователя, которому предоставляются разрешения.
-
Установите переключатель ACE type в положение Allow.
-
В разделе Access mask выберите все разрешения, которые Вы хотите предоставить указанному пользователю.
-
Выберите необходимые флаги в разделе ACE flags.
-
Выберите необходимый параметр в раскрывающемся списке Object type.
-
Выберите необходимый параметр в раскрывающемся списке Inherited object type и нажмите кнопку OK.
Наверх страницы
Отказ в разрешениях
Для отказа в разрешениях для объектов AD LDS Вы можете использовать следующие средства:
Отказ в разрешениях с помощью инструмента командной строки dsacls
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для отказа в разрешениях для объекта каталога с помощью средства dsacls выполните следующие действия:
-
Откройте меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.
-
В командной строке наберите следующую команду и нажмите клавишу ENTER:
dsacls "\\<имя_сервера>:<порт>\<имя_объекта>" /D "<пользователь_или_группа>":<разрешения>
Параметр
|
Описание
|
dsacls
|
Просмотр или изменение разрешений для объектов AD DS и AD LDS.
|
<имя_сервера>
|
Имя сервера, на котором запущен экземпляр AD LDS, содержащий указанный объект каталога.
|
<порт>
|
Номер порта, на котором работает экземпляр AD LDS.
|
<имя_объекта>
|
Различающееся имя объекта каталога.
|
<пользователь_или_группа>
|
Пользователь или группа, которым отказывается в разрешениях.
|
<разрешения>
|
Разрешения, в которых отказывается.
|
/D
|
Отказ в разрешениях указанному пользователю или указанной группе.
|
В нашем примере введите следующую команду (в одной строке) и нажмите клавишу ENTER:
dsacls “\\localhost:389\CN=AD LDS Testers,OU=AD LDS Users,o=microsoft,c=US” /D domain\administrator:SDDCDT.
Примечание:
Переменная domain\administrator соответствует учетной записи текущего пользователя.
Эта команда отказывает текущему пользователю в разрешениях Delete, Delete Child и Delete Tree для объекта CN=AD LDS Testers.
На экране должен отобразиться текст, подобный приведенному ниже
Access list:
Effective Permissions on this object are:
Deny domain\account SPECIAL ACCESS
DELETE
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
Permissions inherited to subobjects are:
Inherited to all subobjects
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
The command completed successfully
Наверх страницы
Отказ в разрешениях с помощью инструмента Ldp.exe
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для отказа в разрешениях для объекта каталога с помощью программы LDP.exe выполните следующие действия:
-
Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В области переходов щелкните правой кнопкой мыши на объекте каталога, разрешения для которого Вы хотите изменить, в меню Advanced выберите пункт Security Descriptor и нажмите кнопку OK.
В результате этих действий откроется диалоговое окно Security Descriptor, в котором отображаются все записи управления доступом выбранного объекта раздела каталога, а также все связанные с ними права доступа.
-
Щелкните на любой записи управления доступом в списке DACL (n ACEs) и нажмите кнопку Add ACE.
-
В поле Trustee введите различающееся имя учетной записи пользователя, которому отказывается в разрешениях.
-
Установите переключатель ACE type в положение Deny.
-
В разделе Access mask выберите все разрешения, в которых Вы хотите отказать указанному пользователю.
-
Выберите необходимые флаги в разделе ACE flags.
-
Выберите необходимый параметр в раскрывающемся списке Object type.
-
Выберите необходимый параметр в раскрывающемся списке Inherited object type и нажмите кнопку OK.
Наверх страницы
Шаг 7. Управление проверкой подлинности
Пользователи (участники безопасности) запрашивают информацию каталога AD LDS посредством приложений, ориентированных на работу с каталогами, которые, в свою очередь, выполняют запросы к AD LDS, используя протокол LDAP. Для того чтобы выполнить эти запросы, служба AD LDS должна сначала проверить учетные данные пользователя или выполнить его успешную привязку к каталогу. Под участником безопасности понимается любой объект, который имеет идентификатор безопасности (SID) и которому могут быть назначены разрешения для объектов каталога.
Вы можете выполнить привязку к экземпляру AD LDS следующими способами:
-
В качестве участника безопасности AD LDS (когда учетная запись пользователя расположена непосредственно в AD LDS)
-
В качестве участника безопасности Windows (когда учетная запись пользователя расположена на локальном компьютере или в домене Active Directory)
-
Через объект прокси AD LDS
В число задач по управлению проверкой подлинности AD LDS входят следующие задачи:
Установка пароля участника безопасности AD LDS
Вы можете устанавливать и изменять пароли участников безопасности AD LDS следующими способами:
Также Вы можете устанавливать и изменять пароли участников безопасности AD LDS через SSL-подключение. Для получения дополнительной информации о настройке протокола LDAP через SSL обратитесь к Приложению А. Настройка работы AD LDS по протоколу LDAP через SSL этого документа.
Установка или смена пароля участника безопасности AD LDS с помощью оснастки «ADSI Edit»
Пользователь AD LDS, для которого Вы устанавливаете или меняете пароль, должен использовать новый пароль при следующем входе в систему.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для задания или смены пароля участника безопасности AD LDS с помощью оснастки «ADSI Edit» выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
Выполните подключение и привязку к разделу каталога экземпляра AD LDS, содержащего пользователя, пароль которого Вы хотите создать или изменить.
В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
Найдите объект каталога, представляющий собой пользователя AD LDS, и щелкните на нем правой кнопкой мыши.
В нашем примере щелкните правой кнопкой мыши на учетной записи CN=Mary North, которая была создана во время выполнения процедуры «Создание пользователя AD LDS» раздела Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS этого документа.
-
В контекстном меню выберите команду Reset password, введите и подтвердите пароль в полях New password и Confirm password.
Наверх страницы
Установка пароля участника безопасности AD LDS с помощью средства Ldp.exe через зашифрованное соединение без использования SSL
Пользователь AD LDS, для которого Вы устанавливаете или меняете пароль, должен использовать новый пароль при следующем входе в систему.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для установки или смены пароля участника безопасности AD LDS с помощью средства Ldp.exe через зашифрованное соединение без использования SSL выполните следующие действия:
-
Откройте меню Start и щелкните значок Server Manager.
-
В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.
-
В разделе Advanced Tools, расположенном в области сведений, щелкните ссылку Ldp.exe или запустите это приложение из командной строки..
-
В меню Options выберите пункт Connection Options.
-
В раскрывающемся списке Option Name выберите параметр LDAP_OPT_SIGN, в поле Value введите 1 и нажмите кнопку Set.
-
В раскрывающемся списке Option Name выберите параметр LDAP_OPT_ENCRYPT, в поле Value введите 1, нажмите кнопку Set, а затем нажмите кнопку Close.
-
Выполните подключение и привязку к разделу каталога экземпляра AD LDS, содержащего пользователя, пароль которого Вы хотите создать или изменить. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В меню View выберите пункт Tree, оставьте поле BaseDN пустым и нажмите кнопку OK.
-
Перейдите в раздел каталога, содержащий пользователя AD LDS, для которого Вы хотите задать пароль.
В нашем примере выберите учетную запись CN=Mary North, которая была создана во время выполнения процедуры «Создание пользователя AD LDS» раздела Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS этого документа.
-
Щелкните правой кнопкой мыши на учетной записи пользователя AD LDS и в контекстном меню выберите команду Modify.
-
В поле Attribute введите userpassword, затем введите новый пароль учетной записи в поле Value.
-
Нажмите кнопку Enter, а затем нажмите кнопку Run. В области сведений должен отображаться текст, подобный приведенному ниже:
***Call Modify...
ldap_modify_s(ld, 'CN=Mary North,O=Microsoft,C=US',[1] attrs);
Modified "CN=Mary North,O=Microsoft,C=US".
Наверх страницы
Привязка в качестве участника безопасности AD LDS
В следующей процедуре Вы выполните привязку к экземпляру AD LDS в качестве участника безопасности AD LDS.
Для привязки в качестве участника безопасности AD LDS выполните следующие действия:
-
Откройте меню Start и щелкните значок Server Manager.
-
В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.
-
В разделе Advanced Tools, расположенном в области сведений, щелкните ссылку Ldp.exe или запустите это приложение из командной строки.
-
В меню Connection окна программы Ldp.exe выберите команду Connect. Выполните подключение к экземпляру AD LDS, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В меню Connection выберите команду Bind.
-
В разделе Bind type установите переключатель в положение Simple Bind, в поле User введите CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US, в поле Password введите пароль, который Вы только что создали, и нажмите кнопку OK.
В области сведений должен отображаться текст, подобный приведенному ниже:
res = ldap_simple_bind_s(ld, 'CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US', <unavailable>0; // v.3
Authenticated as: 'CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US'.
Примечание:
По умолчанию новые пользователи AD LDS (такие как Mary North) получают разрешение Read для контейнера верхнего уровня соответствующего раздела каталога. Это разрешение наследуется всеми объектами, содержащимися в разделе.
Наверх страницы
Привязка в качестве участника Windows
Для проверки подлинности и контроля доступа служба AD LDS позволяет использовать учетные записи участников безопасности Windows. Пользователи Windows могут являться членами групп AD LDS.
По умолчанию пользователь Windows, выполнивший привязку к экземпляру AD LDS, становится участником только тех групп AD LDS, к которым он был добавлен явным образом.
В следующей процедуре Вы выполните привязку к экземпляру AD LDS в качестве участника безопасности Windows с помощью оснастки ADSI Edit.
Для привязки в качестве участника безопасности Windows выполните следующие действия:
-
Добавьте участника безопасности Windows во встроенную группу AD LDS CN=Readers или CN=Administrators, пользуясь инструкциями, представленными в процедуре «Добавление пользователей в группу AD LDS и удаление из нее» раздела Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS этого документа.
Примечание:
Этот шаг является необходимым, поскольку по умолчанию участники безопасности Windows, не имеющие доступа к данным каталога, не могут выполнять привязку к экземпляру AD LDS с помощью оснастки ADSI Edit.
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
В меню Action выберите команду Connect to. Откроется диалоговое окно Connection Settings.
-
Установите переключатель в положение Select or type a domain or server: (Server | Domain[:port] и введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS. После этого через двоеточие (:) укажите номер порта LDAP, на котором работает экземпляр AD LDS.
В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому Вы можете ввести следующую строку: localhost:389.
-
В разделе Connection point установите переключатель в положение Select or type a Distinguished Name or Naming Context и введите o=Microsoft,c=US.
-
Нажмите кнопку Advanced и установите флажок Specify Credentials.
-
В разделе Credentials введите домен, имя учетной записи и пароль участника безопасности Windows и нажмите кнопку OK.
-
В дереве консоли оснастки ADSI Edit последовательно раскройте узлы AD LDS demo и O=Microsoft,c=US. Теперь в оснастке ADSI Edit отображается раздел каталога приложений.
-
В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.
Наверх страницы
Привязка через объект прокси AD LDS
Помимо выполнения привязки в качестве пользователя Windows или пользователя AD LDS, можно выполнить привязку к экземпляру AD LDS с использованием перенаправления привязки AD LDS. При использовании перенаправления привязки служба AD LDS может принимать и обрабатывать запросы на привязку, отправленные объекту прокси AD LDS, содержащему в качестве одного из своих атрибутов идентификатор безопасности (SID) от участника безопасности AD LDS. Служба AD LDS позволяет Вам применять перенаправление привязки для предоставления пользователям AD LDS доступа как к данным AD LDS, так и к данным AD DS, используя учетные данные домена Active Directory для выполнения единого входа (Single sign-on, SSO). Кроме того, Вы можете использовать объекты прокси AD LDS для хранения информации пользователей, относящейся к определенному приложению AD LDS, и в то же время использовать AD DS в качестве хранилища чаще используемых данных каталога.
|
Важно:
|
|
Перенаправление привязки позволяет пользователю выполнять привязку к экземпляру AD LDS путем простой привязки, используя при этом учетные данные Active Directory.
|
LDF-файлы службы AD LDS, которые Вы можете импортировать в схему AD LDS во время настройки этой службы, содержат определение объекта userProxy, который Вы можете использовать для перенаправления привязки. Этот объект содержит атрибуты, включающие в себя различающееся имя и идентификатор безопасности (SID). Создав в AD LDS объект userProxy (путем задания различающегося имени для выполнения привязки) и используя допустимый код SID из учетной записи AD LDS, Вы можете выполнить привязку к экземпляру AD LDS с использованием перенаправления привязки.
В следующей процедуре предполагается, что Вы уже импортировали в схему AD LDS дополнительные пользовательские классы, как это описано в процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.
Выполнение привязки к экземпляру AD LDS через объект прокси состоит из следующих шагов:
Отключение требований использования протокола SSL
По умолчанию для выполнения привязки к экземпляру AD LDS с использованием перенаправления привязки требуется наличие SSL-подключения. В свою очередь, для работы протокола SSL необходимо, чтобы на компьютере, на котором запущена служба AD LDS, использовались установленные сертификаты безопасности. Для получения дополнительной информации о настройке протокола LDAP через SSL обратитесь к Приложению А. Настройка работы AD LDS по протоколу LDAP через SSL этого документа.
Если при выполнении следующих шагов этого руководства в лабораторной среде Вы не используете протокол SSL, то в качестве альтернативного варианта Вы можете отключить требования его использования, как это описано в следующей процедуре.
|
Примечание:
|
|
Отключение требований использования протокола SSL для перенаправления привязки приводит к тому, что пароль участника безопасности Windows передается на компьютер с запущенной службой AD LDS без предварительного шифрования. По этой причине отключение требований использования протокола SSL следует производить только в лабораторной среде.
|
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Чтобы отключить требования использования протокола SSL для перенаправления привязки, выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
В меню Action выберите команду Connect to.
-
Установите переключатель в положение Select or type a domain or server: (Server | Domain[:port] и в соответствующее поле введите localhost:389.
-
В разделе Connection point установите переключатель в положение Select a well-known naming context, в раскрывающемся списке выберите параметр Configuration и нажмите кнопку OK.
-
В дереве консоли найдите следующий контейнер раздела конфигурации: CN=Directory Service,CN=Windows NT,CN=Services.
-
Щелкните правой кнопкой мыши на объекте CN=Directory Service и в контекстном меню выберите пункт Properties.
-
В списке Attributes выберите атрибут msDS-Other-Settings и нажмите кнопку Edit.
-
В списке Values выберите параметр RequireSecureProxyBind=1 и нажмите кнопку Remove.
-
В поле Value to add введите RequireSecureProxyBind=0, нажмите кнопку Add, а затем нажмите кнопку OK.
Наверх страницы
Создание объекта прокси AD LDS
Теперь все готово для создания объекта прокси AD LDS для Вашего пользователя Active Directory.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для создания объекта прокси AD LDS выполните следующие действия:
-
Откройте меню Start и щелкните значок Server Manager.
-
В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.
-
В разделе Advanced Tools, расположенном в области сведений, щелкните ссылку Ldp.exe или запустите это приложение из командной строки.
-
Выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.
-
В меню Browse выберите команду Add child.
-
В поле Dn введите cn=testproxy,o=microsoft,c=us в качестве различающегося имени для нового объекта userProxy, создаваемого в контейнере O=Microsoft,C=US.
-
В разделе Edit entry введите следующие данные и нажмите кнопку Enter:
-
В разделе Edit entry введите следующие данные и нажмите кнопку Enter::
-
В поле Attribute введите objectSID.
-
В поле Values введите допустимый идентификатор безопасности SID пользователя AD DS.
Чтобы узнать код SID пользователя AD DS, наберите в командной строке следующую команду:
dsquery user -samid <учетная_запись> | dsget user -sid
где <учетная_запись> – имя входа пользователя, чей код SID Вы хотите получить. В этом примере результаты выполнения команды dsquery передаются на вход команды dsget.
Важно:
Пользователь Active Directory, для которого Вы создаете объект прокси AD LDS, не должен являться членом какой-либо из групп AD LDS. Вы не сможете успешно создать объект прокси AD LDS для участника безопасности Windows, являющегося членом группы AD LDS. Тем не менее, после создания объекта прокси AD LDS для пользователя Active Directory, этот пользователь может быть добавлен в любую из групп AD LDS.
-
Убедитесь, что установлен флажок Synchronous.
-
Нажмите кнопку Run, чтобы добавить объект userProxy с указанными атрибутами в хранилище каталога AD LDS.
В области сведений будет выведен следующий текст:
Added {cn=testproxy,o=microsoft,c=us}.
-
В меню Connection выберите команду Disconnect, чтобы отключиться от экземпляра AD LDS.
Наверх страницы
Привязка через объект прокси AD LDS
Теперь все готово для привязки к экземпляру AD LDS через объект прокси AD LDS с использованием перенаправления привязки.
Для выполнения привязки в качестве объекта прокси AD LDS с использованием перенаправления привязки выполните следующие действия:
-
В меню Connection выберите команду Connect и выполните новое подключение к локальному экземпляру AD LDS (localhost:389).
-
В меню Options выберите пункт Connection Options.
-
В раскрывающемся списке Option Name выберите параметр LDAP_OPT_SIGN, в поле Value введите 1 и нажмите кнопку Set.
-
В раскрывающемся списке Option Name выберите параметр LDAP_OPT_ENCRYPT, в поле Value введите 1, нажмите кнопку Set, а затем нажмите кнопку Close.
-
Чтобы выполнить привязку к экземпляру AD LDS, в меню Connection выберите команду Bind.
-
Установите переключатель Bind type в положение Simple bind.
-
В поле User введите имя cn=testproxy,o=Microsoft,c=us, являющееся именем объекта прокси, созданного Вами в предыдущей процедуре.
-
В поле Password введите пароль пользователя AD DS, для которого Вы создали объект прокси, и нажмите кнопку OK.
В области сведений будет выведен следующий текст:
Authenticated as: "CN=testproxy,O=Microsoft,C=US'.
Наверх страницы
Демонстрация возможностей привязки через объект прокси
По умолчанию пользователь Windows, выполнивший привязку к экземпляру AD LDS, становится участником только тех групп AD LDS, к которым он был добавлен явным образом. Когда пользователь выполняет привязку к экземпляру AD LDS через объект прокси, он становится участником группы Users в каждом из контекстов именования, содержащихся в данном экземпляре AD LDS.
Отличие в предоставлении членства в группах может использоваться для демонстрации функциональных отличий между привязкой к экземпляру AD LDS в качестве пользователя Windows и привязкой к экземпляру AD LDS через объект прокси.
Для демонстрации привязки к экземпляру AD LDS через объект прокси выполните следующие действия:
-
В разделе каталога O=Microsoft,C=US сделайте группу Users участником группы Readers в соответствии с общими инструкциями по добавлению участников в группы, представленными в процедуре «Добавление пользователей в группу AD LDS и удаление из нее» раздела Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS этого документа.
-
С помощью инструмента Ldp.exe выполните привязку к экземпляру AD LDS в качестве пользователя Active Directory (не используйте учетную запись администратора AD LDS, которая по умолчанию имеет полный доступ ко всем разделам каталога).
-
Попытайтесь прочесть любой из объектов раздела каталога O=Microsoft,C=US.
Ваша попытка не должна увенчаться успехом, поскольку по умолчанию пользователь Active Directory не имеет доступа к каталогу.
-
С помощью инструмента Ldp.exe выполните привязку к экземпляру AD LDS через только что созданный Вами объект прокси, как это было описано в предыдущей процедуре.
-
Снова попытайтесь прочесть любой из объектов раздела каталога O=Microsoft,C=US.
На этот раз Ваша попытка должна завершиться успешно. Выполнение привязки к экземпляру AD LDS через объект прокси должно позволить Вам успешно прочесть раздел каталога, поскольку пользователям, выполнившим привязку таким способом, автоматически предоставляется членство в группе Users, которая, в свою очередь, была добавлена Вами в группу Readers на первом шаге данной процедуры.
Наверх страницы
Шаг 8. Управление наборами конфигурации
Для обеспечения отказоустойчивости и балансировки нагрузки экземпляры AD LDS могут входить в состав наборов конфигурации, на основании принадлежности к которым выполняется репликация между экземплярами. Между всеми экземплярами AD LDS, входящими в набор конфигурации, выполняется репликация раздела общего каталога конфигурации, раздела общей схемы, а также любого числа разделов каталога приложений.
Для создания реплики существующего экземпляра AD LDS и присоединения его к существующему набору конфигурации используйте мастер Active Directory Lightweight Directory Services Setup Wizard. Вам должно быть известно DNS-имя сервера, на котором запущен существующий экземпляр AD LDS, входящий в состав набора конфигурации, а также номер LDAP-порта, на котором работает этот экземпляр. Также Вы можете указать различающиеся имена (DN) определенных разделов каталога приложения, которые Вы хотите скопировать из набора конфигурации в создаваемую реплику экземпляра AD LDS.
В число задач по управлению наборами конфигурации входят следующие задачи:
Создание реплики экземпляра AD LDS
Вы можете создать и установить реплику экземпляра AD LDS с помощью мастера Active Directory Lightweight Directory Services Setup Wizard.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для установки реплики экземпляра AD LDS с помощью мастера «Active Directory Lightweight Directory Services Setup Wizard» выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Lightweight Directory Services Setup Wizard.
-
На странице Welcome to the Active Directory Lightweight Directory Services Setup Wizard нажмите кнопку Next.
-
На странице Setup Options установите переключатель в положение A replica of an existing instance и нажмите кнопку Next
-
На странице Instance Name оставьте имя instance2 (или instance1, если Вы устанавливаете AD LDS на втором компьютере), предлагаемое по умолчанию, и нажмите кнопку Next.
Примечание:
Имена экземпляров AD LDS должны быть уникальными только в пределах одного компьютера.
-
На странице Ports оставьте номера 50000 и 50001 (или 389 и 636, если Вы устанавливаете AD LDS на втором компьютере), предлагаемые по умолчанию, и нажмите кнопку Next.
-
На странице Joining a Configuration Set в поле Server введите имя узла или DNS-имя компьютера, на котором установлен первый экземпляр AD LDS. В поле LDAP port введите номер порта, на котором работает первый экземпляр AD LDS (по умолчанию 389), и нажмите кнопку Next.
Примечание:
Вы должны ввести допустимое имя узла или DNS-имя, а не IP-адрес или имя localhost, которые Вы указывали на странице Joining a Configuration Set мастера Active Directory Lightweight Directory Services Setup Wizard.
-
На странице Administrative Credentials for the Configuration Set укажите учетную запись, которая используется в качестве учетной записи администратора AD LDS Вашего первого экземпляра AD LDS.
-
На странице Copy Application Partition отметьте разделы каталога приложений, которые Вы хотите реплицировать в новый экземпляр AD LDS (разделы схемы и разделы конфигурации будут реплицированы автоматически). Чтобы выбрать для репликации раздел каталога O=Microsoft,C=US, в списке Available partitions установите флажок O=Microsoft,C=US и нажмите кнопку Next.
-
На всех оставшихся страницах мастера нажимайте кнопку Next, принимая значения по умолчанию. На странице Completing the Active Directory Application Mode Setup Wizard нажмите кнопку Finish.
-
После завершения установки с помощью оснастки ADSI Edit убедитесь, что раздел каталога O=Microsoft,C=US был реплицирован во второй экземпляр AD LDS.
Наверх страницы
Настройка расписания репликации
Теперь, когда у Вас есть несколько экземпляров AD LDS, объединенные в единый набор конфигурации, Вы можете настроить расписание репликации.
Необходимым условием для выполнения следующей процедуры является членство в группе Administrators. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для создания расписания репликации между несколькими экземплярами AD LDS выполните следующие действия:
-
В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.
-
В дереве консоли щелкните значок ADSI Edit.
-
В меню Action выберите команду Connect to. Откроется диалоговое окно Connection Settings.
-
В поле Name Вы можете задать имя, под которым данное соединение будет отображаться в дереве консоли оснастки ADSI Edit. В нашем примере введите имя AD LDS Demo.
-
Установите переключатель в положение Select or type a domain or server: (Server | Domain[:port] и введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS. После этого через двоеточие (:) укажите номер порта LDAP, на котором работает экземпляр AD LDS.
В нашем примере введите localhost:389.
-
В разделе Connection point установите переключатель в положение Select a well known Naming Context, в раскрывающемся списке выберите параметр Configuration и нажмите кнопку OK.
Примечание:
Поскольку все Ваши экземпляры AD LDS входят в состав одного набора конфигурации, Вы можете настроить расписание репликации для любого из них.
-
В дереве консоли дважды щелкните раздел каталога конфигурации CN=Configuration,CN={GUID}, где GUID – глобальный уникальный идентификатор, присваиваемый во время установки службы AD LDS. Дважды щелкните контейнер сайтов CN=Sites, а затем дважды щелкните контейнер сайтов по умолчанию CN=Default-First-Site-Name.
Примечание:
По умолчанию все созданные Вами экземпляры AD LDS принадлежат одному сайту, имя которого Default-First-Site-Name. В нашем примере все экземпляры AD LDS также принадлежат одному сайту, поэтому расписание репликации настраивается в пределах одного сайта (это называется внутрисайтовой репликацией). Для получения дополнительной информации обратитесь к статье Пошаговое руководство по настройке репликации служб Active Directory Lightweight Directory Services (EN).
-
В области сведений щелкните правой кнопкой мыши на объекте CN=NTDS Site Settings и в контекстном меню выберите команду Schedule.
-
В диалоговом окне Schedule выберите интервал времени, для которого необходимо настроить расписание, а затем задайте для этого интервала периодичности репликации, установив переключатель в положение None, Once per Hour, Twice per Hour или Four Times per Hour. Повторите эти действия для всех требуемых временных интервалов и нажмите кнопку OK.
Примечание:
При внутрисайтовой репликации экземпляры AD LDS реплицируют изменения посредством уведомлений об обновлении. Расписание периодичности репликации влияет на внутрисайтовую репликацию только при отсутствии уведомлений об обновлении в указанное время.
Примечание:
Настройка расписания репликации не является обязательной. По умолчанию периодичность репликации AD LDS составляет один раз в час (параметр Once per Hour).
Наверх страницы
Приложение А. Настройка работы AD LDS по протоколу LDAP через SSL
Служба AD LDS использует протокол LDAP для чтения и записи данных. По умолчанию трафик протокола LDAP не передается в защищенном виде. Вы можете обеспечить защиту трафика LDAP путем использования протоколов SSL/TLS (Secure Sockets Layer/Transport Layer Security).
Для использования зашифрованных SSL-подключений к службам AD LDS Вы должны запросить и получить сертификат проверки подлинности сервера, выпущенный доверенным центром сертификации (ЦС) Вашей организации или сторонним доверенным ЦС. Для получения дополнительной информации об установке и использовании центров сертификации обратитесь к разделу Службы сертификации на веб-узле Microsoft TechNet.
Настройка протокола LDAP через SSL на отдельном сервере AD LDS
В этом разделе будут рассмотрены следующие общие шаги по настройке протокола LDAP через SSL (LDAPS) на отдельном сервере AD LDS:
Шаг 1. Установка сертификата проверки подлинности сервера
После того как Вы получите сертификат от доверенного центра сертификации, Вы должны установить или импортировать его на сервер с запущенной службой AD LDS. Для этого Вы можете воспользоваться оснасткой Certificates операционной системы Windows Server 2008. Для получения дополнительной информации обратитесь к разделу Инструкции по сертификатам на веб-узле Microsoft TechNet.
Полученный сертификат проверки подлинности сервера рекомендуется устанавливать в личное хранилище сертификатов службы AD LDS. Однако если Вы хотите использовать этот сертификат для других приложений, а не только для службы AD LDS, Вы должны установить его в личное хранилище сертификатов локального компьютера.
|
Важно:
|
|
Устанавливаемый или импортируемый сертификат должен являться сертификатом подлинности сервера.
|
При запросе сертификата укажите полное доменное имя компьютера (Fully qualified domain name, FQDN), на котором запущен экземпляр AD LDS, в качестве определяющего имени сертификата. Другими словами, сертификат проверки подлинности сервера должен быть выпущен для FQDN-имени компьютера, на котором запущен экземпляр AD LDS.
|
Примечание:
|
|
Для определения требований, предъявляемых к имени сертификата проверки подлинности сервера для экземпляров AD LDS, работающих на серверах с балансировкой нагрузки сети (Network Load Balancing, NLB) обратитесь к разделу «Настройка протокола LDAP через SSL для экземпляров AD LDS, работающих на серверах с балансировкой нагрузки сети» этого приложения.
|
Для проверки того, что сертификат хранится в личном хранилище сертификатов службы AD LDS, выполните следующие действия:
-
В меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.
-
В командной строке наберите команду mmc, чтобы открыть консоль MMC.
-
В меню File выберите команду Add/Remove Snap-in, в списке доступных оснасток Available snap-ins выберите оснастку Certificates и нажмите кнопку Add.
-
В диалоговом окне Certificates Snap-ins установите переключатель в положение Service account, чтобы просмотреть сертификаты, установленные в личное хранилище сертификатов службы AD LDS, и нажмите кнопку Next.
-
В диалоговом окне Select Computer установите переключатель в положение Local computer и нажмите кнопку Next.
-
В списке Service account выберите имя экземпляра AD LDS, к которому Вы хотите подключаться по протоколу LDAPS, и нажмите кнопку Finish.
-
В диалоговом окне Add or Remove Snap-ins нажмите кнопку OK.
-
В дереве консоли последовательно раскройте узлы Certificates - Service, ADAM_имя_экземпляра\Personal, Certificates.
-
В области сведений найдите установленный или импортированный сертификат и убедитесь, что в столбце Intended Purposes он отмечен как Server Authentication, а в столбце Issued To содержится полное FQDN-имя компьютера.
Для получения дополнительной информации об установке сертификатов проверки подлинности сервера, выпущенных как центром сертификации Microsoft, так и другими ЦС, обратитесь к статье Активация LDAP через SSL с использованием сертификата независимого центра сертификации на веб-узле справки и поддержки Microsoft.
Наверх страницы
Шаг 2. Настройка разрешений для сертификата проверки подлинности сервера
Перед тем как Вы начнете использовать сертификат проверки сервера для работы с AD LDS, Вы должны убедиться, что учетная запись службы AD LDS имеет доступ на чтение установленного сертификата.
|
Примечание:
|
|
По умолчанию устанавливаемые экземпляры AD LDS работают под учетной записью сетевой службы (Network service). Вы можете выбрать (изменить) учетную запись, под которой работает экземпляр AD LDS, на странице Service Account Selection мастера Active Directory Lightweight Directory Services Setup Wizard.
|
Для предоставления учетной записи «Network service» разрешений на чтение сертификата проверки подлинности выполните следующие действия:
-
Перейдите в папку «C:\Users\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys», в которой по умолчанию хранятся установленные или импортированные сертификаты.
-
Правой кнопкой мыши щелкните на нужном сертификате проверки подлинности сервера и в контекстном меню выберите пункт Properties.
-
Перейдите на вкладку Security и нажмите кнопку Edit.
-
В диалоговом окне Permissions нажмите кнопку Add.
-
В диалоговом окне Select Users, Computers, or Groups введите Network Service и нажмите кнопку OK.
Наверх страницы
Шаг 3. Подключение к экземпляру AD LDS по протоколу LDAP через SSL с помощью Ldp.exe
Для проверки работы сертификата проверки подлинности сервера Вы можете открыть программу Ldp.exe на компьютере, на котором запущен экземпляр AD LDS, а затем подключиться к этому экземпляру с использованием SSL.
Для подключения к экземпляру AD LDS по протоколу LDAPS с помощью Ldp.exe выполните следующие действия:
-
Откройте меню Start и щелкните значок Server Manager.
-
В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.
-
В разделе Advanced Tools, расположенном в области сведений, щелкните ссылку Ldp.exe или запустите это приложение из командной строки.
-
В меню Connection окна программы Ldp.exe выберите команду Connect.
-
В поле Server введите полное FQDN-имя компьютера, на котором запущен экземпляр AD LDS.
Примечание:
Во избежание ошибок при подключении к экземпляру AD LDS через SSL с помощью Ldp.exe, Вы должны указать FQDN-имя компьютера, на котором запущен экземпляр AD LDS.
-
В поле Port введите номер SSL-порта экземпляра AD LDS, к которому Вы хотите подключиться, и нажмите кнопку OK
-
Убедитесь, что установлен флажок SSL, и нажмите кнопку OK.
|
Важно:
|
|
Вы также можете использовать данную процедуру для подключения к экземпляру AD LDS по протоколу LDAPS с клиентского компьютера. В этом случае клиентский компьютер должен доверять сертификату проверки подлинности сервера, на котором запущен экземпляр AD LDS. Вы можете достичь этого, добавив в хранилище сертификатов доверенных корневых издателей (Trusted Root Certification Authorities) клиентского компьютера корневой сертификат, выпущенный доверенным ЦС, издавшим сертификат проверки подлинности сервера AD LDS.
|
Наверх страницы
Настройка протокола LDAP через SSL для экземпляров AD LDS, работающих на серверах с балансировкой нагрузки сети
Служба AD LDS поддерживает балансировку нагрузки сети (Network Load Balancing, NLB), если при этом используется ОС Windows Server 2008. Вы можете использовать предыдущую процедуру, чтобы настроить протокол LDAPS для экземпляров AD LDS, запущенных на узлах NLB-кластера. Однако в этом случае Ваш сертификат проверки подлинности сервера должен отвечать следующим требованиям:
-
Для того чтобы служба AD LDS могла выбрать правильный сертификат для выдачи клиентам, сертификат должен располагаться в личном хранилище сертификатов службы AD LDS (программно известном как хранилище MY сертификатов компьютера). Никакие другие сертификаты не должны располагаться в этом хранилище.
-
При запросе сертификата проверки подлинности сервера для экземпляров AD LDS, запущенных на узлах NLB-кластера, убедитесь, что сертификат издается для общих имен узлов и DNS-суффиксов, из которых состоят полные FQDN-имена всех узлов NLB-кластера, на которых запущены экземпляры AD LDS. Другими словами, определяющее имя сертификата должно состоять из общих имен узлов и DNS-суффиксов всех узлов NLB-кластера, на которых запущены экземпляры AD LDS.
Например, если Вы запрашиваете в ЦС сертификат проверки подлинности сервера для экземпляров AD LDS, запущенных на двух узлах NLB-кластера с FQDN-именами 01ADLDS.contoso.com и 02ADLDS.contoso.com, убедитесь, что сертификат будет издан для *ADLDS.contoso.com.
Если Вы запрашиваете в ЦС сертификат проверки подлинности сервера для экземпляров AD LDS, запущенных на трех узлах NLB-кластера с FQDN-именами ADLDS01.contoso.com, ADLDS02.contoso.com и ADLDS03.contoso.com, убедитесь, что сертификат будет издан для *.contoso.com.
Наверх страницы
Обсуждение статьи на форуме