Пошаговое руководство по началу работы со службами Active Directory Lightweight Directory Services

Windows » Windows Server 2008 » Пошаговые руководства » Пошаговое руководство по началу работы со службами Active Directory Lightweight Directory Services

В избранное | Версия для печати | Посетителей: 1920 | Просмотров: 2698 (сегодня 0)

Служба Active Directory® Lightweight Directory Services (AD LDS), ранее известная как Active Directory Application Mode (ADAM) – это служба каталогов, работающая по протоколу LDAP (Lightweight Directory Access Protocol – облегчённый протокол доступа к каталогам) и обеспечивающая поддержку хранения и извлечения данных для приложений, ориентированных на работу с каталогами, избавляя Вас от требований, предъявляемых к традиционной службе каталогов Active Directory (Active Directory Domain Services, AD DS). Вы можете запускать сразу несколько экземпляров AD LDS на одном компьютере, при этом каждый экземпляр будет использовать свою собственную, независимо управляемую схему.

Для получения дополнительной информации о службах AD LDS обратитесь к статье Обзор служб Active Directory Lightweight Directory Services.

Для получения дополнительной информации о службах ADAM обратитесь к статье Пошаговое руководство по развертыванию ADAM.

Об этом руководстве

Это руководство содержит инструкции по установке, настройке и запуску служб AD LDS. Вы можете использовать процедуры, описанные в этом руководстве, для установки служб AD LDS на серверах под управлением ОС Windows Server® 2008 в лабораторной среде.

Выполнив все шаги данного руководства, Вы научитесь:

• Устанавливать серверную роль AD LDS и работать с экземплярами службы AD LDS.

• Использовать средства администрирования AD LDS.

• Создавать организационные подразделения, группы и пользователей AD LDS, а также управлять ими.

• Создавать и удалять разделы каталога приложений AD LDS.

• Просматривать, предоставлять и отказывать в предоставлении разрешений AD LDS пользователям.

• Выполнять привязку к экземплярам AD LDS различными способами.

• Управлять наборами конфигурации AD LDS.

	Примечание:
	Чтобы повысить Ваши шансы на успешное выполнение всех задач этого руководства, важно выполнять все шаги именно в том порядке, в котором они представлены.

Требования для успешного выполнения данного руководства

Прежде чем приступить к работе с данным руководством, убедитесь, что выполняются следующие требования:

• У Вас должен быть как минимум один тестовый компьютер, на котором можно установить службу AD LDS. Для того чтобы Ваши действия соответствовали действиям, описанными в данном руководстве, установите службу AD LDS на компьютер под управлением ОС Windows Server 2008.

• Вы должны выполнять вход в операционную систему Windows Server 2008 под административной учетной записью.

• Для выполнения процедур, представленных в данном руководстве, Вы можете установить реплики экземпляров AD LDS на тестовом компьютере с установленной службой AD LDS. Если у Вас есть отдельный компьютер, Вы можете установить реплики экземпляров AD LDS на нем.

Шаги для начала работы со службами AD LDS

В следующих разделах представлены пошаговые инструкции по настройке служб AD LDS. Описываются как средства с графическим пользовательским интерфейсом (GUI), так и методы с использованием командной строки (в случаях, когда они могут быть применены), позволяющие создавать резервные копии и восстанавливать AD LDS.

• Шаг 1. Установка серверной роли AD LDS

• Шаг 2. Работа с экземплярами AD LDS

• Шаг 3. Использование средств администрирования AD LDS

• Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS

• Шаг 5: Работа с разделами каталога приложений

• Шаг 6. Управление авторизацией

• Шаг 7. Управление проверкой подлинности

• Шаг 8. Управление наборами конфигурации

Для получения дополнительной информации обратитесь к Приложению А. Настройка работы AD LDS по протоколу LDAP через SSL.

Шаг 1. Установка серверной роли AD LDS

Для установки серверной роли AD LDS на компьютере под управлением Windows Server 2008 выполните следующую процедуру.

Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для установки серверной роли AD LDS выполните следующие действия:

1. Откройте меню Start и щелкните значок Server Manager.

2. В дереве консоли щелкните правой кнопкой мыши на узле Roles и в контекстном меню выберите команду Add Roles.

3. Просмотрите информацию на странице Before You Begin мастера Add Roles Wizard и нажмите кнопку Next.

4. В списке Roles, расположенном на странице Select Server Roles, установите флажок Active Directory Lightweight Directory Services и нажмите кнопку Next.

5. Следуйте дальнейшим инструкциям мастера для добавления роли AD LDS.

Наверх страницы

Шаг 2. Работа с экземплярами AD LDS

Теперь, когда Вы установили серверную роль AD LDS, Вы готовы приступить к работе с экземплярами AD LDS. В этом разделе будут рассмотрены следующие процедуры:

• Создание нового экземпляра AD LDS

• Импорт данных в экземпляр AD LDS

Создание нового экземпляра AD LDS

Для создания экземпляров AD LDS используется мастер Active Directory Lightweight Directory Services Setup Wizard. Применительно к AD LDS, «экземпляр службы» (или просто «экземпляр») – это отдельная копия службы каталогов AD LDS. Несколько экземпляров AD LDS могут одновременно работать на одном компьютере. Каждый экземпляр службы каталогов AD LDS имеет отдельное хранилище каталога, а также уникальные имя и описание службы, назначаемые ему во время установки. Во время установки AD LDS Вы можете выбрать опцию создания раздела каталога приложения, если работающее по протоколу LDAP приложение не создает его автоматически.

Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для создания экземпляра AD LDS с помощью мастера «Active Directory Lightweight Directory Services Setup Wizard» выполните следующие действия:

1. В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Lightweight Directory Services Setup Wizard.

2. На странице Welcome to the Active Directory Lightweight Directory Services Setup Wizard нажмите кнопку Next.

3. На странице Setup Options установите переключатель в положение A unique instance и нажмите кнопку Next.

4. На странице Instance Name задайте имя устанавливаемого экземпляра AD LDS. Это имя будет использоваться на локальном компьютере для идентификации экземпляра AD LDS.

В нашем примере оставьте имя instance1, предлагаемое по умолчанию, и нажмите кнопку Next.

5. На странице Ports укажите номера портов, через которые будет осуществляться взаимодействие с экземпляром AD LDS. AD LDS может использовать как протокол LDAP, так и защищенный протокол SSL; поэтому Вы должны указать номер для каждого из портов.

В нашем примере оставьте номера 389 и 636, предлагаемые по умолчанию, и нажмите кнопку Next.

Примечание:

Если Вы устанавливаете AD LDS на компьютере, где один из предлагаемых по умолчанию портов уже используется, мастер Active Directory Lightweight Directory Services Setup Wizard автоматически обнаружит первый доступный порт, начиная с номера 50000. Например, служба каталогов Active Directory (Active Directory Domain Services, AD DS), использует порты 389 и 636, а также порты 3268 и 3269 на серверах глобального каталога. Поэтому, если Вы устанавливаете службу AD LDS на контроллере домена, мастер установки AD LDS по умолчанию предложит использовать номер 50000 для LDAP-порта и номер 50001 – для SSL-порта.

6. На странице Application Directory Partition Вы можете создать раздел каталога приложений (или контекст именования), установив переключатель в положение Yes, create an application directory partition. Если же Вы установите переключатель в положение No, do not create an application directory partition, то Вы должны будете создать раздел каталога приложений вручную после завершения установки.

В нашем примере установите переключатель в положение Yes, create an application directory partition.

Введите o=Microsoft,c=US в качестве различающегося имени раздела каталога приложений и нажмите кнопку Next.

Примечание:

AD LDS поддерживает как стиль именования X.500, так и стиль DNS для задания полных имен разделов каталога приложений верхнего уровня.

7. На странице File Locations Вы можете просмотреть и изменить папки, в которых будут храниться файлы данных и файлы восстановления AD LDS. По умолчанию файлы данных и файлы восстановления хранятся в папке «%ProgramFiles%\Microsoft ADAM\имя_экземпляра\data», где имя_экземпляра – имя устанавливаемого экземпляра AD LDS, которое Вы указываете на странице Instance Name мастера установки AD LDS.

В нашем примере нажмите кнопку Next, чтобы принять значения по умолчанию.

8. На странице Service Account Selection Вам будет предложено выбрать учетную запись, которая будет использоваться в качестве учетной записи службы AD LDS. Выбранная учетная запись определяет контекст безопасности, в котором будет выполняться экземпляр AD LDS. По умолчанию мастер установки AD LDS предлагает использовать учетную запись Network Service account.

В нашем примере нажмите кнопку Next, чтобы выбрать предложенную по умолчанию учетную запись Network service account. Если же Вы устанавливаете службу AD LDS на контроллере домена, установите переключатель в положение This account и выберите учетную запись пользователя домена, чтобы использовать ее в качестве учетной записи службы AD LDS.

9. На странице AD LDS Administrators Вам будет предложено выбрать учетную запись пользователя или группы, которая будет использоваться в качестве учетной записи администратора экземпляра AD LDS. Эта учетная запись будет иметь полный административный контроль над экземпляром AD LDS. По умолчанию мастер установки AD LDS предлагает использовать учетную запись текущего пользователя. Вы можете выбрать любую другую локальную или доменную учетную запись пользователя или группы.

В нашем примере установите переключатель в положение Currently logged on user и нажмите кнопку Next.

10. На странице Importing LDIF Files Вы можете импортировать LDIF-файлы схемы в экземпляр AD LDS.

В нашем примере отметьте LDIF-файлы, перечисленные в следующей таблице, и нажмите кнопку Next.

Имя LDIF-файла	Описание
MS-InetOrgPerson.ldf	Содержит определение класса объекта LDAP inetOrgPerson.
MS-User.ldf	Содержит определения классов объектов, относящихся к пользователям.
MS-UserProxy.ldf	Содержит простое определение класса объекта userProxy.
MS-UserProxyFull.ldf	Содержит полное определение класса объекта userProxy.
MS-ADLDS-DisplaySpecifiers.ldf	Содержит спецификаторы отображения. Этот файл требуется для работы оснастки консоли управления MMC. Если Вы планируете подключаться к экземпляру AD LDS при помощи оснастки Active Directory – сайты и службы, импортируйте этот файл на данном этапе с помощью мастера Active Directory Lightweight Directory Services Setup Wizard.

Примечание:

Служба AD LDS позволяет Вам использовать собственные файлы формата LDIF (LDAP Data Interchange Format) в дополнение к файлам, поставляемым по умолчанию. Для того чтобы Ваши LDIF-файлы были доступны во время установки экземпляра AD LDS, поместите их в папку «%systemroot%\ADAM». Вы можете создавать собственные LDIF-файлы с помощью инструмента ADSchemaAnalyzer. Для получения дополнительной информации обратитесь к процедуре «Создание LDIF-файла с помощью ADSchemaAnalyzer» раздела Шаг 3. Использование средств администрирования AD LDS этого документа. Поместите Ваши собственные LDIF-файлы в папку «%systemroot%\ADAM» и запустите мастер Active Directory Lightweight Directory Services Setup Wizard, чтобы создать новый экземпляр AD LDS. Ваши LDIF-файлы будут доступны в списке файлов, расположенном на странице Importing LDIF Files.

11. На странице Ready to Install Вы можете просмотреть выбранные параметры установки экземпляра AD LDS. После того, как Вы нажмете кнопку Next, мастер установки скопирует необходимые файлы и установит экземпляр AD LDS на Ваш компьютер.

12. После того как установка AD LDS будет завершена, на экран будет выведено следующее сообщение: «You have successfully completed the Active Directory Lightweight Directory Services Setup Wizard». Когда откроется страница Completing the Active Directory Lightweight Directory Services Setup Wizard, нажмите кнопку Finish, чтобы закрыть мастер установки AD LDS.

Примечание:

Если работа мастера Active Directory Lightweight Directory Services Setup Wizard завершится с ошибкой, то на странице Summary Вы увидите описание причины ее возникновения.

Примечание:

Если ошибка возникнет до того, как откроется страница Summary, Вы можете просмотреть появившееся сообщение об ошибке. В дополнение к этому Вы можете открыть меню Start, щелкнуть значок Run и набрать одну из следующих команд: %windir%\Debug\adamsetup.log %windir%\Debug\adamsetup_loader.log Файлы Adamsetup.log и Adamsetup_loader.log содержат информацию, которая может помочь Вам выяснить причину возникновения ошибки при установке AD LDS.

Наверх страницы

Импорт данных в экземпляр AD LDS

Вы можете импортировать данные в экземпляр AD LDS во время его установки (на странице Importing LDIF Files мастера установки AD LDS) или в любой момент после его создания, воспользовавшись инструментом командной строки ldifde, позволяющим создавать, редактировать и удалять объекты каталога. Также Вы можете использовать команду ldifde для расширения схемы и для экспорта информации о пользователях и группах в другие приложения или службы. Например, с помощью команды ldifde Вы можете импортировать в экземпляр AD LDS объекты каталога, экспортированные из какой-либо другой службы каталогов.

Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для выполнения импорта или экспорта объектов каталога с помощью команды ldifde выполните следующие действия:

1. Запустите окно командной строки. Для этого в меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.

2. Выполните одно из следующих действий:

Чтобы импортировать объекты каталога, наберите в командной строке следующую команду и нажмите клавишу ENTER:

ldifde -i -f <имя_файла> -s <имя_сервера>:<порт> -m -a <имя_пользователя> <домен> <пароль>

Чтобы экспортировать объекты каталога, наберите в командной строке следующую команду и нажмите клавишу ENTER:

ldifde -e -f < имя_файла> -s <имя_сервера>:<порт> -m -a <имя_пользователя> <домен> <пароль>

Параметр	Описание
ldifde	Имя команды, поддерживающей пакетные операции с LDIF-файлами.
-i	Выполнение импорта.
-e	Выполнение экспорта.
-f	Файл для импорта или экспорта.
<имя_файла>	Имя экспортируемого или импортируемого файла.
-s	Сервер и порт, на котором запущен экземпляр AD LDS или иная служба каталогов.
<имя_сервера>	Имя сервера, на котором запущен экземпляр AD LDS или иная служба каталогов
<порт>	Номер порта, на котором запущен экземпляр AD LDS или иная служба каталогов
-m	Игнорирование атрибутов (не выполняется их импорт или экспорт), использующихся только службой AD DS. Вы можете использовать этот параметр в тех случаях, когда Вы экспортируете объекты каталога из существующего леса AD DS и затем импортируете их в экземпляр AD LDS.
-a	Данные учетной записи. Если данные учетной записи не предоставляются, используются данные учетной записи текущего пользователя.
<имя_пользователя>	Имя учетной записи, использующейся для выполнения привязки к указанной службе каталогов.
<домен>	Имя домена учетной записи, использующейся для выполнения привязки к указанной службе каталогов.
<пароль>	Пароль учетной записи, использующейся для выполнения привязки к указанной службе каталогов.
-h	Разрешение импорта паролей с использованием простой проверки подлинности и шифрования SASL (Simple Authentication and Security Layer).
-c <Строка1> <Строка2>	Заменяет все вхождения строки, заданные параметром Строка1, значением параметра Строка2. При работе с AD LDS Вы можете использовать в LDIF-файлах константы #schemaNamingContext и #configurationNamingContext для задания различающихся имен раздела каталога схемы и раздела каталога конфигурации, различающихся для разных экземпляров AD LDS.

Для просмотра полной справки по синтаксису утилиты ldifde наберите в командной строке следующую команду и нажмите клавишу ENTER:

ldifde /?

Наверх страницы

Шаг 3. Использование средств администрирования AD LDS

Служба AD LDS в ОС Windows Server 2008 содержит несколько средств, предназначенных для решения общих задач администрирования. В число таких задач входят:

• Запуск, остановка и перезапуск экземпляра AD LDS

• Использование инструмента ADSI Edit

• Использование инструмента Ldp.exe

• Использование оснастки «Active Directory Schema» для администрирования AD LDS

• Использование оснастки «Active Directory Sites and Services» для администрирования AD LDS

• Создание LDIF-файла с помощью ADSchemaAnalyzer

• Синхронизация со службой AD DS

Запуск, остановка и перезапуск экземпляра AD LDS

Экземпляр AD LDS выполняется в качестве службы, поэтому для его запуска, остановки и перезапуска Вы можете использовать те же самые способы, что и для любой другой службы Windows Server 2008.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для запуска, остановки или перезапуска экземпляра AD LDS с помощью интерфейса Windows выполните следующие действия:

1. Откройте меню Start и щелкните значок Server Manager.

2. В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.

3. В списке System Services, расположенном в области сведений, выберите нужный Вам экземпляр AD LDS.

4. Щелкните одну из ссылок – Start, Stop или Restart.

   Примечание:

   По умолчанию запуск экземпляра AD LDS происходит автоматически.

Наверх страницы

Использование инструмента ADSI Edit

Оснастка ADSI Edit консоли MMC является основным средством администрирования AD LDS. Эта оснастка устанавливается как часть серверных ролей AD LDS и Active Directory Domain Services (AD DS). Чтобы использовать оснастку ADSI Edit для управления экземпляром AD LDS, сначала необходимо выполнить подключение и привязку к этому экземпляру. Вы можете управлять контейнерами и объектами экземпляра, просматривая их и щелкая на них правой кнопкой мыши.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для управления экземпляром AD LDS с помощью оснастки «ADSI Edit» выполните следующие действия:

1. В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.

2. В дереве консоли щелкните значок ADSI Edit.

3. В меню Action выберите команду Connect to. Откроется диалоговое окно Connection Settings.

4. В поле Name Вы можете задать имя, под которым данное соединение будет отображаться в дереве консоли оснастки ADSI Edit. В нашем примере введите имя AD LDS Demo.

5. Установите переключатель в положение Select or type a domain or server: (Server | Domain[:port] и введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS. После этого через двоеточие (:) укажите номер порта LDAP, на котором работает экземпляр AD LDS.

   В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому Вы можете ввести следующую строку: localhost:389.

6. В разделе Connection point Вы можете установить переключатель в положение Select or type a Distinguished Name or Naming Context и затем указать различающееся имя экземпляра AD LDS, к которому Вы хотите подключиться. Вы также можете установить переключатель в положение Select a well-known naming context и в раскрывающемся списке выбрать параметр Configuration, RootDSE или Schema.

   В нашем примере установите переключатель в положение Select or type a Distinguished Name or Naming Context, введите o=Microsoft,c=US и нажмите кнопку OK.

7. В дереве консоли последовательно раскройте узлы AD LDS demo и O=Microsoft,c=US. Теперь в оснастке ADSI Edit отображается раздел каталога приложений.

8. В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.

9. В меню File выберите команду Exit, чтобы закрыть оснастку ADSI Edit.

Наверх страницы

Использование инструмента Ldp.exe

LDP.exe является основным средством администрирования службы каталогов LDAP, обладающим графическим пользовательским интерфейсом (GUI). Чтобы использовать LDP.exe для управления экземпляром AD LDS, сначала необходимо выполнить подключение и привязку к этому экземпляру, а затем настроить отображение иерархической структуры (дерева) этого экземпляра. После этого Вы можете управлять объектами дерева, щелкая на них правой кнопкой мыши.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для управления экземпляром AD LDS с помощью средства Ldp.exe выполните следующие действия:

1. Откройте меню Start и щелкните значок Server Manager.

2. В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.

3. В разделе Advanced Tools, расположенном в области сведений, щелкните ссылку Ldp.exe или запустите это приложение из командной строки.

4. В меню Connection окна программы Ldp.exe выберите команду Connect.

5. В поле Server введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS.

   В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому в качестве имени введите localhost.

6. В поле Port введите номер порта LDAP или SSL, на котором работает экземпляр AD LDS и нажмите кнопку OK.

   Примечание:

   Для протокола LDAP по умолчанию используется номер порта 389. Для протокола SSL по умолчанию используется номер порта 636.

7. В меню Connection выберите команду Bind.

8. Выполните одно из следующих действий:

   • Чтобы выполнить привязку с использованием учетных данных текущего пользователя, установите переключатель в положение Bind as currently logged on user.

   • Чтобы выполнить привязку с использованием доменной учетной записи, установите переключатель в положение Bind with credentials, введите имя пользователя (если Вы используете учетную запись локального компьютера, введите имя рабочей станции), пароль и имя домена используемой учетной записи, и нажмите кнопку OK.

   • Чтобы выполнить привязку с использованием только имени пользователя и пароля, установите переключатель в положение Simple bind, введите имя пользователя и пароль используемой учетной записи, и нажмите кнопку OK.

   • Чтобы выполнить привязку с использованием дополнительных методов проверки подлинности (NTLM, распределенная проверка подлинности пароля (Distributed Password Authentication, DPA), метод согласования (Negotiate) или краткая проверка подлинности (Digest)), установите переключатель в положение Advanced (метод), нажмите кнопку Advanced, выберите нужный метод в раскрывающемся списке, задайте другие необходимые параметры и нажмите кнопку OK.

   В нашем примере установите переключатель в положение Bind as currently logged on user.

9. После указания параметров привязки нажмите кнопку OK.

10. В меню View выберите пункт Tree.

11. Раскройте список BaseDN и выберите различающееся имя объекта для его использования в качестве корневого объекта области переходов. В нашем примере выберите имя O=Microsoft,c=US и нажмите кнопку OK.

12. В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.

13. В меню Connection выберите команду Exit, чтобы закрыть окно программы Ldp.exe.

Наверх страницы

Использование оснастки «Active Directory Schema» для администрирования AD LDS

Вы можете использовать оснастку Active Directory Schema для просмотра и управления объектами схемы AD LDS.

	Примечание:
	Если оснастка Active Directory Schema уже установлена на Вашем компьютере, начните следующую процедуру с шага 8.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для подключения к экземпляру AD LDS с помощью оснастки «Active Directory Schema» выполните следующие действия:

1. Откройте меню Start, правой кнопкой мыши щелкните значок Command Prompt и в контекстном меню выберите команду Run as administrator.

2. В окне командной строки наберите следующую команду и нажмите клавишу ENTER:

regsvr32 schmmgmt.dll

3. Откройте меню Start, щелкните значок Run, введите mmc и нажмите кнопку OK.

4. В меню File консоли MMC выберите команду Add/Remove Snap-in.

5. В списке Available snap-ins выберите оснасткуActive Directory Schema, нажмите кнопку Add, затем нажмите кнопку OK.

6. В меню File выберите команду Save, чтобы сохранить консоль.

7. В диалоговом окне Save As выполните одно из следующих действий:

   • Чтобы сохранить оснастку в папке Administrative Tools, задайте имя оснастки в поле File name и нажмите кнопку Save.

   • Чтобы сохранить оснастку в другом месте, задайте местоположение в раскрывающемся списке Save in. Задайте имя оснастки в поле File name и нажмите кнопку Save.

8. Откройте оснастку Active Directory Schema.

9. В дереве консоли щелкните правой кнопкой мыши значок Active Directory Schema и в контекстном меню выберите команду Change Active Directory Domain Controller.

10. В диалоговом окне Change Directory Server щелкните на строке <Type a Directory Server name[:port]here> и введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS.

В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому введите следующую строку: localhost:389.

11. Щелкните на строке localhost:389 и нажмите кнопку OK.

12. В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.

Для получения дополнительной информации об управлении объектами схемы с помощью оснастки Active Directory Schema обратитесь к справочной системе Вашего сервера. Для этого откройте оснастку Active Directory Schema и нажмите клавишу F1.

Наверх страницы

Использование оснастки «Active Directory Sites and Services» для администрирования AD LDS

Вы можете использовать оснастку Active Directory Sites and Services для подключения к экземпляру AD LDS и для управления репликацией данных каталога между всеми сайтами, входящими в набор конфигурации AD LDS.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для подключения к экземпляру AD LDS с помощью оснастки «Active Directory Sites and Services» выполните следующие действия:

1. В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Sites and Services.

2. В дереве консоли щелкните правой кнопкой мыши значок Active Directory Sites and Services и в контекстном меню выберите команду Change Domain Controller.

3. В диалоговом окне Change Directory Server щелкните на строке <Type a Directory Server name[:port]here> и введите DNS-имя, NetBIOS-имя или IP-адрес компьютера, на котором запущен экземпляр AD LDS.

   В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому введите следующую строку: localhost:389.

4. Щелкните на строке localhost:389 и нажмите кнопку OK.

5. В дереве консоли выберите любой из контейнеров, чтобы просмотреть содержащиеся в нем объекты.

   Примечание:

   Для работы с оснасткой Active Directory Sites and Services необходимо использовать файл MS-ADLDS-DisplaySpecifiers.ldf. Если Вы планируете работать с экземпляром AD LDS, используя оснастку Active Directory Sites and Services, импортируйте этот файл с помощью мастера Active Directory Lightweight Directory Services Setup Wizard. Для получения дополнительной информации обратитесь к процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.

Для получения дополнительной информации о работе с оснасткой Active Directory Sites and Services (Active Directory - сайты и службы) обратитесь к справочной системе Вашего сервера. Для этого откройте указанную оснастку и нажмите клавишу F1.

Наверх страницы

Создание LDIF-файла с помощью ADSchemaAnalyzer

Если Вы разрабатываете собственное приложение, Вы легко можете создать Вашу собственную схему с помощью пользовательских LDIF-файлов. Тем не менее, если Вам требуется скопировать данные из существующего каталога AD DS в новый экземпляр AD LDS, процесс создания файла схемы может быть непростым.

Администраторы AD LDS могут использовать средство ADSchemaAnalyzer для того, чтобы быстро скопировать существующую схему AD DS и затем импортировать ее в экземпляр AD LDS, а также для переноса схемы из Active Directory в AD LDS, от одного экземпляра AD LDS к другому или из любого LDAP-совместимого каталога в экземпляр AD LDS. Кроме того, с помощью ADSchemaAnalyzer Вы можете загружать исходную или конечную схему, отмечать элементы, которые Вы хотите перенести, а затем экспортировать их в базовую схему AD LDS.

	Важно:
	При создании LDIF-файла с помощью средства ADSchemaAnalyzer необходимо загрузить как конечную, так и базовую схемы. В противном случае итоговый LDIF-файл может быть недоступен для средства ldifde.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для создания LDIF-файла с помощью средства ADSchemaAnalyzer выполните следующие действия:

1. Откройте окно командной строки и перейдите в папку «%windir%\ADAM».

2. Наберите следующую команду и нажмите клавишу ENTER:

adschemaanalyzer

3. Чтобы загрузить конечную схему, в меню File выберите команду Load target schema и выполните одно из следующих действий:

   • Чтобы загрузить в качестве конечной схемы схему домена Active Directory, введите в диалоговом окне имя пользователя, пароль, имя домена, а затем нажмите кнопку OK.

   • Чтобы загрузить другую схему (например, схему леса Active Directory или иного LDAP-совместимого каталога), введите в диалоговом окне имя сервера и порт каталога, содержащего конечную схему, введите имя пользователя, пароль, имя домена (при необходимости), а затем нажмите кнопку ОК.

4. Чтобы загрузить в качестве базовой схемы схему текущего экземпляра AD LDS, в меню File выберите команду Load base schema и в поле Server[:port] введите имя сервера и порт экземпляра AD LDS.

5. В диалоговом окне нажмите кнопку OK.

6. В итоговом дереве отметьте все элементы, которые Вы хотите экспортировать в базовую схему, щелкнув на каждом из них правой кнопкой мыши и выбрав один из следующих параметров:

   • Auto – элемент автоматически помечается как включаемый или исключаемый при экспорте. Если элемент отмечен как Auto (included), Вы можете щелкнуть на нем правой кнопкой мыши и выбрать пункт Why auto included?, чтобы просмотреть дерево обратных зависимостей для этого элемента.

   • Included – элемент помечается как включаемый в экспорт. ADSchemaAnalyzer отмечает все связанные элементы, такие как атрибуты, которые могут или должны содержать данный элемент, суперклассы, атрибуты auxClasses, defaultObjectCategory и possSuperiors. В ADSchemaAnalyzer включаются наборы свойств для включенных атрибутов и обратные ссылки для ссылок.

   • Excluded – элемент помечается как исключаемый из экспорта. Вы можете заблокировать определенные пути в графе зависимостей. Например, Вам может потребоваться импортировать атрибут domainDns, но при этом не импортировать атрибут samAccountDomain, являющийся атрибутом auxClass атрибута domainDns. Вы можете исключить элемент полностью (например, исключить класс samAccountDomain) или исключить его отношение (например, удалить ссылку auxClass из класса domainDns). Если Вы исключаете отношение, то этот элемент остается включенным во всех других классах, ссылающихся на него.

   • Present – означает, что элемент существует на конечном сервере. По умолчанию элементы верхнего класса отмечаются как существующие.

7. Чтобы создать LDIF-файл, в меню File выберите команду Create LDIF file.

Наверх страницы

Синхронизация со службой AD DS

Синхронизация данных между лесом AD LDS и набором конфигурации экземпляра AD LDS состоит из двух шагов:

• Подготовка к синхронизации экземпляра AD LDS.

• Синхронизация данных.

Как правило, первый шаг выполняется только один раз. Второй шаг выполняется каждый раз, когда Вы хотите обновить экземпляр AD LDS.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для подготовки экземпляра AD LDS к синхронизации выполните следующие действия:

1. Откройте окно командной строки.

2. В командной строке наберите следующую команду и нажмите клавишу ENTER:

cd %windir%\adam

3. Выполните одно из следующих действий:

   • Чтобы подготовить экземпляр AD LDS к синхронизации с лесом Windows Server 2003, наберите следующую команду и нажмите клавишу ENTER:

     ldifde -i -u -f ms-adamschemaw2k3.ldf -s <имя_сервера>:<порт> -b <имя_пользователя> <домен> <пароль> -j . -c "cn=Configuration,dc=X" #configurationNamingContext

   • Чтобы подготовить экземпляр AD LDS к синхронизации с лесом Windows Server 2008, наберите следующую команду и нажмите клавишу ENTER:

     ldifde -i -u -f ms-adamschemaw2k8.ldf -s <имя_сервера>:<порт> -b <имя_пользователя> <домен> <пароль> -j . -c "cn=Configuration,dc=X" #configurationNamingContext

Важно:

Вы должны поставить точку (.) между параметрами -j и -c.

Примечание:

В нашем примере экземпляр AD LDS запущен на локальном компьютере, поэтому для параметра server используйте значение localhost, а в качестве порта LDAP по умолчанию укажите номер порта 389.

4. Наберите следующую команду и нажмите клавишу ENTER:

ldifde -i -s <имя_сервера>:<порт> -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf

5. Наберите следующую команду и нажмите клавишу ENTER:

notepad MS-AdamSyncConf.xml

6. В программе Блокнот измените содержимое файла конфигурации:

   • Замените значение <source-ad-name> на имя исходного контроллера домена AD DS.

   • Замените значение <source-ad-partition> на различающееся имя исходного домена.

   • Замените значение <source-ad-account> на имя учетной записи, входящей в группу Domain Admins (Администраторы домена) исходного домена.

   • Замените значение <account-domain> на полное DNS-имя исходного домена.

   • Замените значение <target-dn> на имя раздела конечного экземпляра AD LDS.

   • Замените значение <base-dn> на базовое различающееся имя исходного домена.

7. В меню File (Файл) программы Блокнот выберите команду Save As (Сохранить как), введите новое имя файла, нажмите кнопку Save (Сохранить) и закройте программу Блокнот.

8. В командной строке наберите следующую команду, заменив параметр xml-файл на имя XML-файла, заданное на предыдущем шаге, и нажмите клавишу ENTER:

adamsync /install <имя_сервера>:<порт> <.xml-файл>

После подготовки экземпляра AD LDS к синхронизации Вы можете выполнить следующую процедуру при необходимости синхронизации данных между указанными лесом AD DS и экземпляром AD LDS.

Для выполнения синхронизации данных между лесом AD DS и экземпляром AD LDS выполните следующие действия:

• В командной строке наберите следующую команду и нажмите клавишу ENTER:

  adamsync /sync <имя_сервера>:<порт> <конфигурация> /log

В следующей таблице перечислены параметры процедур, использовавшихся ранее в этом разделе, а также другие часто используемые параметры утилиты adamsync. Для получения дополнительной информации о параметрах утилиты adamsync наберите в командной строке команду adamsync /? и нажмите клавишу ENTER.

Параметр	Описание
/?	Вывести список параметров командной строки.
/i или /install <входной_файл>	Установить конфигурацию, содержащуюся в указанном входном файле.
/sync <конфигурация>	Синхронизировать указанную конфигурацию.
/fs <конфигурация>	Выполнить синхронизацию полной репликации для указанной конфигурации.
/ageall <конфигурация>	Выполнить проход старения для указанной конфигурации. При выполнении этой процедуры происходит поиск объектов AD LDS в службе Active Directory, и определяется, были ли в AD DS удалены объекты AD LDS, входящие в указанную конфигурацию.
/so <конфигурация объект>	Выполняет синхронизацию репликации для указанного объекта в указанной конфигурации. Для указания объекта используйте его различающееся имя.

	Примечание:
	Для объектов или разделов леса AD DS, которые Вы хотите синхронизировать, Вы должны иметь установленное разрешение Read или Dirsync.

	Примечание:
	Для выполнения этой команды Вы должны иметь разрешение на полный доступ к разделу каталога приложения экземпляра AD LDS.

Наверх страницы

Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS

Наиболее часто служба Active Directory Lightweight Directory Services (AD LDS) используется для хранения информации о пользователях, организациях и группах, к которым они принадлежат. В число задач по администрированию организационных подразделений (Organizational Unit, OU), групп и пользователей AD LDS входят следующие задачи:

• Создание организационного подразделения (OU)

• Создание группы AD LDS

• Создание пользователя AD LDS

• Добавление пользователей в группу AD LDS и удаление из нее

• Включение и отключение учетных записей пользователей AD LDS

Создание организационного подразделения (OU)

Для упорядочивания пользователей и групп Вы можете поместить их в организационные подразделения, что является наиболее распространенным способом достижения этой цели при работе со службами AD DS и AD LDS, а также с другими LDAP-каталогами.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для создания организационного подразделения выполните следующие действия:

1. В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.

2. Выполните подключение и привязку к разделу каталога экземпляра AD LDS, в котором Вы хотите создать организационное подразделение.

   В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

3. В дереве консоли раскройте узел o=Microsoft,c=US, щелкните правой кнопкой мыши на контейнере, в котором Вы хотите создать организационное подразделение, раскройте меню New и выберите пункт Object.

4. В списке Select a class выберите объект organizationalUnit и нажмите кнопку Next.

5. В поле Value задайте имя для нового организационного подразделения и нажмите кнопку Next.

   В нашем примере в поле Value введите имя AD LDS Users.

6. Если Вы хотите задать значения для дополнительных атрибутов, нажмите кнопку More attributes.

   В нашем примере просто нажмите кнопку Finish.

Наверх страницы

Создание группы AD LDS

Вы можете управлять пользователями и группами AD LDS через оснастку ADSI Edit или с помощью приложений, ориентированных на работу с каталогами. Для создания пользователей в AD LDS Вы сначала должны импортировать в схему AD LDS опциональные классы пользователей, предоставляемые этой службой. Эти классы представлены в виде доступных для импорта LDF-файлов, расположенных в папке «%windir%\ADAM» на компьютере с установленной службой AD LDS. Для получения дополнительной информации обратитесь к процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для создания группы AD LDS выполните следующие действия:

1. В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.

2. Выполните подключение и привязку к разделу каталога экземпляра AD LDS, в котором Вы хотите создать группу.

   В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

3. В дереве консоли раскройте узел o=Microsoft,c=US, щелкните правой кнопкой мыши на контейнере OU=AD LDS Users, раскройте меню New и выберите пункт Object.

4. В списке Select a class выберите объект group и нажмите кнопку Next.

5. В поле Value задайте различающееся имя (Common Name, CN) для новой группы и нажмите кнопку Next.

   В нашем примере в поле Value введите имя AD LDS Testers.

   Примечание:

   По умолчанию значением атрибута groupType является шестнадцатеричное число 0x80000002, означающее группу учетных записей. Если Вы хотите изменить это значение, нажмите кнопку More attributes и в раскрывающемся списке Select which properties to view выберите параметр Both (отображение как обязательных, так и дополнительных параметров). В раскрывающемся списке Select a property to view выберите атрибут groupType и отредактируйте его в соответствии с Вашими требованиями, введя новое значение в поле Edit Attribute.

6. Если Вы хотите задать значения для дополнительных атрибутов, нажмите кнопку More attributes.

7. После настройки дополнительных атрибутов для новой группы нажмите кнопку Finish.

Наверх страницы

Создание пользователя AD LDS

Вы можете управлять пользователями и группами AD LDS через оснастку ADSI Edit или с помощью приложений, ориентированных на работу с каталогами. Для создания пользователей в AD LDS Вы сначала должны импортировать в схему AD LDS опциональные классы пользователей, предоставляемые этой службой. Эти классы представлены в виде доступных для импорта LDF-файлов, расположенных в папке «%windir%\ADAM» на компьютере с установленной службой AD LDS. Для получения дополнительной информации обратитесь к процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для создания пользователя AD LDS выполните следующие действия:

1. В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.

2. Выполните подключение и привязку к разделу каталога экземпляра AD LDS, в котором Вы хотите создать пользователя.

   В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

3. В дереве консоли щелкните правой кнопкой мыши на контейнере OU=AD LDS Users, раскройте меню New и выберите пункт Object.

4. В списке Select a class выберите желаемый класс объекта (user, inetOrgPerson, person или OrganizationalPerson) и нажмите кнопку Next.

5. В поле Value задайте различающееся имя (CN) для нового пользователя и нажмите кнопку Next.

   В нашем примере в поле Value введите имя Mary North.

6. Если Вы хотите задать значения для дополнительных атрибутов, нажмите кнопку More attributes.

7. После настройки дополнительных атрибутов для новой группы нажмите кнопку Finish.

   Примечание:

   Если учетная запись пользователя AD LDS создается с пустым паролем, она автоматически отключается. Для успешного выполнения всех последующих процедур этого руководства выполните шаги, описанные в разделе «Включение и отключение учетных записей пользователей AD LDS», представленном ниже в этом документе, чтобы включить только что созданную учетную запись CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US.

Наверх страницы

Добавление пользователей в группу AD LDS и удаление из нее

Для управления доступом к данным каталога служба AD LDS опирается на работу с пользователями и группами. Служба AD LDS поддерживает одновременную работу как с пользователями Windows, так и с пользователями AD LDS. И те, и другие могут являться членами групп AD LDS.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для добавления пользователей в группу AD LDS или для удаления из нее выполните следующие действия:

1. В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.

2. Выполните подключение и привязку к разделу каталога экземпляра AD LDS, содержащему группу, пользователями которой Вы хотите управлять.

   В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

3. В дереве консоли дважды щелкните раздел каталога, содержащий группу, которой Вы хотите управлять.

4. Щелкните правой кнопкой мыши на требуемой группе и в контекстном меню выберите пункт Properties.

   В нашем примере откройте свойства группы CN=AD LDS Testers.

5. В списке Attributes выберите атрибут member и нажмите кнопку Edit.

6. Чтобы добавить в группу участника безопасности AD LDS, в диалоговом окне Multi-valued Distinguished Name With Security Principal Editor нажмите кнопку Add DN, введите его различающееся имя (DN) и нажмите кнопку OK. Повторите эти действия для каждого участника безопасности AD LDS, которого Вы хотите добавить в группу.

   В нашем примере введите имя CN=Mary North,OU=AD LDS Users,o=Microsoft,c=US.

7. Чтобы добавить в группу участника безопасности Windows, в диалоговом окне Multi-valued Distinguished Name With Security Principal Editor нажмите кнопку Add Windows account, введите имя его учетной записи и нажмите кнопку OK. Повторите эти действия для каждого участника безопасности Windows, которого Вы хотите добавить в группу.

8. Чтобы удалить участника безопасности из группы, выберите его имя в диалоговом окне Multi-valued Distinguished Name With Security Principal Editor и нажмите кнопку Remove. Повторите эти действия для каждого участника безопасности, которого Вы хотите удалить из группы.

9. После выполнения всех необходимых действий дважды нажмите кнопку OK.

Наверх страницы

Включение и отключение учетных записей пользователей AD LDS

Включая и отключая учетные записи пользователей AD LDS, Вы контролируете возможность привязки этих пользователей к каталогу AD LDS. Включение и отключение учетных записей пользователей AD LDS выполняется с помощью оснастки ADSI Edit.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для включения или отключения учетной записи пользователя AD LDS выполните следующие действия:

1. Откройте оснастку ADSI Edit.

2. Выполните подключение и привязку к разделу каталога экземпляра AD LDS, содержащему нужные учетные записи.

В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

3. Выберите учетную запись пользователя AD LDS, которую Вы хотите включить либо отключить, щелкните на ней правой кнопкой мыши и в контекстном меню выберите пункт Properties.

В нашем примере выберите учетную запись CN=Mary North.

4. В списке Attributes выберите атрибут msDS-UserAccountDisabled и нажмите кнопку Edit (примечание переводчика: этот атрибут доступен, если пользователь является объектом класса user; если при создании пользователя был выбран класс объекта inetOrgPerson, person или OrganizationalPerson, атрибут msDS-UserAccountDisabled может быть недоступен).

5. В диалоговом окне Boolean Attribute Editor выполните одно из следующих действий и нажмите кнопку OK:

   • Чтобы отключить учетную запись пользователя AD LDS, установите переключатель в положение True.

   • Чтобы включить учетную запись пользователя AD LDS, установите переключатель в положение False или Not set.

Наверх страницы

Шаг 5: Работа с разделами каталога приложений

Каталог службы AD LDS состоит из логических разделов. Существует три различных типа разделов каталога:

• Разделы каталога конфигурации

• Разделы каталога схемы

• Разделы каталога приложений

Каждое хранилище каталога AD LDS должно содержать один раздел каталога конфигурации и один раздел каталога схемы. В хранилище также могут содержаться несколько разделов каталога приложений, однако их наличие не является обязательным.

Разделы каталога приложений содержат данные, использующиеся Вашими приложениями. Вы можете создать раздел каталога приложений во время установки AD LDS или в любое время после установки этой службы. Для получения дополнительной информации о создании раздела каталога приложений во время установки службы AD LDS обратитесь к процедуре «Создание нового экземпляра AD LDS» раздела Шаг 2. Работа с экземплярами AD LDS этого документа.

Вы можете выполнять вручную следующие действия по администрированию раздела каталога приложений:

• Создание раздела каталога приложений

• Удаление раздела каталога приложений

Создание раздела каталога приложений

Для добавления нового раздела каталога приложений к существующему экземпляру AD LDS Вы можете использовать административный инструмент Ldp.exe.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для добавления раздела каталога приложений к существующему экземпляру AD LDS выполните следующие действия:

1. Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

2. В меню Browse выберите команду Add child.

3. В поле Dn задайте различающееся имя для нового раздела каталога приложений.

В нашем примере введите имя cn=test,o=testpartition,c=us.

4. В разделе Edit entry введите следующие данные и нажмите кнопку Enter:

   • В поле Attribute введите ObjectClass.

   • В поле Values введите container.

5. В разделе Edit entry введите следующие данные и нажмите кнопку Enter:

   • В поле Attribute введите instanceType.

   • В поле Values введите 5.

6. Нажмите кнопку Run.

После добавления нового раздела каталога приложений в области сведений будет выведен следующий текст:

Added {cn=test,o=testpartition,c=us}.

7. Нажмите кнопку Close.

8. Чтобы обновить окно программы Ldp и просмотреть новый раздел каталога, необходимо отключиться и повторно выполнить привязку к экземпляру AD LDS. В меню Connection выберите команду Disconnect.

9. Выполните повторную привязку к экземпляру AD LDS, как Вы делали это ранее.

10. Чтобы просмотреть дерево каталогов в окне Ldp, в меню View выберите команду Tree.

11. Чтобы просмотреть все разделы каталога экземпляра AD LDS, оставьте поле BaseDN пустым и нажмите кнопку OK.

12. Чтобы просмотреть новый раздел каталога вместе с его контейнерами и объектами по умолчанию, в дереве консоли дважды щелкните узел CN=test,O=testpartition,C=US.

Вы также можете создавать разделы каталога приложений AD LDS с помощью команды Dsmgmt.exe. Для получения дополнительной информации об этой команде обратитесь к статье Dsmgmt.

Наверх страницы

Удаление раздела каталога приложений

Для удаления раздела каталога приложений из существующего экземпляра AD LDS Вы можете использовать административный инструмент Ldp.exe.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для удаления раздела каталога приложений из существующего экземпляра AD LDS выполните следующие действия:

1. Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

2. В дереве консоли дважды щелкните раздел каталога конфигурации CN=Configuration,CN={GUID}, где GUID – глобальный уникальный идентификатор, присваиваемый службой AD LDS.

3. Чтобы просмотреть объекты перекрестной ссылки для разделов каталога приложений экземпляра AD LDS, в дереве консоли дважды щелкните контейнер разделов CN=Partitions.

4. В контейнере разделов CN=Partitions дерева консоли дважды щелкайте объекты перекрестной ссылки, пока не найдете объект, для которого значение атрибута nCName, отображаемое в области сведений, равно CN=test,O=testpartition,C=US.

5. Чтобы удалить данный объект перекрестной ссылки (и, таким образом, соответствующий раздел каталога), в дереве консоли щелкните правой кнопкой мыши этот объект, в контекстном меню выберите команду Delete и нажмите кнопку OK.

Внимание:

Вы не сможете отменить удаление раздела после того, как нажмете кнопку OK.

6. После удаления объекта перекрестной ссылки в области сведений должен отображаться текст, подобный приведенному ниже:

ldap_delete_s(ld, "CN=56c5aea2-5cb1-450a-96f0-5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-DCBBEE6E08B1}");
Deleted "CN=56c5aea2-5cb1-450a-96f0-5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-DCBBEE6E08B1}"

7. Чтобы обновить окно программы Ldp и убедиться, что тестовый раздел каталога был успешно удален, необходимо отключиться и повторно выполнить привязку к экземпляру AD LDS. В меню Connection выберите команду Disconnect.

8. Выполните повторную привязку к экземпляру AD LDS, как Вы делали это ранее.

9. Чтобы просмотреть дерево каталогов в окне Ldp, в меню View выберите команду Tree.

10. Чтобы просмотреть все разделы каталога экземпляра AD LDS, оставьте поле BaseDN пустым и нажмите кнопку OK. Раздел CN=test,O=testpartition,C=US больше не должен отображаться в дереве консоли.

Вы также можете удалять разделы каталога приложений AD LDS с помощью команды Dsmgmt.exe. Для получения дополнительной информации об этой команде обратитесь к статье Dsmgmt.

Наверх страницы

Шаг 6. Управление авторизацией

Авторизацией называется процесс определения того, какие пользователи имеют доступ к определенным объектам каталога. Для каждого объекта каталога AD LDS существуют списки управления доступом (Access Control Lists, ACLs), которые определяют, какие пользователи имеют доступ к данному объекту. По умолчанию списки управления доступом службы AD LDS хранятся в объектах верхнего уровня каждого из разделов каталога. Все остальные объекты соответствующего раздела каталога наследуют эти списки. Для получения дополнительной информации о списках ACL обратитесь к статье Средства управления списками ACL.

В число задач по управлению авторизацией в AD LDS входят следующие задачи:

• Просмотр действующих разрешений

• Предоставление разрешений

• Отказ в разрешениях

Просмотр действующих разрешений

Для просмотра действующих разрешений объектов AD LDS Вы можете использовать следующие средства:

• Dsacls

• LDP.exe

Просмотр разрешений с помощью инструмента командной строки dsacls

Необходимым условием для выполнения следующей процедуры является членство в группе Readers экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для просмотра разрешений объекта каталога с помощью средства dsacls выполните следующие действия:

1. Откройте меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.

2. Чтобы вывести список всех действующих разрешений, установленных для объекта раздела каталога, в командной строке наберите следующую команду и нажмите клавишу ENTER:

dsacls \\<имя_сервера>:<порт>\<имя_объекта>

Параметр	Описание
dsacls	Просмотр или изменение разрешений для объектов AD DS и AD LDS.
<имя_сервера>	Имя сервера, на котором запущен экземпляр AD LDS, содержащий указанный объект каталога.
<порт>	Номер порта, на котором работает экземпляр AD LDS.
<имя_объекта>	Различающееся имя объекта каталога.

В нашем примере введите команду dsacls \\localhost:389\o=Microsoft,c=US и нажмите клавишу ENTER.

На экране должен отобразиться текст, подобный приведенному ниже:

Access list:
Effective Permissions on this object are:
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
Replicating Directory Changes
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
Replication Synchronization
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
Manage Replication Topology
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E}
Replicating Directory Changes All
Permissions inherited to subobjects are:
Inherited to all subobjects
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL
The command completed successfully

Наверх страницы

Просмотр разрешений с помощью инструмента Ldp.exe

Необходимым условием для выполнения следующей процедуры является членство в группе Readers экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.

Для просмотра разрешений объекта каталога с помощью программы LDP.exe выполните следующие действия:

1. Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

2. В области переходов щелкните правой кнопкой мыши на объекте каталога, разрешения которого Вы хотите просмотреть, в меню Advanced выберите пункт Security Descriptor и нажмите кнопку OK.

   В результате этих действий откроется диалоговое окно Security Descriptor, в котором отображаются все записи управления доступом выбранного объекта раздела каталога, а также все связанные с ними права доступа.

Наверх страницы

Предоставление разрешений

Для предоставления разрешений для объектов AD LDS Вы можете использовать следующие средства:

• Dsacls

• LDP.exe

Предоставление разрешений с помощью инструмента командной строки dsacls

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для предоставления разрешений для объекта каталога с помощью средства dsacls выполните следующие действия:

1. Откройте меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.

2. В командной строке наберите следующую команду и нажмите клавишу ENTER:

dsacls "\\<имя_сервера>:<порт>\<имя_объекта>" /G "<пользователь_или_группа>":<разрешения>

Параметр	Описание
dsacls	Просмотр или изменение разрешений для объектов AD DS и AD LDS.
<имя_сервера>	Имя сервера, на котором запущен экземпляр AD LDS, содержащий указанный объект каталога.
<порт>	Номер порта, на котором работает экземпляр AD LDS.
<имя_объекта>	Различающееся имя объекта каталога.
<пользователь_или_группа>	Пользователь или группа, которым предоставляются разрешения.
<разрешения>	Предоставляемые разрешения.
/G	Предоставление разрешений указанному пользователю или указанной группе.

В нашем примере введите следующую команду (в одной строке) и нажмите клавишу ENTER:

dsacls "\\localhost:389\cn=AD LDS Testers,OU=AD LDS users,o=Microsoft,c=US" /G "CN=Mary North,OU=AD LDS users,o=Microsoft,c=US":SD

Эта команда предоставляет пользователю Mary North разрешение Delete для объекта CN=AD LDS Testers.

На экране должен отобразиться текст, подобный приведенному ниже:

Access list:
Effective Permissions on this object are:
Allow CN=Mary North,OU=ADAM users,O=Microsoft,C=US
SPECIAL ACCESS
DELETE
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
Permissions inherited to subobjects are:
Inherited to all subobjects
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
The command completed successfully

Наверх страницы

Предоставление разрешений с помощью инструмента Ldp.exe

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для предоставления разрешений для объекта каталога с помощью программы LDP.exe выполните следующие действия:

1. Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

2. В области переходов щелкните правой кнопкой мыши на объекте каталога, разрешения для которого Вы хотите изменить, в меню Advanced выберите пункт Security Descriptor и нажмите кнопку OK.

   В результате этих действий откроется диалоговое окно Security Descriptor, в котором отображаются все записи управления доступом выбранного объекта раздела каталога, а также все связанные с ними права доступа.

3. Щелкните на любой записи управления доступом в списке DACL (n ACEs) и нажмите кнопку Add ACE.

4. В поле Trustee введите различающееся имя учетной записи пользователя, которому предоставляются разрешения.

5. Установите переключатель ACE type в положение Allow.

6. В разделе Access mask выберите все разрешения, которые Вы хотите предоставить указанному пользователю.

7. Выберите необходимые флаги в разделе ACE flags.

8. Выберите необходимый параметр в раскрывающемся списке Object type.

9. Выберите необходимый параметр в раскрывающемся списке Inherited object type и нажмите кнопку OK.

Наверх страницы

Отказ в разрешениях

Для отказа в разрешениях для объектов AD LDS Вы можете использовать следующие средства:

• Dsacls

• LDP.exe

Отказ в разрешениях с помощью инструмента командной строки dsacls

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для отказа в разрешениях для объекта каталога с помощью средства dsacls выполните следующие действия:

1. Откройте меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.

2. В командной строке наберите следующую команду и нажмите клавишу ENTER:

dsacls "\\<имя_сервера>:<порт>\<имя_объекта>" /D "<пользователь_или_группа>":<разрешения>

Параметр	Описание
dsacls	Просмотр или изменение разрешений для объектов AD DS и AD LDS.
<имя_сервера>	Имя сервера, на котором запущен экземпляр AD LDS, содержащий указанный объект каталога.
<порт>	Номер порта, на котором работает экземпляр AD LDS.
<имя_объекта>	Различающееся имя объекта каталога.
<пользователь_или_группа>	Пользователь или группа, которым отказывается в разрешениях.
<разрешения>	Разрешения, в которых отказывается.
/D	Отказ в разрешениях указанному пользователю или указанной группе.

В нашем примере введите следующую команду (в одной строке) и нажмите клавишу ENTER:

dsacls “\\localhost:389\CN=AD LDS Testers,OU=AD LDS Users,o=microsoft,c=US” /D domain\administrator:SDDCDT.

Примечание:

Переменная domain\administrator соответствует учетной записи текущего пользователя.

Эта команда отказывает текущему пользователю в разрешениях Delete, Delete Child и Delete Tree для объекта CN=AD LDS Testers.

На экране должен отобразиться текст, подобный приведенному ниже

Access list:
Effective Permissions on this object are:
Deny domain\account SPECIAL ACCESS
DELETE
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
Permissions inherited to subobjects are:
Inherited to all subobjects
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
The command completed successfully

Наверх страницы

Отказ в разрешениях с помощью инструмента Ldp.exe

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для отказа в разрешениях для объекта каталога с помощью программы LDP.exe выполните следующие действия:

1. Запустите программу Ldp.exe, после чего выполните подключение и привязку к экземпляру AD LDS. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

2. В области переходов щелкните правой кнопкой мыши на объекте каталога, разрешения для которого Вы хотите изменить, в меню Advanced выберите пункт Security Descriptor и нажмите кнопку OK.

   В результате этих действий откроется диалоговое окно Security Descriptor, в котором отображаются все записи управления доступом выбранного объекта раздела каталога, а также все связанные с ними права доступа.

3. Щелкните на любой записи управления доступом в списке DACL (n ACEs) и нажмите кнопку Add ACE.

4. В поле Trustee введите различающееся имя учетной записи пользователя, которому отказывается в разрешениях.

5. Установите переключатель ACE type в положение Deny.

6. В разделе Access mask выберите все разрешения, в которых Вы хотите отказать указанному пользователю.

7. Выберите необходимые флаги в разделе ACE flags.

8. Выберите необходимый параметр в раскрывающемся списке Object type.

9. Выберите необходимый параметр в раскрывающемся списке Inherited object type и нажмите кнопку OK.

Наверх страницы

Шаг 7. Управление проверкой подлинности

Пользователи (участники безопасности) запрашивают информацию каталога AD LDS посредством приложений, ориентированных на работу с каталогами, которые, в свою очередь, выполняют запросы к AD LDS, используя протокол LDAP. Для того чтобы выполнить эти запросы, служба AD LDS должна сначала проверить учетные данные пользователя или выполнить его успешную привязку к каталогу. Под участником безопасности понимается любой объект, который имеет идентификатор безопасности (SID) и которому могут быть назначены разрешения для объектов каталога.

Вы можете выполнить привязку к экземпляру AD LDS следующими способами:

• В качестве участника безопасности AD LDS (когда учетная запись пользователя расположена непосредственно в AD LDS)

• В качестве участника безопасности Windows (когда учетная запись пользователя расположена на локальном компьютере или в домене Active Directory)

• Через объект прокси AD LDS

В число задач по управлению проверкой подлинности AD LDS входят следующие задачи:

• Установка пароля участника безопасности AD LDS

• Привязка в качестве участника безопасности AD LDS

• Привязка в качестве участника безопасности Windows

• Привязка через объект прокси AD LDS

Установка пароля участника безопасности AD LDS

Вы можете устанавливать и изменять пароли участников безопасности AD LDS следующими способами:

• С помощью оснастки ADSI Edit

• С помощью средства Ldp.exe через зашифрованное соединение без использования SSL

Также Вы можете устанавливать и изменять пароли участников безопасности AD LDS через SSL-подключение. Для получения дополнительной информации о настройке протокола LDAP через SSL обратитесь к Приложению А. Настройка работы AD LDS по протоколу LDAP через SSL этого документа.

Установка или смена пароля участника безопасности AD LDS с помощью оснастки «ADSI Edit»

Пользователь AD LDS, для которого Вы устанавливаете или меняете пароль, должен использовать новый пароль при следующем входе в систему.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для задания или смены пароля участника безопасности AD LDS с помощью оснастки «ADSI Edit» выполните следующие действия:

1. В меню Start раскройте папку Administrative Tools и щелкните значок ADSI Edit.

2. Выполните подключение и привязку к разделу каталога экземпляра AD LDS, содержащего пользователя, пароль которого Вы хотите создать или изменить.

   В нашем примере выполните подключение и привязку к разделу каталога приложения o=Microsoft,c=US, как это описано в процедуре «Использование инструмента ADSI Edit» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

3. Найдите объект каталога, представляющий собой пользователя AD LDS, и щелкните на нем правой кнопкой мыши.

   В нашем примере щелкните правой кнопкой мыши на учетной записи CN=Mary North, которая была создана во время выполнения процедуры «Создание пользователя AD LDS» раздела Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS этого документа.

4. В контекстном меню выберите команду Reset password, введите и подтвердите пароль в полях New password и Confirm password.

Наверх страницы

Установка пароля участника безопасности AD LDS с помощью средства Ldp.exe через зашифрованное соединение без использования SSL

Пользователь AD LDS, для которого Вы устанавливаете или меняете пароль, должен использовать новый пароль при следующем входе в систему.

Необходимым условием для выполнения следующей процедуры является членство в группе Administrators экземпляра AD LDS. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.

Для установки или смены пароля участника безопасности AD LDS с помощью средства Ldp.exe через зашифрованное соединение без использования SSL выполните следующие действия:

1. Откройте меню Start и щелкните значок Server Manager.

2. В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.

3. В разделе Advanced Tools, расположенном в области сведений, щелкните ссылку Ldp.exe или запустите это приложение из командной строки..

4. В меню Options выберите пункт Connection Options.

5. В раскрывающемся списке Option Name выберите параметр LDAP_OPT_SIGN, в поле Value введите 1 и нажмите кнопку Set.

6. В раскрывающемся списке Option Name выберите параметр LDAP_OPT_ENCRYPT, в поле Value введите 1, нажмите кнопку Set, а затем нажмите кнопку Close.

7. Выполните подключение и привязку к разделу каталога экземпляра AD LDS, содержащего пользователя, пароль которого Вы хотите создать или изменить. Для получения дополнительной информации о выполнении подключения и привязки к экземпляру AD LDS обратитесь к процедуре «Использование инструмента Ldp.exe» раздела Шаг 3. Использование средств администрирования AD LDS этого документа.

8. В меню View выберите пункт Tree, оставьте поле BaseDN пустым и нажмите кнопку OK.

9. Перейдите в раздел каталога, содержащий пользователя AD LDS, для которого Вы хотите задать пароль.

В нашем примере выберите учетную запись CN=Mary North, которая была создана во время выполнения процедуры «Создание пользователя AD LDS» раздела Шаг 4. Управление организационными подразделениями, группами и пользователями AD LDS этого документа.

10. Щелкните правой кнопкой мыши на учетной записи пользователя AD LDS и в контекстном меню выберите команду Modify.

11. В поле Attribute введите userpassword, затем введите новый пароль учетной записи в поле Value.

12. Нажмите кнопку Enter, а затем нажмите кнопку Run. В области сведений должен отображаться текст, подобный приведенному ниже:

***Call Modify...
ldap_modify_s(ld, 'CN=Mary North,O=Microsoft,C=US',[1] attrs);
Modified "CN=Mary North,O=Microsoft,C=US".

Наверх страницы

Привязка в качестве участника безопасности AD LDS

В следующей процедуре Вы выполните привязку к экземпляру AD LDS в качестве участника безопасности AD LDS.

Для привязки в качестве участника безопасности AD LDS выполните следующие действия:

1. Откройте меню Start и щелкните значок Server Manager.

2. В дереве консоли раскройте узел Roles и выберите роль Active Directory Lightweight Directory Services.

3. В разделе Advanced Tools, расположенном в области сведений, щелкните ссылку Ldp.exe или запустите это приложение из командной строки.

4. В меню Connection окна программы Ldp.exe выберите к