Службы Active Directory облегченного доступа к каталогам (AD LDS) используют пользователей и группы для обеспечения доступа к данным каталога и управления доступом. AD LDS поддерживает одновременное использование пользователей Windows и пользователей AD LDS. В AD LDS имеется четыре стандартные группы, основанные на ролях. По мере необходимости можно создавать дополнительные группы AD LDS. Членами групп AD LDS могут быть как пользователи Windows, так и пользователи AD LDS. Чтобы создать пользователей AD LDS, необходимо сначала импортировать определения класса объекта-пользователя, поставляемые с AD LDS, или применить собственные определения объекта-пользователя.

В AD LDS имеется четыре стандартные группы, основанные на ролях: «Администраторы», «Экземпляры», «Устройства чтения» и «Пользователи». Эти группы размещаются в разделе конфигурации и в разделе каждого приложения, но не в разделе схемы. В пределах набора конфигурации AD LDS реплицирует эти группы наряду со всеми остальными данными каталога.

Минимальным требованием для выполнения этой процедуры является членство в группе экземпляра AD LDS Администраторы. По умолчанию субъект безопасности, указанный во время настройки AD LDS как администратор AD LDS, становится членом группы «Администраторы» в разделе конфигурации. Дополнительные сведения о группах AD LDS см. в разделе Общее представление о пользователях и группах AD LDS.

Чтобы добавить или удалить членов группы AD LDS

  1. Откройте оснастку «Редактирование ADSI».

  2. Установите подключение и привязку к экземпляру AD LDS, содержащему группу, которую требуется изменить. Дополнительные сведения см. в разделе Использование оснастки «Редактирование ADSI» для управления экземпляром AD LDS.

  3. В дереве консоли дважды щелкните раздел каталога, содержащий группу, которую требуется изменить.

  4. Щелкните правой кнопкой мыши группу, которую требуется изменить, а затем выберите команду Свойства.

  5. В списке Атрибуты щелкните Член, а затем нажмите кнопку Изменить.

  6. Для каждого субъекта безопасности AD LDS, добавляемого к группе, нажмите кнопку Добавить различаемое имя (DN), введите различающееся имя нового члена, а затем нажмите кнопку ОК.

  7. Для каждого субъекта безопасности Windows, добавляемого к группе, нажмите кнопку Добавить учетную запись Windows, введите различающееся имя нового члена, а затем нажмите кнопку ОК.

  8. Чтобы удалить члена группы, выделите его в списке членов группы и нажмите кнопку Удалить.

  9. После внесения нужных изменений в группу дважды нажмите кнопку ОК.

Примечание

В службе AD LDS администратор AD LDS или пользователь, обладающий достаточными правами доступа к группе администраторов, может удалять учетные записи членов из группы администраторов AD LDS, в результате чего AD LDS может остаться без действующих администраторов. В случае возникновения такой ситуации назначенный администратор AD LDS, являясь владельцем группы администраторов, может повторно заполнить группу администраторов AD LDS соответствующими учетными записями.

Дополнительная информация

  • Чтобы открыть оснастку «Редактирование ADSI» на компьютере с установленными службами AD LDS, нажмите кнопку Пуск, выделите пункт Администрирование и выберите команду Редактирование ADSI.

  • Задачу этой процедуры можно также выполнить, используя Модуль Active Directory для Windows PowerShell. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Добавление членов в группу AD LDS или удаление их из нее» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=137812). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (http://go.microsoft.com/fwlink/?LinkId=102372) (страница может быть на английском языке).

Дополнительные источники информации

  • Добавление группы AD LDS в каталог
  • Просмотр или установка разрешений на доступ к объекту каталога