Службы Active Directory облегченного доступа к каталогам осуществляют хранение и извлечение данных для приложений, работающих с каталогами, без требования соблюдения тех условий, которые обязательны для доменных служб Active Directory. Службы Active Directory облегченного доступа к каталогам предоставляют практически те же возможности, что и доменные службы Active Directory, но не требуют развертывания доменов или контроллеров доменов. Подобно тому как службы федерации Active Directory используют сведения о хранении учетных записей доменных служб Active Directory, службы федерации Active Directory также извлекают атрибуты пользователей из служб Active Directory облегченного доступа к каталогам и проверяют подлинность пользователей в службах Active Directory облегченного доступа к каталогам, если службы федерации Active Directory настроены на использование служб Active Directory облегченного доступа к каталогам в качестве хранилища учетных записей.

Для выполнения этой процедуры пользователь должен быть, по меньшей мере, членом локальной группы Администраторы или аналогичной группы. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице http://go.microsoft.com/fwlink/?LinkId=83477.

Для добавления хранилища учетных записей служб Active Directory облегченного доступа к каталогам в конфигурацию служб федерации Active Directory можно использовать приводимую ниже процедуру.

Добавление хранилища учетных записей служб Active Directory облегченного доступа к каталогам
  1. В меню Пуск выберите пункт Администрирование, затем выберите пункт Службы федерации Active Directory.

  2. В дереве консоли дважды щелкните узлы Служба федерации, Политика доверия и Моя организация.

  3. Щелкните правой кнопкой мыши узел Хранилища учетных записей, наведите указатель мыши на команду Создать, а затем выберите пункт Хранилище учетных записей.

  4. На странице Мастер добавления хранилища учетных записей нажмите кнопку Далее.

  5. На странице Тип хранилища учетных записей выберите пункт Службы облегченного доступа к каталогам Active Directory (AD LDS), а затем нажмите кнопку Далее.

  6. На странице Подробности о хранилище AD LDS выполните перечисленные ниже действия, а затем нажмите кнопку Далее:

    • В поле Отображаемое имя хранилища учетных записей введите понятное имя для хранилища учетных записей.

    • В поле URI-код хранилища учетных записей введите универсальный код ресурса (URI) для хранилища учетных записей служб Active Directory облегченного доступа к каталогам.

  7. На странице Параметры сервера AD LDS выполните следующие действия и нажмите кнопку Далее:

    • В поле Имя или IP-адрес сервера AD LDS введите имя или IP-адрес сервера служб Active Directory облегченного доступа к каталогам.

    • В поле Номер порта введите номер порта TCP/IP для службы учетных записей.

    • В поле Различающееся имя базы поиска LDAP введите различающееся имя, например DC=adatum,DC=com.

    • В поле Атрибут LDAP имени пользователя введите имя для атрибута имени пользователя, например userPrincipalName.

  8. На странице Идентификационные заявки выберите одно или несколько идентификационных утверждений, которые будут предоставляться хранилищем учетных записей, и нажмите кнопку Далее:

    • Если хранилище учетных записей предоставляет идентификационные утверждения на имя участника-пользователя (UPN), установите флажок Основное имя пользователя (UPN-имя) и введите имя атрибута протокола LDAP.

    • Если хранилище учетных записей предоставляет идентификационные утверждения на электронную почту, установите флажок Электронная почта и введите имя атрибута LDAP.

    • Если хранилище учетных записей предоставляет идентификационные утверждения на общее имя, установите флажок Общее имя и введите имя атрибута LDAP.

  9. Если не хотите включать это хранилище учетных записей сейчас, снимите на странице Включить это хранилище учетных записей флажок Включить это хранилище учетных записей и нажмите кнопку Далее.

  10. Чтобы добавить новое хранилище учетных записей и закрыть мастер, нажмите кнопку Готово.

Примечание

Службы федерации Active Directory не могут проверить подлинность учетных записей служб Active Directory облегченного доступа к каталогам, если в имени учетной записи используются круглые скобки. Учетные записи, в имени пользователя которых есть открывающая круглая скобка, вызывают ошибку LDAP-поиска, так как LDAP-фильтр с такими именами недопустим.