(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Schritt 7: Verwalten der Authentifizierung (Übungen)

Letzte Aktualisierung: September 2007

Betrifft: Windows Server 2008

Benutzer (Sicherheitsprinzipale) fordern bei Active Directory Lightweight Directory Services (AD LDS) Verzeichnisdaten über AD-fähige Anwendungen an, die wiederum mithilfe von LDAP (Lightweight Directory Access-Protokoll) Anforderungen an AD LDS senden. Zum Gewähren dieser Anforderungen müssen von AD LDS zuerst die Benutzeranmeldeinformationen überprüft oder Benutzer erfolgreich im Verzeichnis authentifiziert (gebunden) werden. Der Begriff Sicherheitsprinzipal bezieht sich auf jedes Objekt, das über eine Sicherheitskennung (SID) verfügt und dem Berechtigungen für Verzeichnisobjekte zugewiesen werden können.

Sie können auf folgende Weise eine Bindung an eine Instanz von AD LDS herstellen:

  • Als AD LDS-Sicherheitsprinzipal (wenn sich das Benutzerkonto direkt in AD LDS befindet)

  • Als Windows-Sicherheitsprinzipal (wenn sich das Benutzerkonto auf einem lokalen Computer oder in einer Active Directory-Domänendienste-Domäne (Active Directory Domain Services, AD DS) befindet)

  • Über ein AD LDS-Proxyobjekt

Die Verwaltung der Authentifizierung in AD LDS umfasst folgende Aufgaben:

Festlegen eines Kennworts für einen AD LDS-Sicherheitsprinzipal

Sie können Kennwörter für AD LDS-Sicherheitsprinzipale festlegen und ändern:

Sie können Kennwörter für AD LDS-Sicherheitsprinzipale auch über eine SSL-Verbindung (Secure Sockets Layer) festlegen und ändern. Weitere Informationen zum Konfigurieren von LDAP über SSL finden Sie in Anhang A: Konfigurieren von LDAP über SSL-Anforderungen für AD LDS.

Festlegen oder Ändern des Kennworts für ein AD LDS-Sicherheitsprinzipal mithilfe des ADSI-Editor-Snap-Ins

Der AD LDS-Benutzer, für den Sie das Kennwort festlegen oder ändern, muss bei seiner nächsten Anmeldung das neue Kennwort verwenden.

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um diese Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So können Sie das Kennwort eines AD LDS-Benutzers mithilfe des ADSI-Editors festlegen oder ändern

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf ADSI-Editor.

  2. Stellen Sie eine Verbindung sowie eine Bindung mit der Verzeichnispartition her, die den AD LDS-Benutzer enthält, für den Sie ein Kennwort festlegen bzw. dessen Kennwort Sie ändern möchten.

    Stellen Sie für diese Übung eine Verbindung und eine Bindung mit der Anwendungsverzeichnispartition o=Microsoft,c=US her. Dieser Vorgang wird in der Anleitung zum Verwalten von AD LDS-Instanzen mit ADSI-Editor unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen) beschrieben.

  3. Navigieren Sie zu dem Verzeichnisobjekt, das den AD LDS-Benutzer darstellt, und klicken Sie dann mit der rechten Maustaste auf das Verzeichnisobjekt.

    Klicken Sie für diese Übung mit der rechten Maustaste auf das Benutzerkonto CN=Mary North. Dieses Konto haben Sie bei dem Verfahren zum Erstellen von AD LDS-Benutzern unter Schritt 4: Verwalten von Organisationseinheiten, Gruppen und Benutzern in AD LDS (Übungen) erstellt.

  4. Klicken Sie auf Kennwort zurücksetzen, und geben Sie dann in den Feldern Neues Kennwort und Kennwort bestätigen ein Kennwort für den Benutzer ein.

Festlegen eines Kennworts für ein AD LDS-Sicherheitsprinzipal über eine verschlüsselte Nicht-SSL-Verbindung mithilfe von "Ldp.exe"

Der AD LDS-Benutzer, für den Sie das Kennwort festlegen oder ändern, muss bei seiner nächsten Anmeldung das neue Kennwort verwenden.

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um diese Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So können Sie das Kennwort eines AD LDS-Benutzers mithilfe von "Ldp.exe" über eine verschlüsselte Nicht-SSL-Verbindung festlegen oder ändern

  1. Klicken Sie auf Start und anschließend auf Server-Manager.

  2. Doppelklicken Sie in der Konsolenstruktur auf Rollen, und klicken Sie dann auf Active Directory Lightweight Directory Services.

  3. Klicken Sie im Detailbereich unter Weitere Tools auf Ldp.exe.

  4. Klicken Sie im Menü Optionen auf Verbindungsoptionen.

  5. Klicken Sie unter Optionsname auf LDAP_OPT_SIGN, geben Sie in das Feld Wert den Wert 1 ein, und klicken Sie dann auf Festlegen.

  6. Klicken Sie unter Optionsname auf LDAP_OPT_ENCRYPT, geben Sie in das Feld Wert den Wert 1 ein, klicken Sie auf Festlegen und dann auf Schließen.

  7. Stellen Sie eine Verbindung sowie eine Bindung mit der Instanz von AD LDS her, die den AD LDS-Benutzer enthält, für den Sie ein Kennwort festlegen bzw. dessen Kennwort Sie ändern möchten. Weitere Informationen zum Herstellen einer Verbindung und Bindung mit einer AD LDS-Instanz mithilfe von Ldp.exe finden Sie in der Vorgehensweise zum Verwalten einer AD LDS-Instanz mithilfe von Ldp.exe unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen).

  8. Klicken Sie im Menü Ansicht auf Struktur, lassen Sie Basis-DN leer, und klicken Sie dann auf OK.

  9. Navigieren Sie zu der Verzeichnispartition, die den AD LDS-Benutzer enthält, für den Sie ein Kennwort festlegen möchten.

    Wählen Sie für diese Übung das Benutzerkonto CN=Mary North aus. Dieses Konto haben Sie bei dem Verfahren zum Erstellen von AD LDS-Benutzern unter Schritt 4: Verwalten von Organisationseinheiten, Gruppen und Benutzern in AD LDS (Übungen) erstellt.

  10. Klicken Sie mit der rechten Maustaste auf den AD LDS-Benutzer, und klicken Sie dann auf Ändern.

  11. Geben Sie unter Attribut die Zeichenfolge userpassword ein. Geben Sie anschließen im Feld Wert das neue Kennwort für das Konto ein.

  12. Klicken Sie auf Eingabe, und klicken Sie anschließend auf Ausführen. Im Detailbereich wird eine Meldung ähnlich der folgenden angezeigt:

    ***Call Modify... ldap_modify_s(ld, 'CN=Mary North,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary North,O=Microsoft,C=US".
    

Herstellen einer Bindung als AD LDS-Sicherheitsprinzipal

In dieser Übung stellen Sie als AD LDS-Sicherheitsprinzipal eine Bindung mit einer AD LDS-Instanz her.

So stellen Sie eine Bindung als AD LDS-Sicherheitsprinzipal her

  1. Klicken Sie auf Start und anschließend auf Server-Manager.

  2. Doppelklicken Sie in der Konsolenstruktur auf Rollen, und klicken Sie dann auf Active Directory Lightweight Directory Services.

  3. Klicken Sie im Detailbereich unter Weitere Tools auf Ldp.exe.

  4. Klicken Sie im Menü Verbindung auf Verbinden. Stellen Sie eine Verbindung mit einer Instanz von AD LDS her, wie im Verfahren zum Verwalten von AD LDS-Instanzen mit Ldp.exe unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen) beschrieben ist.

  5. Klicken Sie im Menü Verbindung auf Binden.

  6. Wählen Sie unter Bindungstyp den Typ Einfache Bindung aus. Geben Sie CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US im Feld Benutzer sowie das Kennwort ein, das Sie diesem Konto gerade im Feld Kennwort zugewiesen haben. Klicken Sie dann auf OK.

    Im Detailbereich wird eine Meldung ähnlich der folgenden angezeigt:

    res = ldap_simple_bind_s(ld, 'CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US', <unavailable>0; // v.3 Authenticated as: 'CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US'.
    
    noteHinweis
    Standardmäßig wird neuen Benutzern von AD LDS (wie Mary North) Lesezugriff auf den übergeordneten Container einer gegebenen Verzeichnispartition gewährt. Diese Berechtigung wird von allen Objekten der Partition geerbt.

Herstellen einer Bindung als Windows-Sicherheitsprinzipal

AD LDS lässt die Verwendung von Windows-Sicherheitsprinzipalen für die Authentifizierung und Zugriffssteuerung zu. Windows-Benutzer können Mitglieder von AD LDS-Gruppen sein.

Ein Windows-Benutzer, der eine Bindung mit einer AD LDS-Instanz herstellt, erhält standardmäßig nur für die AD LDS-Gruppe die Mitgliedschaft, der er ausdrücklich als Mitglied hinzugefügt wurde.

In dieser Übung stellen Sie mithilfe des ADSI-Editor-Snap-Ins als Windows-Sicherheitsprinzipal eine Bindung mit einer AD LDS-Instanz her.

So stellen Sie eine Bindung als Windows-Sicherheitsprinzipal her

  1. Fügen Sie den Windows-Sicherheitsprinzipal den AD LDS-Standardgruppen CN=Readers oder CN=Administratorshinzu. Folgen Sie dazu den allgemeinen Anweisungen zum Hinzufügen von Mitgliedern zu Gruppen, wie im Verfahren zum Hinzufügen oder Entfernen von Mitgliedern in AD LDS-Gruppen unter Schritt 4: Verwalten von Organisationseinheiten, Gruppen und Benutzern in AD LDS (Übungen) beschrieben ist.

    noteHinweis
    Dieser Schritt ist erforderlich, da Windows-Sicherheitsprinzipale ohne Zugriff auf Verzeichnisdaten standardmäßig keine Bindung mit einer AD LDS-Instanz mit dem ADSI-Editor herstellen können.

  2. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf ADSI-Editor.

  3. Klicken Sie im Menü Aktion auf Verbinden mit. Das Dialogfeld Verbindungseinstellungen wird angezeigt.

  4. Geben Sie unter Domäne oder Server auswählen oder eingeben: (Server |Domäne[:port]) den DNS-Namen (Domain Name Service), den NetBIOS-Namen oder die IP-Adresse des Computers, auf dem die AD LDS-Instanz ausgeführt wird, gefolgt von einem Doppelpunkt (:), sowie den LDAP-Kommunikationsport ein, der von der AD LDS-Instanz verwendet wird, mit der Sie die Verbindung herstellen möchten.

    Für diese Übung wird AD LDS auf dem lokalen Computer ausgeführt. Sie können daher Folgendes eingeben: localhost:389.

  5. Klicken Sie unter Verbindungspunkt auf Definierten Namen oder Namenskontext auswählen oder eingeben, und geben Sie dann Folgendes ein: o=Microsoft,c=US.

  6. Klicken Sie auf Erweitert und dann auf Anmeldeinformationen angeben.

  7. Geben Sie unter Anmeldeinformationen die Domäne, den Benutzernamen und das Kennwort des Windows-Prinzipals ein, und klicken Sie dann auf OK.

  8. Doppelklicken Sie in der Konsolenstruktur des ADSI-Editor-Snap-Ins auf AD LDS-Demo, und doppelklicken Sie dann auf O=Microsoft,c=US. Der ADSI-Editor zeigt jetzt die Anwendungsverzeichnispartition an.

  9. Klicken Sie in der Konsolenstruktur auf einen beliebigen Container, um die darin enthaltenen Objekte anzuzeigen.

Herstellen einer Bindung über ein AD LDS-Proxyobjekt

Neben Bindungen als Windows- oder AD LDS-Benutzer können Sie Verbindungen mit AD LDS-Instanzen auch mit AD LDS-Bindungsumleitungen herstellen. Wenn Sie Bindungsumleitungen verwenden, kann AD LDS Bindungsanforderungen an AD LDS-Proxyobjekte empfangen und verarbeiten, die die Sicherheits-ID (SID) eines AD DS-Sicherheitsprinzipals als Attribut enthalten. Sie können Bindungsumleitungen in AD LDS verwenden, um AD DS-Benutzern unter Verwendung von AD DS-Domänenanmeldeinformationen für einmalige Anmeldung (Single Sign-On, SSO) Zugriff auf AD LDS- und AD DS-Daten zu gewähren. Sie können AD LDS-Proxyobjekte außerdem zum Speichern anwendungsspezifischer Benutzerdaten in AD LDS verwenden, während Sie AD DS zum Speichern allgemein verwendeter Verzeichnisdaten verwenden.

ImportantWichtig
Benutzer können mit Bindungsumleitungen einfache Bindungen mit AD LDS herstellen und dabei weiterhin AD DS-Anmeldeinformationen verwenden. Andere Bindungstypen können mit AD DS ohne Proxy verwendet werden, nicht jedoch einfache Bindungen. Proxybindungen können nur für einfache Bindungen verwendet werden.

Die LDF-Dateien in AD LDS enthalten eine Objektdefinition für das userProxy-Objekt, das Sie für Bindungsumleitungen verwenden können. LDF-Dateien können Sie beim AD LDS-Setup in das AD LDS-Schema importieren. Das genannte Objekt enthält einen definierten Name und eine SID als Attribute. Wenn Sie in AD LDS ein userProxy-Objekt erstellen (unter Angabe eines definierten Namens, der für die Bindung verwendet werden soll) und die gültige SID eines AD DS-Benutzerkontos verwenden, können Sie eine Bindung mit AD LDS mithilfe einer Bindungumleitung herstellen.

Für die folgenden Übungen wird angenommen, dass Sie die optionalen Benutzerklassen bereits in das AD LDS-Schema importiert haben, wie im Verfahren zur Erstellung neuer AD LDS-Instanzen mit dem Setup-Assistenten für Active Directory Lightweight Directory Services unter Schritt 2: Verwenden von AD LDS-Instanzen (Übungen) beschrieben ist.

Das Herstellen einer Bindung mit einer AD LDS-Instanz über ein Proxyobjekt umfasst folgende Aufgaben:

Konfigurieren von SSL-Anforderungen

Standardmäßig ist für Bindungen mit AD LDS unter Verwendung von Bindungsumleitungen eine SSL-Verbindung erforderlich. Für SSL ist die Installation und Verwendung von Zertifikaten auf dem Computer erforderlich, auf dem AD LDS ausgeführt wird. Weitere Informationen zum Konfigurieren von LDAP über SSL finden Sie in Anhang A: Konfigurieren von LDAP über SSL-Anforderungen für AD LDS.

Für die folgenden Übungen können Sie die SSL-Anforderung in der AD LDS-Testumgebung auch deaktivieren. Dies wird im folgenden Verfahren beschrieben.

noteHinweis
Die Deaktivierung der SSL-Anforderung für die Bindungsumleitung führt dazu, dass das Kennwort eines Windows-Sicherheitsprinzipals ohne vorhergehende Verschlüsselung an den Computer übergeben wird, auf dem AD LDS ausgeführt wird. Sie sollten die SSL-Anforderung daher nur in einer Testumgebung deaktivieren.

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So deaktivieren Sie die SSL-Anforderung für die Bindungsumleitung

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf ADSI-Editor.

  2. Klicken Sie im Menü Aktion auf Verbinden mit.

  3. Geben Sie unter Domäne oder Server auswählen oder eingeben: (Server |Domain[:port]) Folgendes ein: localhost:389.

  4. Klicken Sie unter Verbindungspunkt auf Bekannten Namenskontext auswählen, klicken Sie auf Konfiguration und dann auf OK.

  5. Suchen Sie in der Konsolenstruktur nach dem folgenden Containerobjekt in der Konfigurationspartition: CN=Directory Service,CN=Windows NT,CN=Services.

  6. Klicken Sie mit der rechten Maustaste auf CN=Directory Service, und klicken Sie dann auf Eigenschaften.

  7. Klicken Sie in Attribute auf msDS-Other-Settings, und klicken Sie dann auf Bearbeiten.

  8. Klicken Sie unter Werte auf RequireSecureProxyBind=1, und klicken Sie dann auf Entfernen.

  9. Geben Sie unter Hinzuzufügender Wert den Wert RequireSecureProxyBind=0 ein, klicken Sie auf Hinzufügen und dann auf OK.

Erstellen eines AD LDS-Proxyobjekts

Jetzt können Sie ein AD LDS-Proxyobjekt für den AD DS-Benutzer erstellen.

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So erstellen Sie ein AD LDS-Proxyobjekt

  1. Klicken Sie auf Start und anschließend auf Server-Manager.

  2. Doppelklicken Sie in der Konsolenstruktur auf Rollen, und klicken Sie dann auf Active Directory Lightweight Directory Services.

  3. Klicken Sie im Detailbereich unter Weitere Tools auf Ldp.exe.

  4. Stellen Sie eine Verbindung und eine Bindung mit der AD LDS-Instanz her. Weitere Informationen zum Herstellen einer Verbindung und Bindung mit einer AD LDS-Instanz mithilfe von Ldp.exe finden Sie in der Vorgehensweise zum Verwalten einer AD LDS-Instanz mithilfe von Ldp.exe unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen).

  5. Klicken Sie im Ldp-Menü Durchsuchen auf Untergeordnetes Objekt hinzufügen.

  6. Geben Sie unter Dn die Zeichenfolge cn=testproxy,o=microsoft,c=us als definierten Namen für das neue userProxy-Objekt ein, das im Container O=Microsoft,C=US erstellt werden soll.

  7. Geben Sie unter Eingabe bearbeiten Folgendes ein, und klicken Sie dann auf Eingabe:

    • Geben Sie unter Attribut Folgendes ein: ObjectClass.

    • Geben Sie unter Werte Folgendes ein: userProxy.

  8. Geben Sie wiederum unter Eingabe bearbeiten Folgendes ein, und klicken Sie dann auf Eingabe:

    • Geben Sie unter Attribut Folgendes ein: objectSID.

    • Geben Sie unter Werte die gültige SID eines Benutzers in AD DS ein.

      Geben Sie zum Abrufen der SID eines AD DS-Benutzers an einer Eingabeaufforderung Folgendes ein (als einzigen Befehl):

      dsquery user -samid <Konto> | dsget user -sid
      
      Dabei stellt <Konto> den Benutzeranmeldenamen dar, für den Sie die SID abrufen. Bei diesem Befehl werden die Ergebnisse für dsquery an dsget weitergeleitet.

    ImportantWichtig
    Der AD DS-Benutzer, für den das Proxyobjekt erstellt wird, darf nicht Mitglied einer AD LDS-Gruppe sein. Sie können keine Proxyobjekte für Windows-Sicherheitsprinzipale erstellen, die Mitglied einer AD LDS-Gruppe sind. Ein AD DS-Benutzer kann jedoch beliebigen AD LDS-Gruppen hinzugefügt werden, nachdem das Proxyobjekt für diesen Benutzer erstellt wurde.

  9. Stellen Sie sicher, dass das Kontrollkästchen Synchron aktiviert ist.

  10. Klicken Sie auf Ausführen. Damit wird das userProxy-Objekt mit den angegebenen Attributen dem Verzeichnisspeicher von AD LDS hinzugefügt.

    Im Detailbereich wird eine Meldung ähnlich der folgenden angezeigt:

    Added {cn=testproxy,o=microsoft,c=us}.
    
  11. Klicken Sie zum Trennen der Verbindung mit der AD LDS-Instanz im Menü Verbindung auf Trennen.

Herstellen einer Bindung über das Proxyobjekt

Sie können jetzt mithilfe des AD LDS-Proxyobjekts und mithilfe der Bindungsumleitung eine Bindung mit der AD LDS-Instanz herstellen.

So stellen Sie eine Bindung mit einem AD LDS-Proxyobjekt über Bindungsumleitung her

  1. Klicken Sie im Menü Verbindung auf Verbinden, und stellen Sie dann eine neue Verbindung mit der lokalen Instanz von AD LDS her (localhost:389).

  2. Klicken Sie im Menü Optionen auf Verbindungsoptionen.

  3. Klicken Sie unter Optionsname auf LDAP_OPT_SIGN, geben Sie 1 im Feld Wert ein, und klicken Sie dann auf Festlegen.

  4. Klicken Sie unter Optionsname auf LDAP_OPT_ENCRYPT, geben Sie 1 im Feld Wert ein, klicken Sie auf Festlegen, und klicken Sie dann auf Schließen.

  5. Klicken Sie zum Herstellen der Bindung mit der AD LDS-Instanz im Menü Verbindung auf Binden.

  6. Wählen Sie unter Bindungstyp den Typ Einfache Bindung aus.

  7. Geben Sie unter Benutzer Folgendes ein: cn=testproxy,o=Microsoft,c=us. Damit wird das Proxyobjekt dargestellt, das Sie im vorhergehenden Verfahren erstellt haben.

  8. Geben Sie unter Kennwort das Kennwort ein, das dem AD DS-Benutzer zugeordnet ist, für den Sie das Proxyobjekt erstellt haben. Klicken Sie dann auf OK.

    Im Detailbereich wird eine Meldung ähnlich der folgenden angezeigt:

    Authenticated as: "CN=testproxy,O=Microsoft,C=US'.
    

Testen der Bindung über das Proxyobjekt

Ein Windows-Sicherheitsprinzipal, der eine Bindung mit einer AD LDS-Instanz herstellt, erhält standardmäßig nur für die AD LDS-Gruppe die Mitgliedschaft, der dieser Benutzer ausdrücklich als Mitglied hinzugefügt wurde. Wenn ein Benutzer eine Bindung mit einer AD LDS-Instanz über ein Proxyobjekt herstellt, erhält dieser Benutzer die Mitgliedschaft in der Gruppe Users in jedem Namenskontext der AD LDS-Instanz.

Sie können diesen Unterschied in der Gruppenmitgliedschaft verwenden, um den funktionaler Unterschied zwischen Bindungen mit AD LDS-Instanzen als Windows-Benutzer und über Proxyobjekte zu veranschaulichen.

So testen Sie die Bindung mit einer AD LDS-Instanz über ein Proxyobjekt

  1. Fügen Sie in der Verzeichnispartition O=Microsoft,C=US die Gruppe Users der Gruppe Readers als Mitglied hinzu. Folgen Sie dazu den allgemeinen Anweisungen zum Hinzufügen von Mitgliedern zu Gruppen, wie im Verfahren zum Hinzufügen oder Entfernen von Mitgliedern in AD LDS-Gruppen unter Schritt 4: Verwalten von Organisationseinheiten, Gruppen und Benutzern in AD LDS (Übungen) beschrieben ist.

  2. Stellen Sie als AD DS-Benutzer (alle Benutzer außer dem AD LDS-Administrator, der standardmäßig Vollzugriff auf alle Partitionen erhält) mithilfe von Ldp.exe eine Bindung mit der AD LDS-Instanz her.

  3. Versuchen Sie, ein beliebiges Objekt in der Verzeichnispartition O=Microsoft,C=US zu lesen.

    Bei diesem Versuch sollte ein Fehler auftreten, denn der AD DS-Benutzer kann standardmäßig nicht auf die Partition zugreifen.

  4. Stellen Sie mithilfe von Ldp.exe über das erstellte Proxyobjekt eine Bindung mit der AD LDS-Instanz her, wie im vorhergehenden Verfahren beschrieben ist.

  5. Versuchen Sie, ein beliebiges Objekt in der Verzeichnispartition O=Microsoft,C=US zu lesen.

    Der Versuch sollte jetzt erfolgreich ausgeführt werden. Durch Herstellen einer Bindung mit der AD LDS-Instanz über das Proxyobjekt können Sie die Partition erfolgreich lesen, denn Benutzer, die über ein Proxyobjekt eine Bindung mit einer AD LDS-Instanz herstellen, werden automatisch Mitglied der Gruppe Users. Die Gruppe Users haben Sie der Gruppe Readers im ersten Schritt dieses Verfahrens hinzugefügt.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.