(0) exportieren Drucken
Alle erweitern

Active Directory Lightweight Directory Services-Rolle

Letzte Aktualisierung: Januar 2008

Betrifft: Windows Server 2008

Bei der Active Directory® Lightweight Directory Services-Serverrolle (AD LDS) handelt es sich um einen LDAP-Verzeichnisdienst (Lightweight Directory Access-Protokoll). Er stellt Datenspeicherung und Datenabruf für verzeichnisfähige Anwendungen bereit. Dabei gelten jedoch nicht die für Active Directory-Domänendienste (Active Directory Domain Services, AD DS) erforderlichen Abhängigkeiten.

AD LDS im Betriebssystem Windows Server® 2008 umfasst die Funktionalität, die durch den Active Directory-Anwendungsmodus (Active Directory Application Mode, ADAM) bereitgestellt wurde. Dieser ist für die Betriebssysteme Windows® XP Professional und Windows Server® 2003 verfügbar.

Wozu dient AD LDS?

Mit AD LDS erhalten Organisationen flexible Unterstützung für verzeichnisfähige Anwendungen. Bei einer verzeichnisfähigen Anwendung werden die zugehörigen Daten in einem Verzeichnis statt in einer Datenbank, einer Flatfile oder einer anderen Datenspeicherstruktur gespeichert. Verzeichnisdienste (wie AD LDS) bieten ebenso wie relationale Datenbanken Datenspeicherung und -abruf, beide unterscheiden sich jedoch in ihrer Optimierung. Verzeichnisdienste sind hinsichtlich der Verarbeitung von Lesevorgängen optimiert, relationale Datenbanken hinsichtlich der Transaktionsverarbeitung. Vielen Standardanwendungen liegt ebenso wie vielen benutzerdefinierten Anwendungen ein verzeichnisfähiger Entwurf zugrunde. Beispiele:

  • CRM-Anwendungen (Customer Relationship Management, Kundenbeziehungsmanagement)

  • Anwendungen für das Personalwesen

  • Globale Adressbuchanwendungen

AD LDS bietet eine ähnliche Funktionalität wie AD DS (und wurde tatsächlich auf der gleichen Codebasis erstellt), erfordert jedoch nicht die Bereitstellung von Domänen oder Domänencontrollern.

Sie können mehrere Instanzen von AD LDS gleichzeitig auf einem einzigen Computer ausführen. Für jede AD LDS-Instanz wird dann ein eigenes Schema oder ein eigener Konfigurationssatz (wenn die Instanz Teil eines Konfigurationssatzes ist) verwaltet. Mitgliedsserver, Domänencontroller und eigenständige Server können zum Ausführen der AD LDS-Serverrolle konfiguriert werden.

AD LDS ähnelt AD DS insofern, als Folgendes bereitgestellt wird:

  • Multimasterreplikation

  • Unterstützung für die Anwendungsprogrammierschnittstelle (Application Programming Interface (API) für Active Directory Service Interfaces (ADSI)

  • Anwendungsverzeichnispartitionen

  • LDAP über SSL (Secure Sockets Layer)

AD LDS unterscheidet sich von AD DS in erster Linie dadurch, dass Windows-Sicherheitsprinzipale nicht gespeichert werden. Bei AD LDS können Windows-Sicherheitsprinzipale (beispielsweise Domänenbenutzer) in Zugriffssteuerungslisten (Access Control Lists, ACLs), die den Zugriff auf Objekte in AD LDS steuern, verwendet werden. In Windows können jedoch in AD LDS gespeicherte Benutzer nicht authentifiziert werden, und AD LDS-Benutzer können in den ACLs nicht verwendet werden. Außerdem werden bei AD LDS Domänen und Gesamtstrukturen, Gruppenrichtlinien oder globale Kataloge nicht unterstützt.

Für wen ist AD LDS von Interesse?

Für Organisationen mit folgenden Anforderungen wird AD LDS besonders hilfreich sein:

  • Anwendungsspezifische Verzeichnisse, für die benutzerdefinierte Schemas verwendet werden oder die auf eine dezentralisierte Verzeichnisverwaltung angewiesen sind

    AD LDS-Verzeichnisse sind von der Domäneninfrastruktur von AD DS getrennt. Daher können sie Anwendungen unterstützen, die auf im AD DS-Verzeichnis nicht wünschenswerte Schemaerweiterungen angewiesen sind – beispielsweise Schemaerweiterungen, die für eine einzige Anwendung hilfreich sind. Außerdem kann der lokale Serveradministrator die AD LDS-Verzeichnisse verwalten; administrative Unterstützung durch Domänenadministratoren ist nicht erforderlich.

  • Verzeichnisfähige Umgebungen für die Anwendungsentwicklung und Prototyperstellung, die von der Domänenstruktur des Unternehmens getrennt sind

    Anwendungsentwickler, die verzeichnisfähige Anwendungen erstellen, können die AD LDS-Rolle auf jedem Server, auch auf eigenständigen Servern, installieren. Daher können Entwickler das Verzeichnis in der Entwicklungsumgebung steuern und ändern, ohne die AD DS-Infrastruktur der Organisation zu stören. Diese Anwendungen können anschließend je nach Bedarf mit AD LDS oder AD DS als Verzeichnisdienst für die Anwendung bereitgestellt werden.

    Netzwerkadministratoren können AD LDS als Prototyp- oder Pilotumgebung für Anwendungen verwenden, die letztendlich mit AD DS als Verzeichnisspeicher entwickelt werden, sofern die Anwendung nicht auf AD DS-spezifische Features angewiesen ist.

  • Verwaltung des Zugriffs externer Clientcomputer auf Netzwerkressourcen

    Unternehmen, die Clientcomputer in Extranets authentifizieren müssen, beispielsweise Webclientcomputer oder vorübergehend verwendete Clientcomputer, können AD LDS als Verzeichnisspeicher für die Authentifizierung verwenden. Auf diese Weise können Unternehmen die Verwaltung externer Clientinformationen im Domänenverzeichnis des Unternehmens vermeiden.

  • Aktivieren früherer LDAP-Clientcomputer in einer heterogenen Umgebung für die Authentifizierung gegenüber AD DS

    Bei Organisationszusammenführungen müssen oft LDAP-Clientcomputer unter verschiedenen Serverbetriebssystemen in eine einzige Netzwerkinfrastruktur integriert werden. In solchen Fällen können Netzwerkadministratoren auf einem oder mehreren Servern die AD LDS-Serverrolle installieren, anstatt Clientcomputer mit früheren LDAP-Anwendungen sofort zu aktualisieren oder das AD DS-Schema zu ändern, damit es für die früheren Clients verwendet werden kann. Die AD LDS-Serverrolle fungiert als zwischenzeitlicher Verzeichnisspeicher und verwendet das frühere Schema, bis die Clientcomputer aktualisiert werden können, um AD DS standardmäßig für LDAP-Zugriff und -Authentifizierung zu verwenden.

Gibt es spezielle Überlegungen?

Da AD LDS als Verzeichnisdienst für Anwendungen gedacht ist, wird erwartet, dass Verzeichnisobjekte von den Anwendungen erstellt, verwaltet und entfernt werden. Als allgemeiner Verzeichnisdienst wird AD LDS von den folgenden domänenorientierten Tools nicht unterstützt:

  • Active Directory-Domänen und -Vertrauensstellungen

  • Active Directory-Benutzer und -Computer

  • Active Directory-Standorte und -Dienste

Administratoren können jedoch AD LDS-Verzeichnisse beispielsweise mithilfe der folgenden Verzeichnistools verwalten:

  • ADSI-Editor (zum Anzeigen, Ändern, Erstellen und Löschen von Objekten in AD LDS)

  • Ldp.exe (für die allgemeine LDAP-Verwaltung)

  • Andere Schemaverwaltungs-Dienstprogramme

Muss vorhandener Code geändert werden?

Für die Verwendung mit ADAM konzipierte Anwendungen können ohne Änderungen mit AD LDS verwendet werden.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft