Active Directory Lightweight Directory Services
Purpose
Microsoft Active Directory Lightweight Directory Services (AD LDS) is an independent mode of Active Directory that provides dedicated directory services for applications.
Where applicable
Although AD LDS independently provides directory storage and access for applications, AD LDS uses the same standard application programming interfaces (APIs) as Active Directory to manage and access the application data. The resulting conceptual and programming compatibility makes AD LDS ideal for applications that require directory services, but do not require the complete infrastructure features of Active Directory.
Developer audience
AD LDS is a directory services solution for developers who are familiar with programming for Active Directory. Developers who are unfamiliar with Active Directory will find that integrating AD LDS as a directory service for their applications is easier than using the complete features of Active Directory. In both cases, AD LDS provides a directory services solution for developers who seek compatibility and consistency with Active Directory.
Run-time requirements
AD LDS runs with the full feature set on the Microsoft Windows ServerВ 2008 operating system. Previous versions of AD LDS (ADAM) can run on any edition of Windows ServerВ 2003 and on Microsoft WindowsВ XP Professional.
In this section
General information about AD LDS.
Tasks and examples of programming with AD LDS.
Пошаговое руководство по началу работы со службами Active Directory Lightweight Directory Services
Служба Active Directory® Lightweight Directory Services (AD LDS), ранее известная как Active Directory Application Mode (ADAM) – это служба каталогов, работающая по протоколу LDAP (Lightweight Directory Access Protocol – облегчённый протокол доступа к каталогам) и обеспечивающая поддержку хранения и извлечения данных для приложений, ориентированных на работу с каталогами, избавляя Вас от требований, предъявляемых к традиционной службе каталогов Active Directory (Active Directory Domain Services, AD DS). Вы можете запускать сразу несколько экземпляров AD LDS на одном компьютере, при этом каждый экземпляр будет использовать свою собственную, независимо управляемую схему.
Для получения дополнительной информации о службах AD LDS обратитесь к статье Обзор служб Active Directory Lightweight Directory Services.
Для получения дополнительной информации о службах ADAM обратитесь к статье Пошаговое руководство по развертыванию ADAM.
Об этом руководстве
Это руководство содержит инструкции по установке, настройке и запуску служб AD LDS. Вы можете использовать процедуры, описанные в этом руководстве, для установки служб AD LDS на серверах под управлением ОС Windows Server® 2008 в лабораторной среде.
Выполнив все шаги данного руководства, Вы научитесь:
Устанавливать серверную роль AD LDS и работать с экземплярами службы AD LDS.
Использовать средства администрирования AD LDS.
Создавать организационные подразделения, группы и пользователей AD LDS, а также управлять ими.
Создавать и удалять разделы каталога приложений AD LDS.
Просматривать, предоставлять и отказывать в предоставлении разрешений AD LDS пользователям.
Выполнять привязку к экземплярам AD LDS различными способами.
Управлять наборами конфигурации AD LDS.
Примечание:
Чтобы повысить Ваши шансы на успешное выполнение всех задач этого руководства, важно выполнять все шаги именно в том порядке, в котором они представлены.
Требования для успешного выполнения данного руководства
Прежде чем приступить к работе с данным руководством, убедитесь, что выполняются следующие требования:
У Вас должен быть как минимум один тестовый компьютер, на котором можно установить службу AD LDS. Для того чтобы Ваши действия соответствовали действиям, описанными в данном руководстве, установите службу AD LDS на компьютер под управлением ОС Windows Server 2008.
Вы должны выполнять вход в операционную систему Windows Server 2008 под административной учетной записью.
Для выполнения процедур, представленных в данном руководстве, Вы можете установить реплики экземпляров AD LDS на тестовом компьютере с установленной службой AD LDS. Если у Вас есть отдельный компьютер, Вы можете установить реплики экземпляров AD LDS на нем.
Шаги для начала работы со службами AD LDS
В следующих разделах представлены пошаговые инструкции по настройке служб AD LDS. Описываются как средства с графическим пользовательским интерфейсом (GUI), так и методы с использованием командной строки (в случаях, когда они могут быть применены), позволяющие создавать резервные копии и восстанавливать AD LDS.
Шаг 1. Установка серверной роли AD LDS
Для установки серверной роли AD LDS на компьютере под управлением Windows Server 2008 выполните следующую процедуру.
Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477.
Для установки серверной роли AD LDS выполните следующие действия:
Откройте меню Start и щелкните значок Server Manager.
В дереве консоли щелкните правой кнопкой мыши на узле Roles и в контекстном меню выберите команду Add Roles.
Просмотрите информацию на странице Before You Begin мастера Add Roles Wizard и нажмите кнопку Next.
В списке Roles, расположенном на странице Select Server Roles, установите флажок Active Directory Lightweight Directory Services и нажмите кнопку Next.
Следуйте дальнейшим инструкциям мастера для добавления роли AD LDS.
Шаг 2. Работа с экземплярами AD LDS
Теперь, когда Вы установили серверную роль AD LDS, Вы готовы приступить к работе с экземплярами AD LDS. В этом разделе будут рассмотрены следующие процедуры:
Создание нового экземпляра AD LDS
Для создания экземпляров AD LDS используется мастер Active Directory Lightweight Directory Services Setup Wizard. Применительно к AD LDS, «экземпляр службы» (или просто «экземпляр») – это отдельная копия службы каталогов AD LDS. Несколько экземпляров AD LDS могут одновременно работать на одном компьютере. Каждый экземпляр службы каталогов AD LDS имеет отдельное хранилище каталога, а также уникальные имя и описание службы, назначаемые ему во время установки. Во время установки AD LDS Вы можете выбрать опцию создания раздела каталога приложения, если работающее по протоколу LDAP приложение не создает его автоматически.
Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для создания экземпляра AD LDS с помощью мастера «Active Directory Lightweight Directory Services Setup Wizard» выполните следующие действия:
В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Lightweight Directory Services Setup Wizard.
На странице Welcome to the Active Directory Lightweight Directory Services Setup Wizard нажмите кнопку Next.
На странице Setup Options установите переключатель в положение A unique instance и нажмите кнопку Next.
На странице Instance Name задайте имя устанавливаемого экземпляра AD LDS. Это имя будет использоваться на локальном компьютере для идентификации экземпляра AD LDS.
В нашем примере оставьте имя instance1, предлагаемое по умолчанию, и нажмите кнопку Next.
На странице Ports укажите номера портов, через которые будет осуществляться взаимодействие с экземпляром AD LDS. AD LDS может использовать как протокол LDAP, так и защищенный протокол SSL; поэтому Вы должны указать номер для каждого из портов.
В нашем примере оставьте номера 389 и 636, предлагаемые по умолчанию, и нажмите кнопку Next.
Примечание:
Если Вы устанавливаете AD LDS на компьютере, где один из предлагаемых по умолчанию портов уже используется, мастер Active Directory Lightweight Directory Services Setup Wizard автоматически обнаружит первый доступный порт, начиная с номера 50000. Например, служба каталогов Active Directory (Active Directory Domain Services, AD DS), использует порты 389 и 636, а также порты 3268 и 3269 на серверах глобального каталога. Поэтому, если Вы устанавливаете службу AD LDS на контроллере домена, мастер установки AD LDS по умолчанию предложит использовать номер 50000 для LDAP-порта и номер 50001 – для SSL-порта.
На странице Application Directory Partition Вы можете создать раздел каталога приложений (или контекст именования), установив переключатель в положение Yes, create an application directory partition. Если же Вы установите переключатель в положение No, do not create an application directory partition, то Вы должны будете создать раздел каталога приложений вручную после завершения установки.
В нашем примере установите переключатель в положение Yes, create an application directory partition.
Введите o=Microsoft,c=US в качестве различающегося имени раздела каталога приложений и нажмите кнопку Next.
Примечание:
AD LDS поддерживает как стиль именования X.500, так и стиль DNS для задания полных имен разделов каталога приложений верхнего уровня.
На странице File Locations Вы можете просмотреть и изменить папки, в которых будут храниться файлы данных и файлы восстановления AD LDS. По умолчанию файлы данных и файлы восстановления хранятся в папке «%ProgramFiles%\Microsoft ADAM\имя_экземпляра\data», где имя_экземпляра – имя устанавливаемого экземпляра AD LDS, которое Вы указываете на странице Instance Name мастера установки AD LDS.
В нашем примере нажмите кнопку Next, чтобы принять значения по умолчанию.
На странице Service Account Selection Вам будет предложено выбрать учетную запись, которая будет использоваться в качестве учетной записи службы AD LDS. Выбранная учетная запись определяет контекст безопасности, в котором будет выполняться экземпляр AD LDS. По умолчанию мастер установки AD LDS предлагает использовать учетную запись Network Service account.
В нашем примере нажмите кнопку Next, чтобы выбрать предложенную по умолчанию учетную запись Network service account. Если же Вы устанавливаете службу AD LDS на контроллере домена, установите переключатель в положение This account и выберите учетную запись пользователя домена, чтобы использовать ее в качестве учетной записи службы AD LDS.
На странице AD LDS Administrators Вам будет предложено выбрать учетную запись пользователя или группы, которая будет использоваться в качестве учетной записи администратора экземпляра AD LDS. Эта учетная запись будет иметь полный административный контроль над экземпляром AD LDS. По умолчанию мастер установки AD LDS предлагает использовать учетную запись текущего пользователя. Вы можете выбрать любую другую локальную или доменную учетную запись пользователя или группы.
В нашем примере установите переключатель в положение Currently logged on user и нажмите кнопку Next.
На странице Importing LDIF Files Вы можете импортировать LDIF-файлы схемы в экземпляр AD LDS.
В нашем примере отметьте LDIF-файлы, перечисленные в следующей таблице, и нажмите кнопку Next.
Содержит определение класса объекта LDAP inetOrgPerson.
Содержит определения классов объектов, относящихся к пользователям.
Содержит простое определение класса объекта userProxy.
Содержит полное определение класса объекта userProxy.
Содержит спецификаторы отображения. Этот файл требуется для работы оснастки консоли управления MMC. Если Вы планируете подключаться к экземпляру AD LDS при помощи оснастки Active Directory – сайты и службы, импортируйте этот файл на данном этапе с помощью мастера Active Directory Lightweight Directory Services Setup Wizard.
Примечание:
Служба AD LDS позволяет Вам использовать собственные файлы формата LDIF (LDAP Data Interchange Format) в дополнение к файлам, поставляемым по умолчанию. Для того чтобы Ваши LDIF-файлы были доступны во время установки экземпляра AD LDS, поместите их в папку «%systemroot%\ADAM». Вы можете создавать собственные LDIF-файлы с помощью инструмента ADSchemaAnalyzer. Для получения дополнительной информации обратитесь к процедуре «Создание LDIF-файла с помощью ADSchemaAnalyzer» раздела Шаг 3. Использование средств администрирования AD LDS этого документа. Поместите Ваши собственные LDIF-файлы в папку «%systemroot%\ADAM» и запустите мастер Active Directory Lightweight Directory Services Setup Wizard, чтобы создать новый экземпляр AD LDS. Ваши LDIF-файлы будут доступны в списке файлов, расположенном на странице Importing LDIF Files.
На странице Ready to Install Вы можете просмотреть выбранные параметры установки экземпляра AD LDS. После того, как Вы нажмете кнопку Next, мастер установки скопирует необходимые файлы и установит экземпляр AD LDS на Ваш компьютер.
После того как установка AD LDS будет завершена, на экран будет выведено следующее сообщение: «You have successfully completed the Active Directory Lightweight Directory Services Setup Wizard». Когда откроется страница Completing the Active Directory Lightweight Directory Services Setup Wizard, нажмите кнопку Finish, чтобы закрыть мастер установки AD LDS.
Примечание:
Если работа мастера Active Directory Lightweight Directory Services Setup Wizard завершится с ошибкой, то на странице Summary Вы увидите описание причины ее возникновения.
Примечание:
Если ошибка возникнет до того, как откроется страница Summary, Вы можете просмотреть появившееся сообщение об ошибке. В дополнение к этому Вы можете открыть меню Start, щелкнуть значок Run и набрать одну из следующих команд:
Файлы Adamsetup.log и Adamsetup_loader.log содержат информацию, которая может помочь Вам выяснить причину возникновения ошибки при установке AD LDS.
Импорт данных в экземпляр AD LDS
Вы можете импортировать данные в экземпляр AD LDS во время его установки (на странице Importing LDIF Files мастера установки AD LDS) или в любой момент после его создания, воспользовавшись инструментом командной строки ldifde, позволяющим создавать, редактировать и удалять объекты каталога. Также Вы можете использовать команду ldifde для расширения схемы и для экспорта информации о пользователях и группах в другие приложения или службы. Например, с помощью команды ldifde Вы можете импортировать в экземпляр AD LDS объекты каталога, экспортированные из какой-либо другой службы каталогов.
Необходимым условием для создания экземпляра AD LDS является членство в группе локальных администраторов или в группе с эквивалентными полномочиями. С дополнительной информацией об использовании соответствующих учетных записей и групп Вы можете ознакомиться, перейдя по ссылке http://go.microsoft.com/fwlink/?LinkId=83477. По умолчанию участник безопасности, определенный Вами в качестве администратора AD LDS во время установки этой службы, становится членом группы Administrators в разделе конфигурации.
Для выполнения импорта или экспорта объектов каталога с помощью команды ldifde выполните следующие действия:
Запустите окно командной строки. Для этого в меню Start щелкните правой кнопкой мыши значок Command Prompt и в контекстном меню выберите команду Run as administrator.
Выполните одно из следующих действий:
Чтобы импортировать объекты каталога, наберите в командной строке следующую команду и нажмите клавишу ENTER:
Чтобы экспортировать объекты каталога, наберите в командной строке следующую команду и нажмите клавишу ENTER:
What Is Active Directory Lightweight Directory Services?
Active Directory Lightweight Directory Services (AD LDS) is an independent mode of Active Directory, minus infrastructure features, that provides directory services for applications.
AD LDS is a mode of Active Directory that provides directory services for applications.
AD LDS provides dedicated directory services for applications. It provides a data store and services for accessing the data store. It uses standard application programming interfaces (APIs) for accessing the application data. The APIs include those of Active Directory, Active Directory Service Interfaces, Lightweight Data Access Protocol, and System.DirectoryServices.
AD LDS operates independently of Active Directory and independently of Active Directory domains or forests. It operates either as a standalone data store, or it operates with replication. Its independence enables local control and autonomy of directory services for specific applications. It also facilitates independent, flexible schemas, and naming contexts.
AD LDS does not have the infrastructure capabilities of Active Directory.
AD LDS does not include directory services for the Windows operating system, so it concentrates on the requirements of specific applications. If AD LDS operates in an Active Directory environment, it can use Active Directory for authentication. Because AD LDS does not support the Messaging Application Programming Interface, Microsoft Exchange cannot use AD LDS.
AD LDS usage complements that of Active Directory.
Although AD LDS and Active Directory can operate concurrently within the same network, AD LDS serves the requirements of specific applications. An instance of AD LDS can be created for a specific application without concern for the dependencies required by Active Directory. AD LDS can be installed without affecting Active Directory. Multiple instances of AD LDS, each supporting a separate application, can run on a single AD LDS installation.
Обзор служб Active Directory Lightweight Directory Services
Используя службы Active Directory облегченного доступа к каталогам Windows Server® 2008 (Active Directory® Lightweight Directory Services, AD LDS), ранее известные как Active Directory Application Mode (ADAM), Вы можете производить развертывание служб каталогов для приложений, ориентированных на работу с каталогами. При этом Вы избавляетесь от необходимости развертывания доменов и лесов, а также использования единой схемы каталога в пределах всего леса.
В этом документе содержатся дополнительные сведения о роли AD LDS сервера Windows Server 2008, о функциональных возможностях службы AD LDS, а также некоторые замечания относительно программного и аппаратного обеспечения, необходимого для ее установки.
Что представляет собой роль AD LDS сервера Windows Server 2008
AD LDS – это служба каталогов, работающая по протоколу LDAP (Lightweight Directory Access Protocol – облегчённый протокол доступа к каталогам) и обеспечивающая гибкую поддержку приложений, ориентированных на работу с каталогами, избавляя Вас от требований, предъявляемых к традиционной службе каталогов Active Directory (Active Directory Domain Services, AD DS). Служба AD LDS включает в себя большинство функциональных возможностей AD DS, однако для ее работы не требуется производить развертывание доменов или использовать контроллеры доменов. Вы можете запускать сразу несколько экземпляров AD LDS на одном компьютере, при этом каждый экземпляр будет использовать свою собственную, независимо управляемую схему.
Служба каталогов Active Directory обеспечивает поддержку как серверов под управлением ОС Microsoft® Windows Server, так и приложений, ориентированных на работу с каталогами. Для каждой серверной операционной системы служба AD DS хранит важную информацию о сетевой инфраструктуре, пользователях и группах, сетевых службах и так далее. В таком режиме работы служба AD DS должна использовать единую схему для всего леса доменов.
С другой стороны, роль AD LDS, установленная на сервере, обеспечивает поддержку служб каталогов специально для приложений, ориентированных на работу с каталогами. Для работы AD LDS не требуется наличия доменов или лесов Active Directory. Тем не менее, в окружениях с развернутыми службами AD DS служба AD LDS может использовать информацию AD DS для проверки подлинности участников безопасности Windows.
Когда следует использовать роль AD LDS
В следующих разделах описаны основные сценарии использования каталогов AD LDS на предприятиях.
Организация хранилища данных корпоративных приложений
AD LDS является полноценным решением для работы с каталогами LDAP на предприятиях. Все корпоративные приложения, ориентированные на работу с каталогами, могут использовать AD LDS в качестве хранилища своих данных.
AD LDS может хранить в локальном каталоге (возможно, на том же самом сервере, на котором установлено приложение) «закрытую» информацию, относящуюся только к определенному приложению, не требуя при этом никакой дополнительной настройки каталога Active Directory на этом сервере. Эта информация хранится в каталоге AD LDS, связанном исключительно с каждым конкретным приложением. Такой подход уменьшает сетевой трафик репликации между контроллерами домена, обслуживающими каталог Active Directory. Тем не менее, при необходимости Вы можете настроить репликацию данных между несколькими экземплярами службы AD LDS.
Часто корпоративные приложения должны сохранять данные, связанные с пользователями, прошедшими проверку AD DS. При хранении этих данных в каталоге службы AD DS может возникнуть необходимость изменения схемы этой службы. В данном сценарии приложение может использовать каталог AD LDS для хранения таких данных, как информация о политиках и управляющих параметрах, и в то же время использовать каталог AD DS для проверки участников безопасности и выдачи прав доступа к объектам каталога AD LDS. При таком подходе для каждого каталога AD LDS не требуется наличие собственной базы данных, содержащей сведения о пользователях. Именно поэтому такое решение предотвращает разрастание пользовательских учетных данных, происходящее каждый раз при вводе в эксплуатацию нового сетевого приложения.
Организация хранилища данных клиентов экстрасети
Рассмотрим пример корпоративного веб-портала, который управляет доступом к внутренним бизнес-приложениям и обслуживает клиентов экстрасети, являющихся внешними по отношению к службе AD DS предприятия. Другим примером может являться сценарий, в котором провайдер предоставляет услуги веб-хостинга, размещая и обновляя информацию клиентов на веб-серверах, к которым сами клиенты доступа не имеет.
Эти серверы и веб-портал нуждаются в своих собственных хранилищах информации о взаимодействующих с ними объектах. На роль такого хранилища хорошо подходит каталог AD LDS, поскольку он может хранить информацию об объектах, не являющихся участниками безопасности Windows, но способных проходить проверку подлинности на основе атрибутов LDAP. Другими словами, внешние клиенты могут обслуживаться веб-порталом, работающим на любой платформе, тогда как в качестве простого хранилища с доступом по протоколу LDAP используется каталог AD LDS.
Если развернутый в экстрасети веб-портал должен обслуживать внутренние учетные записи службы AD DS, расположенной за корпоративным брандмауэром, Вы все равно можете использовать каталог AD LDS для хранения информации об этих учетных записях. В этом случае данные будут синхронизироваться между внутренней службой AD DS и экземплярами службы AD LDS, развернутыми в экстрасети. Эта схема изображена на следующем рисунке.
Вы также можете развернуть хранилище учетных данных клиентов экстрасети на основе AD LDS совместно со службами федерации Active Directory (Active Directory Federation Services, ADFS). Эта конфигурация позволяет проводить проверку подлинности пользователей с помощью технологии единого входа (Single-sign-on, SSO), когда один набор учетных данных используется сразу в нескольких веб-приложениях в течение сетевого сеанса. Для получения дополнительной информации обратитесь к статье Обзор ADFS на веб-узле Microsoft Windows Server TechCenter.
Консолидация идентификационных данных из нескольких систем
Бывают случаи, когда корпоративное приложение, ориентированное на работу с каталогами, может работать только с одним каталогом LDAP или организационным подразделением (OU), однако должно использовать данные, связанные с пользователями, программами или сетевыми ресурсами Active Directory, находящимися в нескольких лесах, доменах или организационных подразделениях предприятия. Для таких приложений должна быть консолидирована информация об объектах, находящихся в нескольких лесах, доменах и организационных подразделениях Active Directory, а также информация из различных систем, таких как базы данных по сотрудникам, базы данных SAP, телефонные справочники и так далее.
Служба AD LDS представляет собой решение по консолидации идентификационных данных, поскольку с ее помощью Вы можете развернуть централизованный метакаталог. Метакаталоги, такие как Microsoft Identity Integration Server (MIIS) или Microsoft Identity Integration Feature Pack (IIFP), являющийся бесплатной облегченной версией MIIS, обеспечивают для ориентированных на работу с каталогами приложений единую модель представления информации обо всех известных учетных записях корпоративных пользователей, программ и сетевых ресурсов. Это достигается путем объединения информации об учетных записях, синхронизации каталогов, инициализации и деинициализации учетных записей, а также путем синхронизации паролей между службами AD DS и AD LDS. Эта схема изображена на следующем рисунке.
Организация среды разработки приложений для AD DS и AD LDS
Служба AD LDS использует ту же самую модель программирования, и виртуально предоставляет такой же способ администрирования, что и AD DS, поэтому она хорошо подходит для разработчиков, которые подготавливают и тестируют различные приложения, интегрированные с Active Directory. Например, если создаваемое приложение должно использовать схему, отличную от текущей схемы службы Active Directory, разработчик может использовать AD LDS для того, чтобы настроить собственную схему приложения в соответствии с требованиями бизнеса, организации данных и рабочего процесса. При этом конфигурация существующей корпоративной схемы Active Directory остается без изменений. Разработчики приложений могут работать с локальными экземплярами AD LDS на своих рабочих станциях, а затем настраивать приложения на работу со схемой AD DS по мере необходимости.
Во время работы над созданием приложений разработчики предпочитают использовать для работы простой каталог, не требующий тщательной настройки или использования дополнительного аппаратного обеспечения. AD LDS легко устанавливается на рабочие станции, и также легко удаляется, что позволяет в любое время восстанавливать каталог в исходное состояние во время процесса разработки и отладки приложений.
Организация хранилища данных конфигураций для распределенных приложений
У Вас может иметься распределенное приложение, для которого необходимо использовать хранилище данных конфигурации с возможностью обновления и репликации в режиме MultiMaster, что позволяет обслуживать несколько компонентов этого приложения. Таким приложением может являться, например, брандмауэр, осуществляющий доступ к данным сетевого окружения и портов, фильтр нежелательной почты, осуществляющий доступ к спискам адресов электронной почты, или же программа, осуществляющая доступ к корпоративным данным и параметрам политики. Для таких приложений Вы можете развернуть каталог AD LDS в качестве облегченного хранилища данных конфигураций. Эта схема изображена на следующем рисунке.
В этом сценарии экземпляр AD LDS, выступающий в роли хранилища данных конфигурации приложения, поставляется вместе с распределенным приложением. Таким образом, разработчикам не нужно заботиться о доступности службы каталогов перед установкой приложения. Вместо этого они могут сделать установку экземпляра службы AD LDS частью процесса установки приложения, получая гарантию того, что каталог будет доступен сразу после завершения установки. После этого приложение настраивает службу AD LDS и управляет ей в рамках заложенного функционала, а также использует каталог AD LDS для работы с необходимой информацией.
Перенос старых приложений, ориентированных на работу с каталогами
Функциональные возможности роли AD LDS
Вы можете использовать роль сервера AD LDS для создания нескольких экземпляров службы AD LDS на одном компьютере. Каждый экземпляр выполняется как отдельная служба в своем собственном контексте. Роль AD LDS включает в себя следующие компоненты, облегчающие создание, настройку и управление экземплярами AD LDS:
Мастер создания экземпляра AD LDS
Инструменты командной строки для выполнения автоматической установки и автоматического удаления экземпляров AD LDS
Оснастки консоли Microsoft Management Console (MMC) для настройки и управления экземплярами и схемами AD LDS
Специальные инструменты командной строки для управления, заполнения и синхронизации экземпляров AD LDS
Помимо всего вышеперечисленного, Вы также можете использовать многие инструменты Active Directory для администрирования экземпляров AD LDS.
Операционная система Windows Server 2008 включает в себя ряд дополнительных функциональных возможностей AD LDS, перечисленных в следующей таблице.
Создание установочного дистрибутива (Install from Media, IFM)
Эта функциональная возможность позволяет Вам использовать инструменты Ntdsutil.exe или Dsdbutil.exe, позволяющие за один шаг создать установочный дистрибутив экземпляров службы AD LDS.
Аудит изменений AD LDS
Эта функциональная возможность позволяет Вам настраивать аудит AD LDS, включающий в себя новую подкатегорию, в которой фиксируются все старые и новые значения, устанавливаемые при изменении объектов и их атрибутов.
Эта функциональная возможность также применима к службе AD DS. Для получения дополнительной информации обратитесь к статье AD DS: Аудит (EN).
Интеллектуальный анализ данных с помощью инструмента Database Mounting Tool
Эта функциональная возможность позволяет Вам просматривать данные каталога, хранящиеся в подключенных снимках состояния объектов, сделанных в различные моменты времени, и выбирать нужные для восстановления данные без необходимости перезагрузки сервера.
| Примечание: |