当前位置：文档之家› Active Directory 轻型目录服务入门循序渐进指南

Active Directory 轻型目录服务入门循序渐进指南

更新时间: 2007年9月

应用到: Windows Server 2008

以前称为 Active Directory 应用程序模式 (ADAM) 的 Active Directory(R) 轻型目录服务 (AD LDS) 是一种轻型目录访问协议 (LDAP) 目录服务，对启用目录的应用程序提供数据存储和检索支持，无需 Active Directory 域服务 (AD DS) 要求的依存关系。可以在一台计算机上同时运行多个 AD LDS 实例，每个 AD LDS 实例都有一个独立管理的架构。有关 AD LDS 的详细信息，请参阅 Active Directory 轻型目录服务概述

(https://www.doczj.com/doc/d417554783.html,/fwlink/?LinkId=96084)（可能为英文网页）。

有关配置 ADAM 的详细信息，请参阅“ADAM 部署循序渐进指南”(https://www.doczj.com/doc/d417554783.html,/fwlink/?LinkId=96083)（可能为英文网页）。

关于本指南

本指南描述了安装和运行 AD LDS 的过程。您可以使用本指南中的过程在小测试实验室环境中在正在运行 Windows Server? 2008 操作系统的服务器上安装 AD LDS。

当完成本指南的步骤后，您将能够：

?安装 AD LDS 服务器角色和练习使用 AD LDS 实例。

?练习使用 AD LDS 管理工具。

?练习在 AD LDS 中创建和管理组织单位 (OU)、组和用户。

?练习创建和删除 AD LDS 应用程序目录分区。

?查看、授予和拒绝 AD LDS 用户权限。

?练习通过多种方式绑定到 AD LDS 实例。

?练习管理 AD LDS 配置集。

备注

要求

在开始使用本指南中的步骤之前，请执行以下有关系统需求的操作：

?具有至少一台测试计算机可用于安装 AD LDS。为进行本指南中的以下练习，将在运行 Windows Server 2008 的计算机上安装 AD LDS。

?使用管理员帐户登录到 Windows Server 2008。

?为了达到本指南的目的，您可以在第一台测试计算机上安装 AD LDS 实例副本，如果您有第二台计算机可用，也可以将其安装在第二台计算机上。

AD LDS 入门步骤

以下各部分提供有关安装 AD LDS 的循序渐进介绍。这些部分提供图形用户界面 (GUI) 和命令行这两种备份和还原 AD LDS 的方法（如果适用）。

?步骤 1：安装 AD LDS 服务器角色

?步骤 2：练习使用 AD LDS 实例

?步骤 3：练习使用 AD LDS 管理工具

?步骤 4：练习管理 AD LDS 组织单位、组和用户

?步骤 5：练习使用应用程序目录分区

?步骤 6：练习管理授权

?步骤 7：练习管理身份验证

?步骤 8：练习管理配置集

有关详细信息，请参阅附录 A：为 AD LDS 配置 LDAP over SSL 要求和Appendix B: Upgrading from ADAM to AD LDS。步骤 1：安装 AD LDS 服务器角色

更新时间: 2007年9月

应用到: Windows Server 2008

可以使用以下过程在运行 Windows Server 2008 的计算机上安装 Active Directory 轻型目录服务 (AD LDS) 服务器角色。

安装 AD LDS 服务器角色的步骤

1.单击“开始”，然后单击“服务器管理器”。

2.在控制台树中，右键单击“角色”，然后单击“添加角色”。

3.查看添加角色向导的“开始之前”页上的信息，然后单击“下一步”。

4.在“选择服务器角色”页的“角色”列表中，选中“Active Directory 轻型目录服务”复选框，然后单击“下

一步”。

5.按照向导中的说明完成添加 AD LDS 服务器角色。

步骤 2：练习使用 AD LDS 实例

更新时间: 2007年9月

应用到: Windows Server 2008

既然您已安装 Active Directory 轻型目录服务 (AD LDS) 服务器角色，即可开始使用 AD LDS 实例。这包含以下任务：?创建新的 AD LDS 实例

?将数据导入 AD LDS 实例

创建新的 AD LDS 实例

在 AD LDS 中，“服务实例”（或者简称“实例”）是指 AD LDS 目录服务的单个运行副本。在同一计算机上可以同时运行 AD LDS 的多个实例。AD LDS 目录服务的每个实例都拥有单独的目录数据存储、唯一的服务名称和在安装过程中分配的唯一服务描述。在 AD LDS 安装过程中，如果轻型目录访问协议 (LDAP) 应用程序没有为您创建应用程序目录分区，则可以选择创建一个应用程序目录分区。

通过使用 Active Directory 轻型目录服务安装向导安装新的 AD LDS 实例

您可以使用 Active Directory 轻型目录服务安装向导创建 AD LDS 服务实例。

本地Administrators组中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组 (https://www.doczj.com/doc/d417554783.html,/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中 Administrators 组的成员。

通过使用 Active Directory 轻型目录服务安装向导创建新的 AD LDS 实例的步骤

1.单击“开始”，指向“管理工具”，然后单击“Active Directory 轻型目录服务安装向导”。

2.在“欢迎使用 Active Directory 轻型目录服务安装向导”页中，单击“下一步”。

3.在“安装选项”页中单击“一个唯一实例”，然后单击“下一步”。

4.在“实例名”页中，提供要安装的 AD LDS 实例的名称。此名称用于在本地计算机上唯一标识该 AD LDS 实

例。

对于此练习，接受默认名称instance1，然后单击“下一步”。

5.在“端口”页中，指定 AD LDS 实例用于通信的通信端口。AD LDS 可以使用 LDAP 和安全套接字层 (SSL) 进

行通信；因此，您必须为每个端口提供值。

对于此练习，接受默认值389和636，然后单击“下一步”。

备注

6.在“应用程序目录分区”页中，您可以通过单击“是，创建一个应用程序目录分区”创建一个应用程序目录

分区（或命名上下文）。或者，您可以单击“不，不要创建一个应用程序目录分区”，在此情况下，您必须在安装后手动创建一个应用程序目录分区。

对于此练习，单击“是，创建一个应用程序目录分区”。

键入o=Microsoft,c=US作为此应用程序目录分区的可分辨名称，然后单击“下一步”。

备注

7.在“文件位置”页中，您可以查看和更改 AD LDS 数据和恢复（日志）文件的安装目录。默认情况下，AD LDS

数据和恢复文件安装在 %ProgramFiles%\Microsoft ADAM\instancename\data 中，其中instancename表示在“实例名”页中指定的 AD LDS 实例名。

对于此练习，单击“下一步”接受默认文件位置。

8.在“服务帐户选择”页中，选择要用作 AD LDS 服务帐户的帐户。选择的帐户确定运行 AD LDS 实例所在的

安全上下文。Active Directory 轻型目录服务安装向导默认使用“网络服务帐户”。

对于此练习，单击“下一步”接受“网络服务帐户”默认值。或者，如果将 AD LDS 安装在域控制器上，则单击“本帐户”，然后选择域用户帐户用作 AD LDS 服务帐户。

9.在“AD LDS 管理员”页中，选择一个用户或组作为 AD LDS 实例的默认管理员。所选择的用户或组将对 AD LDS

实例拥有完全的管理控制权限。默认情况下，Active Directory 轻型目录服务安装向导指定当前登录的用户。

可以将此选择更改为网络上任何本地（或域）帐户（或组）。

对于此练习，单击默认值“当前登录的用户”，然后单击“下一步”。

10.在“导入 LDIF 文件”页中，您可以将架构 .ldf 文件导入 AD LDS 实例。

对于此练习，导入下表中的 .ldf 文件。

备注

11.“准备安装”页面使您有机会检查安装选择。单击“下一步”之后，Active Directory 轻型目录服务安装向

导将在计算机上复制文件和安装 AD LDS。

12.当 Active Directory 轻型目录服务安装向导完成安装 AD LDS 时，将显示此消息：“您已成功完成 Active

Directory 轻型目录服务安装向导。”当“正在完成 Active Directory 轻型目录服务安装向导”页面出现时，单击“完成”关闭向导。

备注

执行 AD LDS 实例的无人参与安装

您可以在无需用户参与的情况下安装 AD LDS。无人参与的 AD LDS 安装需要一个包含一组预配置安装选项的应答文件(Answer.txt)。

Administrators中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组 (https://www.doczj.com/doc/d417554783.html,/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中 Administrators 组的成员。

执行 AD LDS 实例的无人参与安装的步骤

1.使用任意文本编辑器，创建新的文本文件。

或者，您还可以复制以下示例应答文件，并将其粘贴到应答文件中。

复制代码

[ADAMInstall]

; The following line specifies to install a unique ADAM instance.

InstallType=Unique

; The following line specifies the name to be assigned to the new instance.

InstanceName=MyFirstInstance

; The following line specifies the communications port to use for LDAP.

LocalLDAPPortToListenOn=389

; The following line specifies an application partition to create NewApplicationPartitionToCreate="o=microsoft,c=us"

; The following line specifies the directory to use for ADAM data files.

DataFilesPath=C:\Program Files\Microsoft ADAM\instance1\data

; The following line specifies the directory to use for ADAM log files.

LogFilesPath=C:\Program Files\Microsoft ADAM\instance1\data

; The following line specifies the .ldf files to import into the ADAM schema.

ImportLDIFFiles="ms-inetorgperson.ldf" "ms-user.ldf"

2.指定安装参数（将在以下紧接着此过程的表中描述），然后保存应答文件。

3.在命令提示符下（或在批处理文件或脚本文件中），更改到包含 AD LDS 安装文件的驱动器和目录。

若要打开命令提示符，请依次单击“开始”、“运行”，并键入cmd。

4.键入下列命令：

复制代码

%systemroot%\ADAM\adaminstall.exe

/answer:drive:\pathname\filename.txt"

其中 drive:\pathname\filename.txt 表示应答文件的驱动器、路径和文件名。（该命令要求引号。）

下表显示您可以在 AD LDS 应答文件中使用的参数。这些参数不区分大小写。也就是说，您可以在应答文件中指定InstallType或installtype。但是，AD LDS 保留为instancename和servicepassword参数指定的值的大小写。

备注

当您安装或卸载AD LDS 时，AD LDS 使用以下注册表项向调用方返回错误代码和消息：HKLM\Software\Microsoft\Windows\CurrentVersion\ADAM_Installer_Results

只有出现错误或警告时，AD LDS 安装程序才会创建此注册表项和关联值。下表显示此注册表项的值。

将数据导入 AD LDS 实例

您可以在安装实例的过程中将数据导入 AD LDS 实例（使用 Active Directory 轻型目录服务安装向导中的“导入 LDIF

文件”页面），或者在创建实例后的任何时候通过使用ldifde命令行工具手动执行，该命令行工具可以创建、修改和删除目录对象。您还可以使用ldifde扩展架构并将用户和组信息导出到其他应用程序或服务。例如，可以使用ldifde 从另一个目录服务导出目录对象，然后使用ldifde将目录对象导入某个 AD LDS 实例。

AD LDS Administrators组中的成员身份或等效身份是完成此过程的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组 (https://www.doczj.com/doc/d417554783.html,/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中 Administrators 组的成员。

使用 ldifde 导入或导出目录对象的步骤

1.打开命令提示符。若要打开命令提示符，请单击“开始”，右键单击“命令提示符”，然后单击“用管理员

帐户运行”。

2.执行下列操作之一：

?若要导入目录对象，请在命令提示符下，键入以下命令，然后按 Enter：

复制代码

ldifde -i -f -s : -m -a

?若要导出目录对象，请在命令提示符下，键入以下命令，然后按 Enter：

复制代码

若要查看此命令的完整语法，请在命令提示符下，键入以下命令，然后按 Enter：

复制代码

ldifde /?

步骤 3：练习使用 AD LDS 管理工具

更新时间: 2007年9月

应用到: Windows Server 2008

Windows Server 2008 中的 Active Directory 轻型目录服务 (AD LDS) 包含多个用于常规管理任务的管理工具。这些任务包括以下内容：

?开始、停止和重新启动 AD LDS 实例

?使用 ADSI Edit 管理工具

?使用 Ldp.exe 管理工具

?使用架构管理单元作为 AD LDS 管理工具

?使用 Active Directory 站点和服务管理单元作为 AD LDS 管理工具

?使用 ADSchemaAnalyzer 创建 LDIF 文件

?与 AD DS 同步

开始、停止和重新启动 AD LDS 实例

AD LDS 实例作为服务运行。因此，可以使用用于 Windows Server 2008 上运行的其他服务的相同方法，启动、停止和重新启动 AD LDS 实例。

Administrators中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组 (https://www.doczj.com/doc/d417554783.html,/fwlink/?LinkId=83477)（可能为英文链接）。

使用 Windows 界面开始、停止或重新启动 AD LDS 实例

1.单击“开始”，然后单击“服务器管理器”。

2.在控制台树中，双击“角色”，然后单击“Active Directory 轻型目录服务”。

3.在细节窗格中的“系统服务”列表中，单击要管理的 AD LDS 实例。

4.单击“启动”、“停止”或“重新启动”。

备注

使用 ADSI Edit 管理工具

ADSI Edit 是用于 AD LDS 常规管理的 Microsoft 管理控制台 (MMC) 管理单元。它作为 AD LDS 和 Active Directory 域服务 (AD DS) 服务器角色的一部分安装。若要使用 ADSI Edit 管理 AD LDS 实例，必须首先连接并绑定到实例。可以通过浏览到实例中的容器或对象然后右键单击它们来管理它们。

使用 ADSI Edit 管理 AD LDS 实例的步骤

1.单击“开始”，指向“管理工具”，然后单击ADSI Edit。

2.在控制台树中，单击ADSI Edit。

3.在“操作”菜单中，单击“连接到”。此时将出现“连接设置”对话框。

4.在“名称”中，可以键入此连接将在 ADSI Edit 的控制台树中出现的标签。对于此连接，键入：AD LDS Demo

5.在“连接点”下，可以单击“选择或键入可分辨名称或命名上下文”，然后指定要连接的可分辨名称，也可

以单击“选择已知命名上下文”，然后单击“配置”、RootDSE或“架构”。

对于此练习，单击“选择或键入可分辨名称或命名上下文”，键入o=Microsoft,c=US，然后单击“确定”。

6.在“选择或键入域或服务器: (Server |Domain[:port]”中，键入运行 AD LDS 实例的计算机的域名系统 (DNS)

名称、NetBIOS 名称或 IP 地址，后面跟一个冒号 (:) 和要连接到的 AD LDS 实例使用的轻型目录访问协议

(LDAP) 通信端口。

在此练习中，AD LDS 运行在本地计算机上；因此，可以键入localhost:389

7.在 ADSI Edit 管理单元的控制台树中，双击“AD LDS 演示”，然后双击o=Microsoft,c=US。ADSI Edit 管

理单元现在显示应用程序目录分区。

8.在控制台树，单击任意容器查看该容器中的对象。

9.若要关闭 ADSI Edit，请在“文件”菜单中，单击“退出”。

使用 Ldp.exe 管理工具

Ldp.exe 是一个用于轻型目录访问协议 (LDAP) 目录服务的一般管理的图形用户界面 (GUI) 工具。若要使用 Ldp.exe 管理 Active Directory 轻型目录服务 (AD LDS) 实例，必须连接并绑定到该实例，然后显示该实例的可分辨名称的层次结构（树）。然后，可以浏览到树中的某个对象并右键单击该对象以进行管理。

使用 Ldp.exe 管理 AD LDS 实例的步骤

1.单击“开始”，然后单击“服务器管理器”。

2.在控制台树中，双击“角色”，然后单击“Active Directory 轻型目录服务”。

3.在细节窗格的“高级工具”下，单击Ldp.exe。

4.在“连接”菜单中，单击“连接”。

5.在“服务器”中，键入运行 AD LDS 实例的计算机的 DNS 名称、NetBIOS 名称或 IP 地址。

在此练习中，AD LDS 实例运行在本地计算机上；因此，键入localhost作为服务器名称。

6.在“端口”中，键入要连接到的 AD LDS 实例所使用的 LDAP 或安全套接字层 (SSL) 通信端口号，然后单击

“确定”。

备注

7.在“连接”菜单中，单击“绑定”。

8.执行下列操作之一：

?若要使用登录所用的凭据进行绑定，请单击“作为当前已登录用户绑定”。

?若要使用域用户帐户进行绑定，请单击“使用凭据绑定”，键入正在使用的帐户的用户名、密码和域名（或计算机名，如果使用的是本地工作站帐户），然后单击“确定”。

?若要仅使用一个用户名和密码进行绑定，请单击“简单绑定”，键入正使用的帐户的用户名和密码，然后单击“确定”。

?若要使用某种高级方法（NTLM、分布式密码身份验证 (DPA)、协商式或摘要式）进行绑定，请依次单击“高级 (method)”、“高级”，在“方法”中选择所需的方法，根据需要设置其他选项，然

后单击“确定”。

对于此练习，单击“作为当前已登录用户绑定”。

9.完成指定绑定选项后，请单击“确定”。

10.在“查看”菜单中，单击“树”。

11.展开BaseDN下拉列表，然后在导航窗格中单击要用作基本对象的对象的可分辨名称。对于此练习，单击

o=Microsoft,c=US，然后单击“确定”。

12.在控制台树，单击任意容器查看该容器中的对象。

13.若要关闭 Ldp.exe，请在“连接”菜单中，单击“退出”。

使用架构管理单元作为 AD LDS 管理工具

还可以使用 Active Directory 架构管理单元查看和管理 Active Directory 轻型目录服务 (AD LDS) 架构对象。

备注

Administrators组中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组 (https://www.doczj.com/doc/d417554783.html,/fwlink/?LinkId=83477)（可能为英文链接）。

使用 Active Directory 架构管理单元连接到 AD LDS 实例

1.单击“开始”，右键单击“命令提示符”，然后单击“以管理员身份运行”。

2.键入以下命令，然后按 Enter：

复制代码

regsvr32 schmmgmt.dll

3.依次单击“开始”、“运行”，键入mmc，然后单击“确定”。

4.在“文件”菜单上，单击“添加/删除管理单元”。

5.在“可用的管理单元”下，单击“Active Directory 架构”，单击“添加”，然后单击“确定”。

6.若要保存此控制台，请在“文件”菜单上单击“保存”。

7.在“另存为”对话框中，执行下列操作之一：

?若要将管理单元放置在管理工具菜单中，请在“文件名”中，键入管理单元的名称，然后单击“保存”。

?若要将管理单元保存在“管理工具”文件夹之外的位置，请在“保存于”中导航到管理单元要保存的位置。在“文件名”中键入管理单元的名称，然后单击“保存”。

8.打开架构管理单元。

9.在控制台树中，右键单击“Active Directory 架构”，然后单击“更改 Active Directory 域控制器”。

10.在“更改目录服务器”对话框中，单击“<在此处键入目录服务器名称[:port]>”，并键入运行 AD LDS 实例

的计算机的 DNS 名称、NetBIOS 名称或 IP 地址。

在此练习中，AD LDS 实例运行在本地计算机上；因此，键入localhost:389。