Active Directory Lightweight Directory Services (AD LDS) stellt Datenspeicherung und Datenabruf für verzeichnisfähige Anwendungen bereit. Dabei gelten jedoch nicht die für Active Directory-Domänendienste (Active Directory Domain Services, AD DS) erforderlichen Abhängigkeiten. AD LDS bietet eine ähnliche Funktionalität wie AD DS, erfordert jedoch nicht die Bereitstellung von Domänen oder Domänencontrollern. Auf ähnliche Weise wie AD DS-Kontospeicherinformationen von Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) verwendet werden, ruft AD FS auch Benutzerattribute von AD LDS ab und authentifiziert Benutzer mit AD LDS. Dazu müssen Sie AD FS so konfigurieren, dass AD LDS als Kontospeicher verwendet wird.

Sie müssen mindestens Mitglied der lokalen Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477.

Sie können das folgende Verfahren verwenden, um der AD FS-Konfiguration einen AD LDS-Kontospeicher hinzuzufügen.

So fügen Sie einen AD LDS-Kontospeicher hinzu
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Verbunddienste.

  2. Doppelklicken Sie in der Konsolenstruktur auf Verbunddienst, dann auf Vertrauensrichtlinie, und doppelklicken Sie anschließend auf Eigene Organisation.

  3. Klicken Sie mit der rechten Maustaste auf Kontospeicher, zeigen Sie auf Neu, und klicken Sie dann auf Kontospeicher.

  4. Klicken Sie auf der Seite Willkommen auf Weiter.

  5. Klicken Sie auf der Seite Kontospeichertyp auf Active Directory Lightweight Directory Services (AD LDS), und klicken Sie dann auf Weiter.

  6. Führen Sie auf der Seite AD LDS-Speicherungsdetails die folgende Aktion aus, und klicken Sie dann auf Weiter:

    • Geben Sie im Feld Kontospeicher-Anzeigename den Anzeigenamen des Kontospeichers ein.

    • Geben Sie im Feld Kontospeicher-URI den URI (Uniform Resource Identifier) für den AD LDS-Kontospeicher ein.

  7. Führen Sie auf der Seite AD LDS-Servereinstellungen die folgende Aktion aus, und klicken Sie dann auf Weiter:

    • Geben Sie im Feld AD LDS-Servername oder IP-Adresse den Namen oder die IP-Adresse des AD LDS-Servers ein.

    • Geben Sie im Feld Portnummer die TCP/IP-Portnummer für den Kontodienst ein.

    • Geben Sie im Feld LDAP-Suchbasis-DN den definierten Namen ein, z. B. DC=adatum,DC=com.

    • Geben Sie im Feld Benutzernamen-LDAP-Attribut den Namen des Benutzernamenattributs ein, z. B. userPrincipalName.

  8. Wählen Sie auf der Seite Identitätsansprüche mindestens einen vom Kontospeicher bereitgestellten Identitätsanspruch aus, und klicken Sie dann auf Weiter:

    • Wenn der Kontospeicher UPN-Identitätsansprüche bereitstellt, aktivieren Sie das Kontrollkästchen UPN (User Principal Name), und geben Sie dann den LDAP-Attributnamen (Lightweight Directory Access Protocol) ein.

    • Wenn der Kontospeicher E-Mail-Identitätsansprüche bereitstellt, aktivieren Sie das Kontrollkästchen E-Mail, und geben Sie dann den LDAP-Attributnamen ein.

    • Wenn der Kontospeicher allgemeine Namensidentitätsansprüche bereitstellt, aktivieren Sie das Kontrollkästchen Allgemeiner Name, und geben Sie dann den LDAP-Attributnamen ein.

  9. Wenn Sie diesen Kontospeicher jetzt nicht aktivieren möchten, deaktivieren Sie auf der Seite Diesen Kontospeicher aktivieren das Kontrollkästchen Diesen Kontospeicher aktivieren, und klicken Sie dann auf Weiter.

  10. Klicken Sie auf Fertig stellen, um den Kontospeicher hinzuzufügen und den Assistenten zu schließen.

Hinweis

AD FS kann keine AD LDS-Konten authentifizieren, deren Kontonamen Klammern enthalten. Konten mit einer offenen Klammer im Benutzernamen verursachen einen LDAP-Suchfehler, da der Benutzername einen ungültigen LDAP-Filter bildet.


Inhaltsverzeichnis