新手入门之AD轻型目录服务

核心提示： 企业应用程序必须经常将与经过身份验证的用户相关联的个性化数据存储在 AD DS 中，将此个性化数据存储在 AD DS 中将需要更改 AD DS 架构，新手入门之AD轻型目录服务(2)，这种情况下，应用程序可以使用 AD LDS 来存储特定于应用程序的数据（如策略和管理信息），如果在 Ext

企业应用程序必须经常将与经过身份验证的用户相关联的个性化数据存储在 AD DS 中。将此个性化数据存储在 AD DS 中将需要更改 AD DS 架构。这种情况下，应用程序可以使用 AD LDS 来存储特定于应用程序的数据（如策略和管理信息），而使用 AD DS 中的用户主体进行身份验证以及控制对 AD LDS 中对象的访问。这种解决方案将不需要每个 AD LDS 目录拥有其自己的用户数据库。因此，这种解决方案可以防止每次向网络中引入新的已启用目录的应用程序时最终用户的用户 ID 和密码的繁殖。

2、提供 Extranet 身份验证存储

考虑 Web 门户应用程序的示例，该应用程序管理对企业业务应用程序和位于企业 AD DS 外部的服务标识的 Extranet 访问。另一个示例是一个承载方案，该方案中提供商通过维护和更新客户专用的 Web 或数据服务器为其客户提供域和存储服务，而客户无需具有访问这些服务器的权限。

在 Extranet 中部署的这些服务器和门户应用程序都需要具有自定义标识。它们要求进行身份验证存储以保存它们所服务的标识的授权信息。AD LDS 是此身份验证存储的最佳候选，因为它可以承载非 Windows 安全主体但可以使用 LDAP 简单绑定进行身份验证的用户对象。换言之，Web 客户端可以由门户应用程序提供服务，当将 AD LDS 用作简单的 LDAP 身份验证存储时，这些应用程序可以在任何平台上运行。

如果在 Extranet 中部署的门户应用程序必须服务当前位于企业防火墙之外经过 AD DS 身份验证的内部标识，则您仍然可以借助在 AD LDS 的 Extranet 实例上设置的这些标识的企业帐户凭据将 AD LDS 部署为身份验证存储，如下图所示。（图1）