关于ADAM用户、用户组、安全主体的说明

用户和用户组
Active Directory 应用程序模式 (ADAM) 依赖用户和用户组来提供和控制对目录数据的访问。ADAM 支持同时使用 Windows 用户和 ADAM 用户。ADAM 提供四个默认的、基于角色的用户组。可以根据需要创建其他 ADAM 用户组。Windows 用户和 ADAM 用户都可以是 ADAM 用户组的成员。要在 ADAM 中创建 ADAM 用户，必须首先导入随 ADAM 提供的用户对象类定义，或者可以提供自己的对象定义。(对象类定义即Schema)

默认用户组

ADAM 提供四个默认的、基于角色的用户组：Administrators、Instances、Readers 和 Users。这些用户组存在于配置分区中和每个应用程序分区中，但不存在于架构分区中。在配置集内，ADAM 复制这些用户组和所有其他目录数据。

以下三个用户组存在于每个目录分区的 CN=Roles 容器中：

Administrators (CN=Administrators, CN=Roles)

Readers (CN=Readers, CN=Roles)

Users (CN=Users, CN=Roles)

以下用户组仅存在于配置目录分区的 CN=Roles 容器中：

Instances (CN=Instances, CN=Roles)

下表列出了默认的 ADAM 用户组及分配给每个用户组的默认成员和默认访问权限。

可以在 ADAM 实例或配置集的任何分区中，为来自配置分区的用户组分配权限。仅可以在应用程序分区中为来自应用程序分区的用户组分配权限。可以在任何应用程序分区中为 Windows 安全主体分配权限。

安全主体

术语安全主体指具有安全标识符 (SID) 并可以向目录对象分配权限的任何对象。在 ADAM 中，安全主体可以存在于 ADAM 中、本地计算机中或 Active Directory 域中。

注意：您可以通过显式查询 rootDSE 上的 tokenGroups 属性来检索某个活动用户的个人 SID 和组 SID。
 
ADAM 安全主体

ADAM 不包含任何默认的安全主体。但是，ADAM 提供可用来在 ADAM 中创建用户的可导入的架构扩展。从这些用户类创建的用户可以用作安全主体。另外，可以在 ADAM 架构安全主体中制作任何对象类，方法是将 msDS-bindableobject 辅助类和 unicodePwd 属性添加到对象类的架构定义中。必须给每个 ADAM 安全主体分配一个帐户和密码，ADAM 会用之进行身份验证。

Windows 安全主体

ADAM 允许使用 Windows 安全主体进行身份验证和访问控制。本地 Windows 用户和用户组以及域用户和用户组可以与 ADAM 一起使用。另外，可以将 Windows 安全主体成员身份作为成员添加到 ADAM 用户组中。默认情况下，在 ADAM 安装过程中指定为 ADAM 管理员的安全主体会变成配置分区中 Administrators 用户组的成员。对于 Windows 安全主体，ADAM 依赖于本地计算机（对于本地帐户）上的本地安全授权 (LSA) 或域控制器（对于域帐户）上的 LSA 进行身份验证。