ActiveDirectory輕型目錄服務入門循序漸進指南更新時間:2007年9月應用到:WindowsServer2008以前稱為ActiveDirectory應用程序模式(ADAM)的ActiveDirectory(R)輕型目錄服務(ADLDS)是一種輕型目錄訪問協議(LDAP)目錄服務，對啟用目錄的應用程序提供數據存儲和檢索支持，無需ActiveDirectory域服務(ADDS)要求的依存關系?？梢栽谝慌_計算機上同時運行多個ADLDS實例，每個ADLDS實例都有一個獨立管理的架構。有關ADLDS的詳細信息，請參閱ActiveDirectory輕型目錄服務概述(/fwlink/?LinkId=96084)（可能為英文網頁）。有關配置ADAM的詳細信息，請參閱“ADAM部署循序漸進指南”(/fwlink/?LinkId=96083)（可能為英文網頁）。關于本指南本指南描述了安裝和運行ADLDS的過程。您可以使用本指南中的過程在小測試實驗室環境中在正在運行WindowsServer?2008操作系統的服務器上安裝ADLDS。當完成本指南的步驟后，您將能夠：安裝ADLDS服務器角色和練習使用ADLDS實例。練習使用ADLDS管理工具。練習在ADLDS中創建和管理組織單位(OU)、組和用戶。練習創建和刪除ADLDS應用程序目錄分區。查看、授予和拒絕ADLDS用戶權限。練習通過多種方式綁定到ADLDS實例。練習管理ADLDS配置集。備注若要盡可能成功地完成本指南的目標，請務必按其顯示順序執行本指南中的步驟。要求在開始使用本指南中的步驟之前，請執行以下有關系統需求的操作：具有至少一臺測試計算機可用于安裝ADLDS。為進行本指南中的以下練習，將在運行WindowsServer2008的計算機上安裝ADLDS。使用管理員帳戶登錄到WindowsServer2008。為了達到本指南的目的，您可以在第一臺測試計算機上安裝ADLDS實例副本，如果您有第二臺計算機可用，也可以將其安裝在第二臺計算機上。ADLDS入門步驟以下各部分提供有關安裝ADLDS的循序漸進介紹。這些部分提供圖形用戶界面(GUI)和命令行這兩種備份和還原ADLDS的方法（如果適用）。步驟1：安裝ADLDS服務器角色步驟2：練習使用ADLDS實例步驟3：練習使用ADLDS管理工具步驟4：練習管理ADLDS組織單位、組和用戶步驟5：練習使用應用程序目錄分區步驟6：練習管理授權步驟7：練習管理身份驗證步驟8：練習管理配置集有關詳細信息，請參閱附錄A：為ADLDS配置LDAPoverSSL要求和AppendixB:UpgradingfromADAMtoADLDS。步驟1：安裝ADLDS服務器角色更新時間:2007年9月應用到:WindowsServer2008可以使用以下過程在運行WindowsServer2008的計算機上安裝ActiveDirectory輕型目錄服務(ADLDS)服務器角色。本地Administrators組中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。安裝ADLDS服務器角色的步驟單擊“開始”，然后單擊“服務器管理器”。在控制臺樹中，右鍵單擊“角色”，然后單擊“添加角色”。查看添加角色向導的“開始之前”頁上的信息，然后單擊“下一步”。在“選擇服務器角色”頁的“角色”列表中，選中“ActiveDirectory輕型目錄服務”復選框，然后單擊“下一步”。按照向導中的說明完成添加ADLDS服務器角色。步驟2：練習使用ADLDS實例更新時間:2007年9月應用到:WindowsServer2008既然您已安裝ActiveDirectory輕型目錄服務(ADLDS)服務器角色，即可開始使用ADLDS實例。這包含以下任務：創建新的ADLDS實例將數據導入ADLDS實例創建新的ADLDS實例在ADLDS中，“服務實例”（或者簡稱“實例”）是指ADLDS目錄服務的單個運行副本。在同一計算機上可以同時運行ADLDS的多個實例。ADLDS目錄服務的每個實例都擁有單獨的目錄數據存儲、唯一的服務名稱和在安裝過程中分配的唯一服務描述。在ADLDS安裝過程中，如果輕型目錄訪問協議(LDAP)應用程序沒有為您創建應用程序目錄分區，則可以選擇創建一個應用程序目錄分區。通過使用ActiveDirectory輕型目錄服務安裝向導安裝新的ADLDS實例您可以使用ActiveDirectory輕型目錄服務安裝向導創建ADLDS服務實例。本地Administrators組中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。通過使用ActiveDirectory輕型目錄服務安裝向導創建新的ADLDS實例的步驟單擊“開始”，指向“管理工具”，然后單擊“ActiveDirectory輕型目錄服務安裝向導”。在“歡迎使用ActiveDirectory輕型目錄服務安裝向導”頁中，單擊“下一步”。在“安裝選項”頁中單擊“一個唯一實例”，然后單擊“下一步”。在“實例名”頁中，提供要安裝的ADLDS實例的名稱。此名稱用于在本地計算機上唯一標識該ADLDS實例。對于此練習，接受默認名稱instance1，然后單擊“下一步”。在“端口”頁中，指定ADLDS實例用于通信的通信端口。ADLDS可以使用LDAP和安全套接字層(SSL)進行通信；因此，您必須為每個端口提供值。對于此練習，接受默認值389和636，然后單擊“下一步”。備注如果在使用以上任一默認端口的計算機上安裝ADLDS，則ActiveDirectory輕型目錄服務安裝向導將從50000開始自動查找第一個可用端口。例如，ActiveDirectory域服務(ADDS)使用端口389和636，以及全局目錄服務器上的端口3268和3269。因此，如果在域控制器上安裝ADLDS，則ActiveDirectory輕型目錄服務安裝向導將為LDAP端口提供默認值50000并為SSL端口提供默認值50001。在“應用程序目錄分區”頁中，您可以通過單擊“是，創建一個應用程序目錄分區”創建一個應用程序目錄分區（或命名上下文）。或者，您可以單擊“不，不要創建一個應用程序目錄分區”，在此情況下，您必須在安裝后手動創建一個應用程序目錄分區。對于此練習，單擊“是，創建一個應用程序目錄分區”。鍵入o=Microsoft,c=US作為此應用程序目錄分區的可分辨名稱，然后單擊“下一步”。備注ADLDS支持頂級目錄分區的X.500樣式和域名系統(DNS)樣式可分辨名稱。在“文件位置”頁中，您可以查看和更改ADLDS數據和恢復（日志）文件的安裝目錄。默認情況下，ADLDS數據和恢復文件安裝在%ProgramFiles%\MicrosoftADAM\instancename\data中，其中instancename表示在“實例名”頁中指定的ADLDS實例名。對于此練習，單擊“下一步”接受默認文件位置。在“服務帳戶選擇”頁中，選擇要用作ADLDS服務帳戶的帳戶。選擇的帳戶確定運行ADLDS實例所在的安全上下文。ActiveDirectory輕型目錄服務安裝向導默認使用“網絡服務帳戶”。對于此練習，單擊“下一步”接受“網絡服務帳戶”默認值。或者，如果將ADLDS安裝在域控制器上，則單擊“本帳戶”，然后選擇域用戶帳戶用作ADLDS服務帳戶。在“ADLDS管理員”頁中，選擇一個用戶或組作為ADLDS實例的默認管理員。所選擇的用戶或組將對ADLDS實例擁有完全的管理控制權限。默認情況下，ActiveDirectory輕型目錄服務安裝向導指定當前登錄的用戶?？梢詫⒋诉x擇更改為網絡上任何本地（或域）帳戶（或組）。對于此練習，單擊默認值“當前登錄的用戶”，然后單擊“下一步”。在“導入LDIF文件”頁中，您可以將架構.ldf文件導入ADLDS實例。對于此練習，導入下表中的.ldf文件。LDIF文件名描述MS-InetOrgPerson.ldf包含inetOrgPersonLDAP對象類的定義。MS-User.ldf包含user和相關類對象定義。MS-UserProxy.ldf包含簡單的userProxy類對象定義。MS-UserProxyFull.ldf包含完整的userProxy類對象定義。MS-ADLDS-DisplaySpecifiers.ldf包含顯示說明符。此.ldf文件對于管理單元操作是必需的。如果計劃連接到ADLDS實例，然后通過ActiveDirectory站點和服務管理單元進行管理，現在請使用ActiveDirectory輕型目錄服務安裝向導導入此文件。備注ADLDS還允許您在ADLDS安裝過程中創建自定義LDAP數據交換格式(LDIF)文件（除隨ADLDS提供的默認LDIF文件之外），方法是將這些文件添加到%systemroot%\ADAM目錄中。您可以通過使用ADSchema分析器創建自定義LDIF文件。有關詳細信息，請參閱在步驟3：練習使用ADLDS管理工具中的“使用ADSchemaAnalyzer創建一個LDIF文件”。將自定義LDIF文件存儲在%systemroot%\ADAM目錄中，然后運行ActiveDirectory輕型目錄服務安裝向導創建新的ADLDS實例。自定義LDIF文件將在“導入LDIF文件”頁的LDIF文件名列表中可用。“準備安裝”頁面使您有機會檢查安裝選擇。單擊“下一步”之后，ActiveDirectory輕型目錄服務安裝向導將在計算機上復制文件和安裝ADLDS。當ActiveDirectory輕型目錄服務安裝向導完成安裝ADLDS時，將顯示此消息：“您已成功完成ActiveDirectory輕型目錄服務安裝向導?！碑敗罢谕瓿葾ctiveDirectory輕型目錄服務安裝向導”頁面出現時，單擊“完成”關閉向導。備注如果ActiveDirectory輕型目錄服務安裝向導未成功完成，將在“摘要”頁中顯示描述失敗原因的錯誤消息。備注如果在“摘要”頁面之前的ActiveDirectory輕型目錄服務安裝向導中出現錯誤，您可以查看出現的錯誤消息。另外，您可以依次單擊“開始”、“運行”，然后鍵入任一以下命令：%windir%\Debug\ADAMSsetup.log%windir%\Debug\ADAMSsetup_loader.logADAMsetup.log和ADAMsetup_loader.log文件包含可以幫助您找到造成ADLDS安裝失敗的原因的信息。執行ADLDS實例的無人參與安裝您可以在無需用戶參與的情況下安裝ADLDS。無人參與的ADLDS安裝需要一個包含一組預配置安裝選項的應答文件(Answer.txt)。Administrators中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。執行ADLDS實例的無人參與安裝的步驟使用任意文本編輯器，創建新的文本文件?；蛘?，您還可以復制以下示例應答文件，并將其粘貼到應答文件中。\o"復制代碼"復制代碼[ADAMInstall];ThefollowinglinespecifiestoinstallauniqueADAMinstance.InstallType=Unique;Thefollowinglinespecifiesthenametobeassignedtothenewinstance.InstanceName=MyFirstInstance;ThefollowinglinespecifiesthecommunicationsporttouseforLDAP.LocalLDAPPortToListenOn=389;ThefollowinglinespecifiesanapplicationpartitiontocreateNewApplicationPartitionToCreate="o=microsoft,c=us";ThefollowinglinespecifiesthedirectorytouseforADAMdatafiles.DataFilesPath=C:\ProgramFiles\MicrosoftADAM\instance1\data;ThefollowinglinespecifiesthedirectorytouseforADAMlogfiles.LogFilesPath=C:\ProgramFiles\MicrosoftADAM\instance1\data;Thefollowinglinespecifiesthe.ldffilestoimportintotheADAMschema.ImportLDIFFiles="ms-inetorgperson.ldf""ms-user.ldf"指定安裝參數（將在以下緊接著此過程的表中描述），然后保存應答文件。在命令提示符下（或在批處理文件或腳本文件中），更改到包含ADLDS安裝文件的驅動器和目錄。若要打開命令提示符，請依次單擊“開始”、“運行”，并鍵入cmd。鍵入下列命令：\o"復制代碼"復制代碼%systemroot%\ADAM\adaminstall.exe/answer:drive:\pathname\filename.txt"其中drive:\pathname\filename.txt表示應答文件的驅動器、路徑和文件名。（該命令要求引號。）下表顯示您可以在ADLDS應答文件中使用的參數。這些參數不區分大小寫。也就是說，您可以在應答文件中指定InstallType或installtype。但是，ADLDS保留為instancename和servicepassword參數指定的值的大小寫。備注如果在應答文件中不存在參數，則出現默認行為。參數描述InstallType對所有安裝有效?？蛇x?？赡苤礥nique：創建ADLDS的唯一實例。Replica：通過網絡或從還原備份介質復制全部或部分現有ADLDS實例，創建一個ADLDS實例。

當您還在應答文件中為ReplicationDataSourcePath和ReplicationLogSourcePath參數指定值時，并且當您將InstallType值設置為Replica時，ADLDS安裝程序將從還原備份介質安裝ADLDS副本實例。如果不存在這些參數的值，則ADLDS安裝程序將通過網絡安裝ADLDS副本實例。任何其他值：ADLDS返回錯誤消息“在InstallType中指定的安裝類型無效”。默認行為行為與Unique相同。ShowOrHideProgressGUI對所有安裝有效。可選?？赡苤礢how：在安裝過程中，ADLDS安裝程序將顯示進度信息。Hide：在安裝過程中，ADLDS安裝程序不顯示進度信息。默認行為行為與Hide相同。InstanceName對所有安裝有效?？蛇x。可能值ADLDS實例名必須符合以下要求：它對于在同一計算機中運行的其他ADLDS實例必須是唯一的。其長度必須不超過44個字符。它使用的字符范圍僅限于a到z、A到Z或0到9。默認行為ADLDS實例名為Instancen，其中n為大于0的最小數字并且Instancen在本地計算機上唯一。ApplicationPartitionsToReplicate僅對復制安裝有效?？蛇x。指定要從源ADLDS實例復制的應用程序分區的可分辨名稱。以下示例指定要復制的三個應用程序分區：\o"復制代碼"復制代碼ApplicationPartitionsToReplicate="CN=my,O=partition""DC=partition2""CN=embedqu\"oteinDN"若要從源ADLDS實例復制全部應用程序分區，請將通配符字符(*)指定為值。如果未將InstallType的值設置為Replica，ADLDS將忽略您為ApplicationPartitionsToReplicate指定的任何值。默認行為ADLDS不復制應用程序分區。ReplicationDataSourcePath僅對復制安裝有效。當存在此參數的值時，ADLDS安裝程序將嘗試從介質安裝。如果此參數的值無效，ADLDS安裝程序將在安裝日志中寫入錯誤。指定ADLDS數據的還原實例的目錄路徑。如果未將InstallType設置為Replica或者如果同時未為ReplicationLogSourcePath指定值，ADLDS將忽略您為ReplicationDataSourcePath指定的任何值。默認行為ADLDS將通過網絡而不是從ADLDS實例的還原備份復制應用程序數據。如果為此參數指定值，但是未為ReplicationLogSourcePath指定值，將出現錯誤。ReplicationLogSourcePath僅對復制安裝有效。當存在此參數的值時，ADLDS安裝程序將嘗試從介質安裝。如果此參數的值無效，ADLDS安裝程序將在安裝日志中寫入錯誤。為ADLDS的還原實例指定日志文件的目錄路徑。如果未將InstallType值設置為Replica或者如果同時未為ReplicationDataSourcePath指定值，ADLDS將忽略您為ReplicationLogSourcePath指定的任何值。默認行為ADLDS將通過網絡而不是從ADLDS實例的還原備份復制應用程序數據。如果為此參數指定值，但是未為ReplicationDataSourcePath指定值，將出現錯誤。LocalLDAPPortToListenOn所有安裝都需要此參數。可能值389或1025到65535（含）之間任何未使用的端口號。任何其他值：ADLDS返回錯誤消息“指定的本地LDAP端口無效”。LocalSSLPortToListenOn所有安裝都需要此參數。SourceServer要求復制安裝。636或1025到65535（含）之間任何未使用的端口號。任何其他值：ADLDS返回錯誤消息“指定的本地SSL端口無效”。默認行為端口號默認值為636。如果636不可用，則默認值為等于或大于50000的第一個可用端口號。SourceServer要求復制安裝。可能值有效的DNS名稱或NetBIOS名稱。任何其他值：如果InstallType的值為Replica，則ADLDS返回錯誤消息“復制源服務器的語法無效”。默認行為如果InstallType的值為Replica，則ADLDS返回錯誤消息“未指定復制源服務器。SourceLDAPPort要求復制安裝。可能值389或1025到65535之間的一個端口號。任何其他值：如果InstallType的值為Replica，則ADLDS的任何其他值將返回錯誤消息“指定的復制源端口無效”。默認行為如果InstallType的值為Replica，則ADLDS返回錯誤消息“未指定復制源端口”。NewApplicationPartitionToCreate對新的唯一ADLDS實例的安裝有效?？蛇x?？赡苤涤行У目煞直婷Q：創建具有指定名稱的應用程序分區?？兆址?"")：不創建新的應用程序分區。任何其他值：如果安裝類型唯一，ADLDS將返回錯誤消息“在NewApplicationPartitionToCreate中應用程序分區的語法無效”。默認行為行為與空字符串("")相同。DataFilesPath對所有安裝有效?？蛇x?？赡苤嫡Z法正確的路徑名稱，可包括不包含現有ADLDS文件的未解析環境變量。任何其他值：ADLDS返回錯誤消息“DataFilesPath中的路徑無效”。默認行為將數據文件存儲在程序Files\MicrosoftADAM\instancename\data中。LogFilesPath對所有安裝有效。可選?？赡苤嫡Z法正確的路徑名稱，可包括不包含現有ADLDS文件的未解析環境變量。任何其他值：ADLDS返回錯誤消息“LogFilesPath中的路徑無效”。默認行為將日志文件存儲在程序Files\MicrosoftADAM\instancename\data中。ServiceAccount對所有安裝有效?？蛇x?？赡苤涤行У腄NS域名，后面跟一個反斜杠，然后是帳戶或組名稱。有效的NetBIOS域名，后面跟一個反斜杠，然后是帳戶名稱。有效的用戶主體名稱(UPN)。僅有效的帳戶名稱。

建議您不要僅使用有效的帳戶名稱，原因是解析不附帶域名的帳戶名稱需要額外處理。任何其他值：ADLDS返回錯誤消息“在ServiceAccount中指定的用戶無效”。默認行為ADLDS的此實例在網絡服務帳戶下運行。AddPermissionsToServiceAccount對所有安裝有效?？蛇x。可能值Yes：ADLDS安裝程序嘗試將作為服務登錄的權限添加到您指定為服務帳戶的帳戶。任何其他值：ADLDS安裝程序不嘗試將作為服務登錄的權限添加到您指定為服務帳戶的帳戶。默認行為ADLDS安裝程序不嘗試將作為服務登錄的權限添加到您指定為服務帳戶的帳戶。ServicePassword對所有安裝有效。必需，除非ServiceAccount為網絡服務帳戶。可能值任何字符串，包括空字符串("")。默認行為如果ServiceAccount為網絡服務帳戶，ADLDS不執行任何操作；否則，它將返回錯誤消息“在ServicePassword中未指定密碼”。Administrator對所有安裝有效?？蛇x。可能值有效的DNS域名，后面跟一個反斜杠，然后是帳戶名稱。

不要指定內置組或內置帳戶，例如DOMAIN\Administrators。相反，如果要指定一個組，請指定一個域組，如domainname\DomainAdmins，其中domainname代表域名。有效的NetBIOS域名，后面跟一個反斜杠，然后是帳戶名稱。有效的UPN。僅有效的帳戶名稱。

建議您不要僅使用有效的帳戶名稱，原因是解析不附帶域名的帳戶名稱需要額外處理。任何其他值：ADLDS返回錯誤消息“在Administrator中指定的用戶無效”。默認行為當前登錄的用戶在此ADLDS實例中具有管理員權限。ShowInAddRemovePrograms對所有安裝有效?？蛇x。可能值Show：在“控制面板”的“添加或刪除程序”中列出ADLDS實例。Hide：在“添加或刪除程序”中不列出ADLDS實例。默認行為“添加或刪除程序”包含已安裝的ADLDS實例。ImportLDIFFiles可能值您要導入ADLDS架構的可選.ldf文件：ms-User.ldf、ms-InetOrgPerson.ldf、ms-UserProxy.ldf和ms-azman.ldf。

文件名必須用通過空格("")分隔的雙引號括起來。默認行為ADLDS不導入任何可選.ldf文件。SourceUserNameSourcePassword對副本安裝有效?？蛇x?？赡苤翟诂F有配置集中具有管理權限的帳戶的用戶名和密碼。

當您安裝要加入配置集的副本時使用這些參數。默認行為ADLDS通過使用登錄用戶的憑據將副本加入配置集。當您安裝或卸載ADLDS時，ADLDS使用以下注冊表項向調用方返回錯誤代碼和消息：HKLM\Software\Microsoft\Windows\CurrentVersion\ADAM_Installer_Results只有出現錯誤或警告時，ADLDS安裝程序才會創建此注冊表項和關聯值。下表顯示此注冊表項的值。項目錄ADAMInstallErrorCode導致安裝程序失敗的數字錯誤代碼ADAMInstallErrorMessage與安裝錯誤代碼關聯的消息ADAMInstallWarnings與安裝警告關聯的消息ADAMUninstallErrorCode導致卸載失敗的數字錯誤代碼ADAMUninstallErrorMessage與卸載錯誤代碼關聯的消息ADAMUninstallWarnings與卸載警告關聯的消息將數據導入ADLDS實例您可以在安裝實例的過程中將數據導入ADLDS實例（使用ActiveDirectory輕型目錄服務安裝向導中的“導入LDIF文件”頁面），或者在創建實例后的任何時候通過使用ldifde命令行工具手動執行，該命令行工具可以創建、修改和刪除目錄對象。您還可以使用ldifde擴展架構并將用戶和組信息導出到其他應用程序或服務。例如，可以使用ldifde從另一個目錄服務導出目錄對象，然后使用ldifde將目錄對象導入某個ADLDS實例。ADLDSAdministrators組中的成員身份或等效身份是完成此過程的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。使用ldifde導入或導出目錄對象的步驟打開命令提示符。若要打開命令提示符，請單擊“開始”，右鍵單擊“命令提示符”，然后單擊“用管理員帳戶運行”。執行下列操作之一：若要導入目錄對象，請在命令提示符下，鍵入以下命令，然后按Enter：

\o"復制代碼"復制代碼ldifde-i-f<filename>-s<servername>:<port>-m-a<username><domain><password>若要導出目錄對象，請在命令提示符下，鍵入以下命令，然后按Enter：

\o"復制代碼"復制代碼ldifde-e-f<filename>-s<servername>:<port>-m-a<username><domain><password>參數描述ldifde指定一個支持基于LDIF文件格式標準進行批處理操作的工具程序。-i執行導入。-e執行導出。-f指定要導入或導出的文件。<filename>要導入或導出的文件的名稱。-s指定ADLDS實例或其他目錄服務的主機名和端口。<servername>ADLDS實例或其他目錄服務的主機名。<端口>ADLDS實例或其他目錄服務的端口。-m忽略（即不導入或導出）僅由ADDS使用的屬性。當您從現有ADDS林導出目錄對象，然后將其導入ADLDS時，可以使用此參數。-a指定帳戶憑據。如果沒有提供，則ldifde會使用當前登錄的用戶的憑據。<username>用于綁定至指定目錄服務的帳戶的用戶名。<域>用于綁定至指定目錄服務的帳戶的域名。<密碼>用于綁定至指定目錄服務的帳戶的密碼。-h允許使用簡單身份驗證和安全層(SASL)加密導入密碼。-c<String1><String2>將所有String1項替換為String2。使用ADLDS，當您在.ldf文件中替換字符串時，可以使用常量#schemaNamingContext和#configurationNamingContext替代架構目錄分區和配置目錄分區的可分辨名稱。若要查看此命令的完整語法，請在命令提示符下，鍵入以下命令，然后按Enter：\o"復制代碼"復制代碼ldifde/?步驟3：練習使用ADLDS管理工具更新時間:2007年9月應用到:WindowsServer2008WindowsServer2008中的ActiveDirectory輕型目錄服務(ADLDS)包含多個用于常規管理任務的管理工具。這些任務包括以下內容：開始、停止和重新啟動ADLDS實例使用ADSIEdit管理工具使用Ldp.exe管理工具使用架構管理單元作為ADLDS管理工具使用ActiveDirectory站點和服務管理單元作為ADLDS管理工具使用ADSchemaAnalyzer創建LDIF文件與ADDS同步開始、停止和重新啟動ADLDS實例ADLDS實例作為服務運行。因此，可以使用用于WindowsServer2008上運行的其他服務的相同方法，啟動、停止和重新啟動ADLDS實例。Administrators中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。使用Windows界面開始、停止或重新啟動ADLDS實例單擊“開始”，然后單擊“服務器管理器”。在控制臺樹中，雙擊“角色”，然后單擊“ActiveDirectory輕型目錄服務”。在細節窗格中的“系統服務”列表中，單擊要管理的ADLDS實例。單擊“啟動”、“停止”或“重新啟動”。備注默認情況下，會將ADLDS實例配置為自動啟動。使用ADSIEdit管理工具ADSIEdit是用于ADLDS常規管理的Microsoft管理控制臺(MMC)管理單元。它作為ADLDS和ActiveDirectory域服務(ADDS)服務器角色的一部分安裝。若要使用ADSIEdit管理ADLDS實例，必須首先連接并綁定到實例?？梢酝ㄟ^瀏覽到實例中的容器或對象然后右鍵單擊它們來管理它們。Administrators中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。使用ADSIEdit管理ADLDS實例的步驟單擊“開始”，指向“管理工具”，然后單擊ADSIEdit。在控制臺樹中，單擊ADSIEdit。在“操作”菜單中，單擊“連接到”。此時將出現“連接設置”對話框。在“名稱”中，可以鍵入此連接將在ADSIEdit的控制臺樹中出現的標簽。對于此連接，鍵入：ADLDSDemo在“連接點”下，可以單擊“選擇或鍵入可分辨名稱或命名上下文”，然后指定要連接的可分辨名稱，也可以單擊“選擇已知命名上下文”，然后單擊“配置”、RootDSE或“架構”。對于此練習，單擊“選擇或鍵入可分辨名稱或命名上下文”，鍵入o=Microsoft,c=US，然后單擊“確定”。在“選擇或鍵入域或服務器:(Server|Domain[:port]”中，鍵入運行ADLDS實例的計算機的域名系統(DNS)名稱、NetBIOS名稱或IP地址，后面跟一個冒號(:)和要連接到的ADLDS實例使用的輕型目錄訪問協議(LDAP)通信端口。在此練習中，ADLDS運行在本地計算機上；因此，可以鍵入localhost:389在ADSIEdit管理單元的控制臺樹中，雙擊“ADLDS演示”，然后雙擊o=Microsoft,c=US。ADSIEdit管理單元現在顯示應用程序目錄分區。在控制臺樹，單擊任意容器查看該容器中的對象。若要關閉ADSIEdit，請在“文件”菜單中，單擊“退出”。使用Ldp.exe管理工具Ldp.exe是一個用于輕型目錄訪問協議(LDAP)目錄服務的一般管理的圖形用戶界面(GUI)工具。若要使用Ldp.exe管理ActiveDirectory輕型目錄服務(ADLDS)實例，必須連接并綁定到該實例，然后顯示該實例的可分辨名稱的層次結構（樹）。然后，可以瀏覽到樹中的某個對象并右鍵單擊該對象以進行管理。Administrators中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。使用Ldp.exe管理ADLDS實例的步驟單擊“開始”，然后單擊“服務器管理器”。在控制臺樹中，雙擊“角色”，然后單擊“ActiveDirectory輕型目錄服務”。在細節窗格的“高級工具”下，單擊Ldp.exe。在“連接”菜單中，單擊“連接”。在“服務器”中，鍵入運行ADLDS實例的計算機的DNS名稱、NetBIOS名稱或IP地址。在此練習中，ADLDS實例運行在本地計算機上；因此，鍵入localhost作為服務器名稱。在“端口”中，鍵入要連接到的ADLDS實例所使用的LDAP或安全套接字層(SSL)通信端口號，然后單擊“確定”。備注LDAP的默認通信端口是389。SSL的默認通信端口是636。在“連接”菜單中，單擊“綁定”。執行下列操作之一：若要使用登錄所用的憑據進行綁定，請單擊“作為當前已登錄用戶綁定”。若要使用域用戶帳戶進行綁定，請單擊“使用憑據綁定”，鍵入正在使用的帳戶的用戶名、密碼和域名（或計算機名，如果使用的是本地工作站帳戶），然后單擊“確定”。若要僅使用一個用戶名和密碼進行綁定，請單擊“簡單綁定”，鍵入正使用的帳戶的用戶名和密碼，然后單擊“確定”。若要使用某種高級方法（NTLM、分布式密碼身份驗證(DPA)、協商式或摘要式）進行綁定，請依次單擊“高級(method)”、“高級”，在“方法”中選擇所需的方法，根據需要設置其他選項，然后單擊“確定”。對于此練習，單擊“作為當前已登錄用戶綁定”。完成指定綁定選項后，請單擊“確定”。在“查看”菜單中，單擊“樹”。展開BaseDN下拉列表，然后在導航窗格中單擊要用作基本對象的對象的可分辨名稱。對于此練習，單擊o=Microsoft,c=US，然后單擊“確定”。在控制臺樹，單擊任意容器查看該容器中的對象。若要關閉Ldp.exe，請在“連接”菜單中，單擊“退出”。使用架構管理單元作為ADLDS管理工具還可以使用ActiveDirectory架構管理單元查看和管理ActiveDirectory輕型目錄服務(ADLDS)架構對象。備注如果架構管理單元已安裝在計算機上，請跳過步驟1到7并開始步驟8的以下過程。Administrators組中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。使用ActiveDirectory架構管理單元連接到ADLDS實例單擊“開始”，右鍵單擊“命令提示符”，然后單擊“以管理員身份運行”。鍵入以下命令，然后按Enter：\o"復制代碼"復制代碼regsvr32schmmgmt.dll依次單擊“開始”、“運行”，鍵入mmc，然后單擊“確定”。在“文件”菜單上，單擊“添加/刪除管理單元”。在“可用的管理單元”下，單擊“ActiveDirectory架構”，單擊“添加”，然后單擊“確定”。若要保存此控制臺，請在“文件”菜單上單擊“保存”。在“另存為”對話框中，執行下列操作之一：若要將管理單元放置在管理工具菜單中，請在“文件名”中，鍵入管理單元的名稱，然后單擊“保存”。若要將管理單元保存在“管理工具”文件夾之外的位置，請在“保存于”中導航到管理單元要保存的位置。在“文件名”中鍵入管理單元的名稱，然后單擊“保存”。打開架構管理單元。在控制臺樹中，右鍵單擊“ActiveDirectory架構”，然后單擊“更改ActiveDirectory域控制器”。在“更改目錄服務器”對話框中，單擊“<在此處鍵入目錄服務器名稱[:port]>”，并鍵入運行ADLDS實例的計算機的DNS名稱、NetBIOS名稱或IP地址。在此練習中，ADLDS實例運行在本地計算機上；因此，鍵入localhost:389。單擊localhost:389，然后單擊“確定”。在控制臺樹，單擊任意容器查看該容器中的對象。有關使用架構管理單元管理架構對象的詳細信息，可以查看服務器上的幫助。若要顯示幫助，請打開架構管理單元，然后按F1。使用ActiveDirectory站點和服務管理單元作為ADLDS管理工具可以使用ActiveDirectory站點和服務管理單元連接到ADLDS實例并管理ADLDS配置集中所有站點間目錄數據的復制。Administrators中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。使用ActiveDirectory站點和服務管理單元連接到ADLDS實例單擊“開始”，指向“管理工具”，然后單擊“ActiveDirectory站點和服務”。在控制臺樹中，右鍵單擊“ActiveDirectory站點和服務”，然后單擊“更改域控制器”。在“更改目錄服務器”對話框中，單擊“<在此處鍵入目錄服務器名稱[:port]>”，然后鍵入運行ADLDS實例的計算機的DNS名稱、NetBIOS名稱或IP地址。在此練習中，ADLDS實例運行在本地計算機上；因此，鍵入localhost:389。選擇localhost:389，然后單擊“確定”。在控制臺樹，單擊任意容器查看該容器中的對象。備注MS-ADLDS-DisplaySpecifiers.ldf是ActiveDirectory站點和服務操作所必需的。如果計劃使用ActiveDirectory站點和服務連接到ADLDS實例和管理ADLDS實例，請使用ActiveDirectory輕型目錄服務安裝向導導入此.ldf文件。有關詳細信息，請參閱步驟2：練習使用ADLDS實例中的“通過使用ActiveDirectory輕型目錄服務安裝向導創建新的ADLDS實例的步驟”。有關ActiveDirectory站點和服務管理單元的詳細信息，可以查看服務器上的幫助。若要顯示幫助，請打開架構管理單元，然后按F1。使用ADSchemaAnalyzer創建LDIF文件如果要構建自定義應用程序，可以使用自定義LDIF文件輕松地構建架構。但是，如果需要將數據從現有ADDS部署復制到新的ADLDS實例中，將難以構建架構文件。ADLDS管理員可以使用ADSchemaAnalyzer從ADDS快速復制架構，然后將其導入ADLDS。可以使用ADSchemaAnalyzer幫助將ADDS架構遷移到ADLDS、從一個ADLDS實例遷移到其他實例，或從任何符合LDAP的目錄遷移到ADLDS實例。可以使用ADSchemaAnalyzer加載目標（源）架構，標記要遷移的元素，然后將其導出到ADLDS基礎架構。重要事項當您使用ADSchemaAnalyzer創建LDIF文件時，請加載目標架構和基礎架構。否則，可能無法通過ldifde工具使用所產生的LDIF文件。Administrators中的成員身份或同等身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。使用ADSchemaAnalyzer創建LDIF文件的步驟打開命令提示符，然后將目錄更改到%windir%\ADAM。鍵入以下命令，然后按Enter：\o"復制代碼"復制代碼adschemaanalyzer若要加載目標架構，請單擊“文件”，單擊“加載目標架構”，然后執行以下操作之一：若要加載域ActiveDirectory架構作為目標架構，請在對話框中，鍵入用戶名、密碼和域，然后單擊“確定”。若要加載其他架構（例如ADDS林或其他符合LDAP的目錄的架構），請在對話框中，鍵入包含目標架構目錄的服務器名稱和端口；根據需要鍵入用戶名、密碼和域；然后單擊“確定”。若要加載ADLDS實例的架構作為基礎架構，請單擊“文件”，單擊“加載基礎架構”，然后在“服務器[:端口]”中鍵入ADLDS實例的服務器名稱和端口。在對話框中，單擊“確定”。在所產生的樹中，通過右鍵單擊元素標記要導出到基礎架構的所有元素，然后選擇下列選項之一：“自動”自動將元素標記為在導出中包含或排除。如果元素將標記為“自動(已包含)”，可以右鍵單擊該元素，然后單擊“為什么自動包含?”查看該元素的反向依賴關系樹?！耙寻睒擞浺粋€元素以便將其包含在導出中。ADSchemaAnalyzer標記所有相關元素，例如superclasses、auxClasses、must/maycontains、defaultObjectCategory和possSuperiors。ADSchemaAnalyzer包含已包含屬性的propsets和鏈接的返回鏈接。“已排除”標記一個元素以便將其不包括在導出中?？梢宰柚挂蕾囮P系圖中的某些路徑。例如，您可能要導入domainDns，但是不導入samAccountDomain（它是domainDns的auxClass）。可以排除整個元素，例如samAccountDomain類，也可以排除一個關系；例如，可以從domainDns類刪除auxClass引用。如果排除一個關系，任何引用該元素的其他類將繼續包括它?！按嬖凇币馕吨卮嬖谟谀繕朔掌魃稀ＤJ情況下，頂級類被標記為存在。若要創建LDIF文件，請單擊“文件”，然后單擊“創建LDIF文件”。與ADDS同步使ADDS林中的數據與ADLDS實例的配置集中的數據同步需要兩個步驟：準備要進行同步的ADLDS實例。使數據同步。通常，您僅執行一次第一個步驟。無論何時希望更新ADLDS實例，都可以執行第二個步驟。ADLDS實例的Administrators組中的成員身份是完成此過程所需的最低要求。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。準備要進行同步的ADLDS實例的步驟打開命令提示符。在命令提示符下，鍵入以下命令，然后按Enter：\o"復制代碼"復制代碼cd%windir%\adam執行下列操作之一：若要準備使ADLDS實例與WindowsServer2003林同步，請鍵入以下命令，然后按Enter：

\o"復制代碼"復制代碼ldifde-i-u-fms-adamschemaw2k3.ldf-s<server>:<port>-b<user_name><domain><password>-j.-c"cn=Configuration,dc=X"#configurationNamingContext若要準備使ADLDS實例與WindowsServer2008林同步，請鍵入以下命令，然后按Enter：

\o"復制代碼"復制代碼ldifde-i-u-fms-adamschemaw2k8.ldf-s<server>:<port>-b<user_name><domain><password>-j.-c"cn=Configuration,dc=X"#configurationNamingContext重要事項必須在-j和-c之間包含句點(.)。備注因為在此練習中，ADLDS實例運行在本地計算機上，請將localhost用于服務器并使用默認LDAP通信端口389。鍵入以下命令，然后按Enter：\o"復制代碼"復制代碼ldifde-i-s<server>:<port>-cCN=Configuration,DC=X#ConfigurationNamingContext-fMS-AdamSyncMetadata.ldf鍵入以下命令，然后按Enter：\o"復制代碼"復制代碼notepadMS-AdamSyncConf.xml在記事本中，對配置文件的內容進行以下更改：使用源ADDS域控制器的名稱替換<source-ad-name>的值。使用源域的可分辨名稱替換<source-ad-partition>的值。使用源域的DomainAdmins組中的某個帳戶的名稱替換<source-ad-account>的值。使用源域的完全限定DNS名稱替換<account-domain>的值。使用目標ADLDS實例的分區的名稱替換<target-dn>的值。使用源域的基本可分辨名稱替換<base-dn>的值。在記事本中，在“文件”菜單中單擊“另存為”，為文件鍵入一個新名稱，單擊“保存”，然后關閉記事本。在命令提示符下，鍵入下列命令，替代在上一步中為xml_file使用的文件名，然后按Enter：\o"復制代碼"復制代碼adamsync/install<server>:<port><.xml_file>在準備好要進行同步的ADLDS實例之后，可以根據需要執行下列步驟，使指定ADDS林中的數據與ADLDS實例同步。使ADDS林中的數據與ADLDS實例中的數據同步的步驟在命令提示符下，鍵入以下命令，然后按Enter：\o"復制代碼"復制代碼adamsync/sync<server>:<port><configuration_dn>/log下表包含本節前面步驟中的參數及其他常用的adamsync參數。有關adamsync參數的詳細信息，請在命令提示符下，鍵入adamsync/?，然后按Enter。參數描述/?顯示命令行選項。/i或/install<input_file>安裝在指定的輸入文件中包含的配置。/sync<configuration_dn>同步指定的配置。/fs<configuration_dn>為指定的配置執行完全復制同步。/ageall<configuration_dn>為指定的配置執行老化搜索。老化搜索通過在ADDS中搜索ADLDS對象，確定是否已在ADDS中刪除某個配置中的ADLDS對象。/so<configuration_dnobject_dn>為指定配置中的指定對象執行復制同步。使用對象的可分辨名稱。備注必須對要同步的ADDS林中的對象或分區具有讀取或Dirsync訪問權限。備注必須對ADLDS實例中的應用程序目錄分區具有完全控制權限才能運行此命令。步驟4：練習管理ADLDS組織單位、組和用戶更新時間:2007年9月應用到:WindowsServer2008大多數情況下，使用ActiveDirectory輕型目錄服務(ADLDS)存儲有關用戶、組織及其所屬組的信息。管理ADLDS組織單位(OU)、組和用戶的任務包括以下操作：創建OU創建ADLDS組創建ADLDS用戶將成員添加到ADLDS組中或從ADLDS組中刪除成員禁用或啟用ADLDS用戶帳戶創建OU為了使ADLDS用戶和組保持有組織狀態，您可能希望將用戶和組置于OU中。在ActiveDirectory域服務(ADDS)和ADLDS以及其他基于輕型目錄訪問協議(LDAP)的目錄中，OU是使用戶和組保持有組織狀態的最常用的方法。ADLDS實例的Administrators組中的成員身份是完成此過程所需的最低要求。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。創建OU的步驟單擊“開始”，指向“管理工具”，然后單擊ADSIEdit。連接并綁定到要將OU添加到的ADLDS實例的目錄分區。對于此練習，請按照步驟3：練習使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS實例”連接并綁定到o=Microsoft,c=US應用程序目錄分區。在控制臺樹中，雙擊o=Microsoft,c=US目錄分區，右鍵單擊要添加OU的容器，指向“新建”，然后單擊“對象”。在“選擇類別”中，單擊organizationalUnit，然后單擊“下一步”。在“值”中，為新OU鍵入一個名稱，然后單擊“下一步”。對于此練習，在“值”字段中鍵入ADLDSUsers。如果要為其他屬性設置值，請單擊“更多屬性”。對于此練習，只需單擊“完成”。創建ADLDS組可以通過ADLDS管理單元或通過您的啟用目錄的應用程序管理ADLDS中的用戶和組。若要在ADLDS中創建用戶，必須首先將隨ADLDS提供的可選用戶類導入ADLDS架構中。這些用戶類是在可導入的.ldf文件中提供的，該文件可在安裝ADLDS的計算機上的%windir%\ADAM目錄中找到。有關詳細信息，請參閱步驟2：練習使用ADLDS實例中的“通過使用ActiveDirectory輕型目錄服務安裝向導創建新的ADLDS實例”。ADLDS實例的Administrators組中的成員身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。創建ADLDS組的步驟單擊“開始”，指向“管理工具”，然后單擊ADSIEdit。連接并綁定到要將OU添加到的ADLDS實例的目錄分區。對于此練習，請按照步驟3：練習使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS實例”連接并綁定到o=Microsoft,c=US應用程序目錄分區。在控制臺樹中，雙擊o=Microsoft,c=US目錄分區，右鍵單擊OU=ADLDSUsers，指向“新建”，然后單擊“對象”。在“選擇類別”中，單擊“組”，然后單擊“下一步”。在“值”中，為新組鍵入一個公用名(CN)，然后單擊“下一步”。對于此練習，在“值”字段中鍵入ADLDSTesters。備注默認情況下，groupType屬性設置為十六進制數0x80000002，它代表帳戶組。如果要更改，請單擊“更多屬性”。在“選擇要查看的屬性”中，選擇“兩者”（強制和可選）。在“選擇一個要查看的屬性”下拉菜單中，選擇groupType，并根據您的設計通過在“編輯屬性”字段中鍵入值對它進行編輯。如果要為其他屬性設置值，請單擊“更多屬性”。為新組設置所有所需屬性后，單擊“完成”。創建ADLDS用戶可以使用ADSIEdit管理單元或啟用目錄的應用程序管理ADLDS中的用戶和組。若要在ADLDS中創建用戶，必須首先將隨ADLDS提供的可選用戶類導入ADLDS架構中。這些用戶類是在可導入的.ldf文件中提供的，該文件可在安裝ADLDS的計算機上的%windir%\ADAM目錄中找到。有關詳細信息，請參閱步驟2：練習使用ADLDS實例中的“通過使用ActiveDirectory輕型目錄服務安裝向導創建新的ADLDS實例的步驟”。ADLDS實例的Administrators組中的成員身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。創建ADLDS用戶的步驟單擊“開始”，指向“管理工具”，然后單擊ADSIEdit。連接并綁定到要將OU添加到的ADLDS實例的目錄分區。對于此練習，請按照步驟3：練習使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS實例”連接并綁定到o=Microsoft,c=US應用程序目錄分區。在控制臺樹中，右鍵單擊OU=ADLDSUsers，指向“新建”，然后單擊“對象”。在“選擇類別”中，單擊希望使用的類別（user、inetOrgPerson、person或OrganizationalPerson），然后單擊“下一步”。在“值”中，為新用戶的公用名(CN)屬性鍵入一個值，然后單擊“下一步”。對于此練習，鍵入MaryNorth作為新用戶的CN。如果要為其他屬性設置值，請單擊“更多屬性”。為新用戶設置任何附加屬性后，單擊“完成”。備注如果使用空白密碼創建了一個ADLDS用戶，將自動禁用此用戶帳戶。為成功執行本指南中的其余練習，請按照下面的過程中“禁用或啟用ADLDS用戶”的步驟啟用剛創建的CN=MaryNorth,OU=ADLDSUsers,O=Microsoft,C=US用戶帳戶。將成員添加到ADLDS組中或從ADLDS組中刪除成員ADLDS依賴于用戶和組提供和控制對目錄數據的訪問權限。ADLDS支持同時使用Windows用戶和ADLDS用戶。Windows用戶和ADLDS用戶都可以是ADLDS組的成員。ADLDS實例的Administrators組中的成員身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。將成員添加到ADLDS組中或從ADLDS組中刪除成員的步驟單擊“開始”，指向“管理工具”，然后單擊ADSIEdit。連接并綁定到要將OU添加到的ADLDS實例的目錄分區。對于此練習，請按照步驟3：練習使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS實例”連接并綁定到o=Microsoft,c=US應用程序目錄分區。在控制臺樹中，雙擊包含要修改的組的目錄分區。右鍵單擊要修改的組，然后單擊“屬性”。對于此練習，選擇CN=ADLDSTesters。在“屬性”中，單擊“成員”，然后單擊“編輯”。在“具有安全主體的多值可分辨名稱編輯器”中，針對要添加到組中的每個ADLDS安全主體，單擊“添加DN”，鍵入新成員的可分辨名稱，然后單擊“確定”。對于此練習，鍵入CN=MaryNorth,OU=ADLDSUsers,o=Microsoft,c=US。在“具有安全主體的多值可分辨名稱編輯器”中，針對要添加到組中的每個Windows安全主體，單擊“添加Windows帳戶”，鍵入新成員的帳戶名稱，然后單擊“確定”。在“具有安全主體的多值可分辨名稱編輯器”中，針對要從組中刪除的每個組成員，單擊要刪除的成員，然后單擊“刪除”。對組做了希望的更改后，單擊“確定”兩次。禁用或啟用ADLDS用戶帳戶禁用和啟用ADLDS用戶時，可以控制該用戶是否可以綁定到ADLDS目錄。使用ADSIEdit管理單元可禁用和啟用ADLDS用戶。ADLDS實例的Administrators組中的成員身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。禁用或啟用ADLDS用戶的步驟打開ADSIEdit。連接并綁定到要將OU添加到的ADLDS實例的目錄分區。對于此練習，請按照步驟3：練習使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS實例”連接并綁定到o=Microsoft,c=US應用程序目錄分區。瀏覽至要禁用或啟用的ADLDS用戶，右鍵單擊該用戶，然后單擊“屬性”。對于此練習，選擇CN=MaryNorth。在“屬性”中，單擊msDS-UserAccountDisabled，然后單擊“編輯”。在“布爾屬性編輯器”中，執行以下操作之一，然后單擊“確定”：若要禁用ADLDS用戶，請單擊True。若要啟用ADLDS用戶，請單擊False或“未設置”。步驟5：練習使用應用程序目錄分區更新時間:2007年9月應用到:WindowsServer2008ActiveDirectory輕型目錄服務(ADLDS)目錄存儲被組織成各個邏輯目錄分區。存在以下三種不同的目錄分區類型：配置目錄分區架構目錄分區應用程序目錄分區每個ADLDS目錄存儲必須包含單一配置目錄分區和單一架構目錄分區。目錄存儲可以不包含應用程序目錄分區，也可以包含多個應用程序目錄分區。應用程序目錄分區包含應用程序使用的數據。可以在ADLDS安裝過程中或在安裝之后隨時創建應用程序目錄分區。有關如何在ADLDS安裝過程中創建應用程序目錄分區的詳細信息，請參閱步驟2：練習使用ADLDS實例中的“通過使用ActiveDirectory輕型目錄服務安裝向導創建新的ADLDS實例的步驟”。管理應用程序目錄分區的手動任務包括以下操作：創建應用程序目錄分區刪除應用程序目錄分區創建應用程序目錄分區可以使用Ldp.exe將新的應用程序目錄分區添加到現有ADLDS實例中。ADLDS實例的Administrators組中的成員身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。將應用程序目錄分區添加到現有ADLDS實例中的步驟打開Ldp.exe，然后連接并綁定到一個ADLDS實例。有關如何使用Ldp.exe連接并綁定到ADLDS實例的詳細信息，請參閱步驟3：練習使用ADLDS管理工具中的“使用Ldp.exe管理ADLDS實例的步驟”。在“瀏覽”菜單中，單擊“添加子項”。在Dn中，為應用程序分區鍵入一個可分辨名稱。對于此練習，鍵入cn=test,o=testpartition,c=us作為新的應用程序目錄分區的可分辨名稱。在“編輯條目”下，在“屬性”框中鍵入ObjectClass，并在“值”框中鍵入container，然后單擊Enter。在“編輯條目”下，在“屬性”框中鍵入instanceType，并在“值”框中鍵入5，然后單擊Enter。單擊“運行”。添加新的應用程序目錄分區后，會在細節窗格中顯示以下信息：\o"復制代碼"復制代碼Added{cn=test,o=testpartition,c=us}.單擊“關閉”。若要刷新Ldp.exe并查看您的新目錄分區，必須斷開連接，然后再次綁定到ADLDS實例。在“連接”菜單上，單擊“斷開連接”。與先前的操作一樣綁定到ADLDS實例。若要在Ldp.exe中查看目錄樹，請在“視圖”菜單中，單擊“樹”。若要查看ADLDS實例上的所有目錄分區，請將BaseDN保留為空，然后單擊“確定”。若要查看新目錄分區及其默認容器和對象，請在控制臺樹中雙擊CN=test,O=testpartition,C=US。還可以通過運行Dsmgmt.exe創建ADLDS應用程序目錄分區。有關Dsmgmt的詳細信息，請參閱Dsmgmt(/fwlink/?LinkId=96303)（可能為英文網頁）。刪除應用程序目錄分區可以使用Ldp.exe從現有ADLDS實例刪除應用程序目錄分區。ADLDS實例的Administrators組中的成員身份是完成此過程所需的最低要求。查看有關使用適當帳戶和組成員關系的詳細信息，請訪問本地默認組和域默認組(/fwlink/?LinkId=83477)（可能為英文鏈接）。默認情況下，在ADLDS安裝過程中指定為ADLDS管理員的安全主體會變成配置分區中Administrators組的成員。從現有ADLDS實例刪除應用程序目錄分區的