Active-Directory-轻型目录服务入门循序渐进指南

ActiveDirectory轻型目录服务入门循序渐进指南更新时间:2007年9月应用到:WindowsServer2008以前称为ActiveDirectory应用程序模式(ADAM)的ActiveDirectory(R)轻型目录服务(ADLDS)是一种轻型目录访问协议(LDAP)目录服务，对启用目录的应用程序提供数据存储和检索支持，无需ActiveDirectory域服务(ADDS)要求的依存关系。可以在一台计算机上同时运行多个ADLDS实例，每个ADLDS实例都有一个独立管理的架构。有关ADLDS的详细信息，请参阅ActiveDirectory轻型目录服务概述(/fwlink/?LinkId=96084)（可能为英文网页）。有关配置ADAM的详细信息，请参阅“ADAM部署循序渐进指南”(/fwlink/?LinkId=96083)（可能为英文网页）。关于本指南本指南描述了安装和运行ADLDS的过程。您可以使用本指南中的过程在小测试实验室环境中在正在运行WindowsServer®2008操作系统的服务器上安装ADLDS。当完成本指南的步骤后，您将能够：安装ADLDS服务器角色和练习使用ADLDS实例。练习使用ADLDS管理工具。练习在ADLDS中创建和管理组织单位(OU)、组和用户。练习创建和删除ADLDS应用程序目录分区。查看、授予和拒绝ADLDS用户权限。练习通过多种方式绑定到ADLDS实例。练习管理ADLDS配置集。备注若要尽可能成功地完成本指南的目标，请务必按其显示顺序执行本指南中的步骤。要求在开始使用本指南中的步骤之前，请执行以下有关系统需求的操作：具有至少一台测试计算机可用于安装ADLDS。为进行本指南中的以下练习，将在运行WindowsServer2008的计算机上安装ADLDS。使用管理员帐户登录到WindowsServer2008。为了达到本指南的目的，您可以在第一台测试计算机上安装ADLDS实例副本，如果您有第二台计算机可用，也可以将其安装在第二台计算机上。ADLDS入门步骤以下各部分提供有关安装ADLDS的循序渐进介绍。这些部分提供图形用户界面(GUI)和命令行这两种备份和还原ADLDS的方法（如果适用）。步骤1：安装ADLDS服务器角色步骤2：练习使用ADLDS实例步骤3：练习使用ADLDS管理工具步骤4：练习管理ADLDS组织单位、组和用户步骤5：练习使用应用程序目录分区步骤6：练习管理授权步骤7：练习管理身份验证步骤8：练习管理配置集有关详细信息，请参阅附录A：为ADLDS配置LDAPoverSSL要求和AppendixB:UpgradingfromADAMtoADLDS。步骤1：安装ADLDS服务器角色更新时间:2007年9月应用到:WindowsServer2008可以使用以下过程在运行WindowsServer2008的计算机上安装ActiveDirectory轻型目录服务(ADLDS)服务器角色。本地Administrators组中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。安装ADLDS服务器角色的步骤单击“开始”，然后单击“服务器管理器”。在控制台树中，右键单击“角色”，然后单击“添加角色”。查看添加角色向导的“开始之前”页上的信息，然后单击“下一步”。在“选择服务器角色”页的“角色”列表中，选中“ActiveDirectory轻型目录服务”复选框，然后单击“下一步”。按照向导中的说明完成添加ADLDS服务器角色。步骤2：练习使用ADLDS实例更新时间:2007年9月应用到:WindowsServer2008既然您已安装ActiveDirectory轻型目录服务(ADLDS)服务器角色，即可开始使用ADLDS实例。这包含以下任务：创建新的ADLDS实例将数据导入ADLDS实例创建新的ADLDS实例在ADLDS中，“服务实例”（或者简称“实例”）是指ADLDS目录服务的单个运行副本。在同一计算机上可以同时运行ADLDS的多个实例。ADLDS目录服务的每个实例都拥有单独的目录数据存储、唯一的服务名称和在安装过程中分配的唯一服务描述。在ADLDS安装过程中，如果轻型目录访问协议(LDAP)应用程序没有为您创建应用程序目录分区，则可以选择创建一个应用程序目录分区。通过使用ActiveDirectory轻型目录服务安装向导安装新的ADLDS实例您可以使用ActiveDirectory轻型目录服务安装向导创建ADLDS服务实例。本地Administrators组中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。通过使用ActiveDirectory轻型目录服务安装向导创建新的ADLDS实例的步骤单击“开始”，指向“管理工具”，然后单击“ActiveDirectory轻型目录服务安装向导”。在“欢迎使用ActiveDirectory轻型目录服务安装向导”页中，单击“下一步”。在“安装选项”页中单击“一个唯一实例”，然后单击“下一步”。在“实例名”页中，提供要安装的ADLDS实例的名称。此名称用于在本地计算机上唯一标识该ADLDS实例。对于此练习，接受默认名称instance1，然后单击“下一步”。在“端口”页中，指定ADLDS实例用于通信的通信端口。ADLDS可以使用LDAP和安全套接字层(SSL)进行通信；因此，您必须为每个端口提供值。对于此练习，接受默认值389和636，然后单击“下一步”。备注如果在使用以上任一默认端口的计算机上安装ADLDS，则ActiveDirectory轻型目录服务安装向导将从50000开始自动查找第一个可用端口。例如，ActiveDirectory域服务(ADDS)使用端口389和636，以及全局目录服务器上的端口3268和3269。因此，如果在域控制器上安装ADLDS，则ActiveDirectory轻型目录服务安装向导将为LDAP端口提供默认值50000并为SSL端口提供默认值50001。在“应用程序目录分区”页中，您可以通过单击“是，创建一个应用程序目录分区”创建一个应用程序目录分区（或命名上下文）。或者，您可以单击“不，不要创建一个应用程序目录分区”，在此情况下，您必须在安装后手动创建一个应用程序目录分区。对于此练习，单击“是，创建一个应用程序目录分区”。键入o=Microsoft,c=US作为此应用程序目录分区的可分辨名称，然后单击“下一步”。备注ADLDS支持顶级目录分区的X.500样式和域名系统(DNS)样式可分辨名称。在“文件位置”页中，您可以查看和更改ADLDS数据和恢复（日志）文件的安装目录。默认情况下，ADLDS数据和恢复文件安装在%ProgramFiles%\MicrosoftADAM\instancename\data中，其中instancename表示在“实例名”页中指定的ADLDS实例名。对于此练习，单击“下一步”接受默认文件位置。在“服务帐户选择”页中，选择要用作ADLDS服务帐户的帐户。选择的帐户确定运行ADLDS实例所在的安全上下文。ActiveDirectory轻型目录服务安装向导默认使用“网络服务帐户”。对于此练习，单击“下一步”接受“网络服务帐户”默认值。或者，如果将ADLDS安装在域控制器上，则单击“本帐户”，然后选择域用户帐户用作ADLDS服务帐户。在“ADLDS管理员”页中，选择一个用户或组作为ADLDS实例的默认管理员。所选择的用户或组将对ADLDS实例拥有完全的管理控制权限。默认情况下，ActiveDirectory轻型目录服务安装向导指定当前登录的用户。可以将此选择更改为网络上任何本地（或域）帐户（或组）。对于此练习，单击默认值“当前登录的用户”，然后单击“下一步”。在“导入LDIF文件”页中，您可以将架构.ldf文件导入ADLDS实例。对于此练习，导入下表中的.ldf文件。LDIF文件名描述MS-InetOrgPerson.ldf包含inetOrgPersonLDAP对象类的定义。MS-User.ldf包含user和相关类对象定义。MS-UserProxy.ldf包含简单的userProxy类对象定义。MS-UserProxyFull.ldf包含完整的userProxy类对象定义。MS-ADLDS-DisplaySpecifiers.ldf包含显示说明符。此.ldf文件对于管理单元操作是必需的。如果计划连接到ADLDS实例，然后通过ActiveDirectory站点和服务管理单元进行管理，现在请使用ActiveDirectory轻型目录服务安装向导导入此文件。备注ADLDS还允许您在ADLDS安装过程中创建自定义LDAP数据交换格式(LDIF)文件（除随ADLDS提供的默认LDIF文件之外），方法是将这些文件添加到%systemroot%\ADAM目录中。您可以通过使用ADSchema分析器创建自定义LDIF文件。有关详细信息，请参阅在步骤3：练习使用ADLDS管理工具中的“使用ADSchemaAnalyzer创建一个LDIF文件”。将自定义LDIF文件存储在%systemroot%\ADAM目录中，然后运行ActiveDirectory轻型目录服务安装向导创建新的ADLDS实例。自定义LDIF文件将在“导入LDIF文件”页的LDIF文件名列表中可用。“准备安装”页面使您有机会检查安装选择。单击“下一步”之后，ActiveDirectory轻型目录服务安装向导将在计算机上复制文件和安装ADLDS。当ActiveDirectory轻型目录服务安装向导完成安装ADLDS时，将显示此消息：“您已成功完成ActiveDirectory轻型目录服务安装向导。”当“正在完成ActiveDirectory轻型目录服务安装向导”页面出现时，单击“完成”关闭向导。备注如果ActiveDirectory轻型目录服务安装向导未成功完成，将在“摘要”页中显示描述失败原因的错误消息。备注如果在“摘要”页面之前的ActiveDirectory轻型目录服务安装向导中出现错误，您可以查看出现的错误消息。另外，您可以依次单击“开始”、“运行”，然后键入任一以下命令：%windir%\Debug\ADAMSsetup.log%windir%\Debug\ADAMSsetup_loader.logADAMsetup.log和ADAMsetup_loader.log文件包含可以帮助您找到造成ADLDS安装失败的原因的信息。执行ADLDS实例的无人参与安装您可以在无需用户参与的情况下安装ADLDS。无人参与的ADLDS安装需要一个包含一组预配置安装选项的应答文件(Answer.txt)。Administrators中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。执行ADLDS实例的无人参与安装的步骤使用任意文本编辑器，创建新的文本文件。或者，您还可以复制以下示例应答文件，并将其粘贴到应答文件中。\o"复制代码"复制代码[ADAMInstall];ThefollowinglinespecifiestoinstallauniqueADAMinstance.InstallType=Unique;Thefollowinglinespecifiesthenametobeassignedtothenewinstance.InstanceName=MyFirstInstance;ThefollowinglinespecifiesthecommunicationsporttouseforLDAP.LocalLDAPPortToListenOn=389;ThefollowinglinespecifiesanapplicationpartitiontocreateNewApplicationPartitionToCreate="o=microsoft,c=us";ThefollowinglinespecifiesthedirectorytouseforADAMdatafiles.DataFilesPath=C:\ProgramFiles\MicrosoftADAM\instance1\data;ThefollowinglinespecifiesthedirectorytouseforADAMlogfiles.LogFilesPath=C:\ProgramFiles\MicrosoftADAM\instance1\data;Thefollowinglinespecifiesthe.ldffilestoimportintotheADAMschema.ImportLDIFFiles="ms-inetorgperson.ldf""ms-user.ldf"指定安装参数（将在以下紧接着此过程的表中描述），然后保存应答文件。在命令提示符下（或在批处理文件或脚本文件中），更改到包含ADLDS安装文件的驱动器和目录。若要打开命令提示符，请依次单击“开始”、“运行”，并键入cmd。键入下列命令：\o"复制代码"复制代码%systemroot%\ADAM\adaminstall.exe/answer:drive:\pathname\filename.txt"其中drive:\pathname\filename.txt表示应答文件的驱动器、路径和文件名。（该命令要求引号。）下表显示您可以在ADLDS应答文件中使用的参数。这些参数不区分大小写。也就是说，您可以在应答文件中指定InstallType或installtype。但是，ADLDS保留为instancename和servicepassword参数指定的值的大小写。备注如果在应答文件中不存在参数，则出现默认行为。参数描述InstallType对所有安装有效。可选。可能值Unique：创建ADLDS的唯一实例。Replica：通过网络或从还原备份介质复制全部或部分现有ADLDS实例，创建一个ADLDS实例。

当您还在应答文件中为ReplicationDataSourcePath和ReplicationLogSourcePath参数指定值时，并且当您将InstallType值设置为Replica时，ADLDS安装程序将从还原备份介质安装ADLDS副本实例。如果不存在这些参数的值，则ADLDS安装程序将通过网络安装ADLDS副本实例。任何其他值：ADLDS返回错误消息“在InstallType中指定的安装类型无效”。默认行为行为与Unique相同。ShowOrHideProgressGUI对所有安装有效。可选。可能值Show：在安装过程中，ADLDS安装程序将显示进度信息。Hide：在安装过程中，ADLDS安装程序不显示进度信息。默认行为行为与Hide相同。InstanceName对所有安装有效。可选。可能值ADLDS实例名必须符合以下要求：它对于在同一计算机中运行的其他ADLDS实例必须是唯一的。其长度必须不超过44个字符。它使用的字符范围仅限于a到z、A到Z或0到9。默认行为ADLDS实例名为Instancen，其中n为大于0的最小数字并且Instancen在本地计算机上唯一。ApplicationPartitionsToReplicate仅对复制安装有效。可选。指定要从源ADLDS实例复制的应用程序分区的可分辨名称。以下示例指定要复制的三个应用程序分区：\o"复制代码"复制代码ApplicationPartitionsToReplicate="CN=my,O=partition""DC=partition2""CN=embedqu\"oteinDN"若要从源ADLDS实例复制全部应用程序分区，请将通配符字符(*)指定为值。如果未将InstallType的值设置为Replica，ADLDS将忽略您为ApplicationPartitionsToReplicate指定的任何值。默认行为ADLDS不复制应用程序分区。ReplicationDataSourcePath仅对复制安装有效。当存在此参数的值时，ADLDS安装程序将尝试从介质安装。如果此参数的值无效，ADLDS安装程序将在安装日志中写入错误。指定ADLDS数据的还原实例的目录路径。如果未将InstallType设置为Replica或者如果同时未为ReplicationLogSourcePath指定值，ADLDS将忽略您为ReplicationDataSourcePath指定的任何值。默认行为ADLDS将通过网络而不是从ADLDS实例的还原备份复制应用程序数据。如果为此参数指定值，但是未为ReplicationLogSourcePath指定值，将出现错误。ReplicationLogSourcePath仅对复制安装有效。当存在此参数的值时，ADLDS安装程序将尝试从介质安装。如果此参数的值无效，ADLDS安装程序将在安装日志中写入错误。为ADLDS的还原实例指定日志文件的目录路径。如果未将InstallType值设置为Replica或者如果同时未为ReplicationDataSourcePath指定值，ADLDS将忽略您为ReplicationLogSourcePath指定的任何值。默认行为ADLDS将通过网络而不是从ADLDS实例的还原备份复制应用程序数据。如果为此参数指定值，但是未为ReplicationDataSourcePath指定值，将出现错误。LocalLDAPPortToListenOn所有安装都需要此参数。可能值389或1025到65535（含）之间任何未使用的端口号。任何其他值：ADLDS返回错误消息“指定的本地LDAP端口无效”。LocalSSLPortToListenOn所有安装都需要此参数。SourceServer要求复制安装。636或1025到65535（含）之间任何未使用的端口号。任何其他值：ADLDS返回错误消息“指定的本地SSL端口无效”。默认行为端口号默认值为636。如果636不可用，则默认值为等于或大于50000的第一个可用端口号。SourceServer要求复制安装。可能值有效的DNS名称或NetBIOS名称。任何其他值：如果InstallType的值为Replica，则ADLDS返回错误消息“复制源服务器的语法无效”。默认行为如果InstallType的值为Replica，则ADLDS返回错误消息“未指定复制源服务器。SourceLDAPPort要求复制安装。可能值389或1025到65535之间的一个端口号。任何其他值：如果InstallType的值为Replica，则ADLDS的任何其他值将返回错误消息“指定的复制源端口无效”。默认行为如果InstallType的值为Replica，则ADLDS返回错误消息“未指定复制源端口”。NewApplicationPartitionToCreate对新的唯一ADLDS实例的安装有效。可选。可能值有效的可分辨名称：创建具有指定名称的应用程序分区。空字符串("")：不创建新的应用程序分区。任何其他值：如果安装类型唯一，ADLDS将返回错误消息“在NewApplicationPartitionToCreate中应用程序分区的语法无效”。默认行为行为与空字符串("")相同。DataFilesPath对所有安装有效。可选。可能值语法正确的路径名称，可包括不包含现有ADLDS文件的未解析环境变量。任何其他值：ADLDS返回错误消息“DataFilesPath中的路径无效”。默认行为将数据文件存储在程序Files\MicrosoftADAM\instancename\data中。LogFilesPath对所有安装有效。可选。可能值语法正确的路径名称，可包括不包含现有ADLDS文件的未解析环境变量。任何其他值：ADLDS返回错误消息“LogFilesPath中的路径无效”。默认行为将日志文件存储在程序Files\MicrosoftADAM\instancename\data中。ServiceAccount对所有安装有效。可选。可能值有效的DNS域名，后面跟一个反斜杠，然后是帐户或组名称。有效的NetBIOS域名，后面跟一个反斜杠，然后是帐户名称。有效的用户主体名称(UPN)。仅有效的帐户名称。

建议您不要仅使用有效的帐户名称，原因是解析不附带域名的帐户名称需要额外处理。任何其他值：ADLDS返回错误消息“在ServiceAccount中指定的用户无效”。默认行为ADLDS的此实例在网络服务帐户下运行。AddPermissionsToServiceAccount对所有安装有效。可选。可能值Yes：ADLDS安装程序尝试将作为服务登录的权限添加到您指定为服务帐户的帐户。任何其他值：ADLDS安装程序不尝试将作为服务登录的权限添加到您指定为服务帐户的帐户。默认行为ADLDS安装程序不尝试将作为服务登录的权限添加到您指定为服务帐户的帐户。ServicePassword对所有安装有效。必需，除非ServiceAccount为网络服务帐户。可能值任何字符串，包括空字符串("")。默认行为如果ServiceAccount为网络服务帐户，ADLDS不执行任何操作；否则，它将返回错误消息“在ServicePassword中未指定密码”。Administrator对所有安装有效。可选。可能值有效的DNS域名，后面跟一个反斜杠，然后是帐户名称。

不要指定内置组或内置帐户，例如DOMAIN\Administrators。相反，如果要指定一个组，请指定一个域组，如domainname\DomainAdmins，其中domainname代表域名。有效的NetBIOS域名，后面跟一个反斜杠，然后是帐户名称。有效的UPN。仅有效的帐户名称。

建议您不要仅使用有效的帐户名称，原因是解析不附带域名的帐户名称需要额外处理。任何其他值：ADLDS返回错误消息“在Administrator中指定的用户无效”。默认行为当前登录的用户在此ADLDS实例中具有管理员权限。ShowInAddRemovePrograms对所有安装有效。可选。可能值Show：在“控制面板”的“添加或删除程序”中列出ADLDS实例。Hide：在“添加或删除程序”中不列出ADLDS实例。默认行为“添加或删除程序”包含已安装的ADLDS实例。ImportLDIFFiles可能值您要导入ADLDS架构的可选.ldf文件：ms-User.ldf、ms-InetOrgPerson.ldf、ms-UserProxy.ldf和ms-azman.ldf。

文件名必须用通过空格("")分隔的双引号括起来。默认行为ADLDS不导入任何可选.ldf文件。SourceUserNameSourcePassword对副本安装有效。可选。可能值在现有配置集中具有管理权限的帐户的用户名和密码。

当您安装要加入配置集的副本时使用这些参数。默认行为ADLDS通过使用登录用户的凭据将副本加入配置集。当您安装或卸载ADLDS时，ADLDS使用以下注册表项向调用方返回错误代码和消息：HKLM\Software\Microsoft\Windows\CurrentVersion\ADAM_Installer_Results只有出现错误或警告时，ADLDS安装程序才会创建此注册表项和关联值。下表显示此注册表项的值。项目录ADAMInstallErrorCode导致安装程序失败的数字错误代码ADAMInstallErrorMessage与安装错误代码关联的消息ADAMInstallWarnings与安装警告关联的消息ADAMUninstallErrorCode导致卸载失败的数字错误代码ADAMUninstallErrorMessage与卸载错误代码关联的消息ADAMUninstallWarnings与卸载警告关联的消息将数据导入ADLDS实例您可以在安装实例的过程中将数据导入ADLDS实例（使用ActiveDirectory轻型目录服务安装向导中的“导入LDIF文件”页面），或者在创建实例后的任何时候通过使用ldifde命令行工具手动执行，该命令行工具可以创建、修改和删除目录对象。您还可以使用ldifde扩展架构并将用户和组信息导出到其他应用程序或服务。例如，可以使用ldifde从另一个目录服务导出目录对象，然后使用ldifde将目录对象导入某个ADLDS实例。ADLDSAdministrators组中的成员身份或等效身份是完成此过程的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。使用ldifde导入或导出目录对象的步骤打开命令提示符。若要打开命令提示符，请单击“开始”，右键单击“命令提示符”，然后单击“用管理员帐户运行”。执行下列操作之一：若要导入目录对象，请在命令提示符下，键入以下命令，然后按Enter：

\o"复制代码"复制代码ldifde-i-f<filename>-s<servername>:<port>-m-a<username><domain><password>若要导出目录对象，请在命令提示符下，键入以下命令，然后按Enter：

\o"复制代码"复制代码ldifde-e-f<filename>-s<servername>:<port>-m-a<username><domain><password>参数描述ldifde指定一个支持基于LDIF文件格式标准进行批处理操作的工具程序。-i执行导入。-e执行导出。-f指定要导入或导出的文件。<filename>要导入或导出的文件的名称。-s指定ADLDS实例或其他目录服务的主机名和端口。<servername>ADLDS实例或其他目录服务的主机名。<端口>ADLDS实例或其他目录服务的端口。-m忽略（即不导入或导出）仅由ADDS使用的属性。当您从现有ADDS林导出目录对象，然后将其导入ADLDS时，可以使用此参数。-a指定帐户凭据。如果没有提供，则ldifde会使用当前登录的用户的凭据。<username>用于绑定至指定目录服务的帐户的用户名。<域>用于绑定至指定目录服务的帐户的域名。<密码>用于绑定至指定目录服务的帐户的密码。-h允许使用简单身份验证和安全层(SASL)加密导入密码。-c<String1><String2>将所有String1项替换为String2。使用ADLDS，当您在.ldf文件中替换字符串时，可以使用常量#schemaNamingContext和#configurationNamingContext替代架构目录分区和配置目录分区的可分辨名称。若要查看此命令的完整语法，请在命令提示符下，键入以下命令，然后按Enter：\o"复制代码"复制代码ldifde/?步骤3：练习使用ADLDS管理工具更新时间:2007年9月应用到:WindowsServer2008WindowsServer2008中的ActiveDirectory轻型目录服务(ADLDS)包含多个用于常规管理任务的管理工具。这些任务包括以下内容：开始、停止和重新启动ADLDS实例使用ADSIEdit管理工具使用Ldp.exe管理工具使用架构管理单元作为ADLDS管理工具使用ActiveDirectory站点和服务管理单元作为ADLDS管理工具使用ADSchemaAnalyzer创建LDIF文件与ADDS同步开始、停止和重新启动ADLDS实例ADLDS实例作为服务运行。因此，可以使用用于WindowsServer2008上运行的其他服务的相同方法，启动、停止和重新启动ADLDS实例。Administrators中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。使用Windows界面开始、停止或重新启动ADLDS实例单击“开始”，然后单击“服务器管理器”。在控制台树中，双击“角色”，然后单击“ActiveDirectory轻型目录服务”。在细节窗格中的“系统服务”列表中，单击要管理的ADLDS实例。单击“启动”、“停止”或“重新启动”。备注默认情况下，会将ADLDS实例配置为自动启动。使用ADSIEdit管理工具ADSIEdit是用于ADLDS常规管理的Microsoft管理控制台(MMC)管理单元。它作为ADLDS和ActiveDirectory域服务(ADDS)服务器角色的一部分安装。若要使用ADSIEdit管理ADLDS实例，必须首先连接并绑定到实例。可以通过浏览到实例中的容器或对象然后右键单击它们来管理它们。Administrators中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。使用ADSIEdit管理ADLDS实例的步骤单击“开始”，指向“管理工具”，然后单击ADSIEdit。在控制台树中，单击ADSIEdit。在“操作”菜单中，单击“连接到”。此时将出现“连接设置”对话框。在“名称”中，可以键入此连接将在ADSIEdit的控制台树中出现的标签。对于此连接，键入：ADLDSDemo在“连接点”下，可以单击“选择或键入可分辨名称或命名上下文”，然后指定要连接的可分辨名称，也可以单击“选择已知命名上下文”，然后单击“配置”、RootDSE或“架构”。对于此练习，单击“选择或键入可分辨名称或命名上下文”，键入o=Microsoft,c=US，然后单击“确定”。在“选择或键入域或服务器:(Server|Domain[:port]”中，键入运行ADLDS实例的计算机的域名系统(DNS)名称、NetBIOS名称或IP地址，后面跟一个冒号(:)和要连接到的ADLDS实例使用的轻型目录访问协议(LDAP)通信端口。在此练习中，ADLDS运行在本地计算机上；因此，可以键入localhost:389在ADSIEdit管理单元的控制台树中，双击“ADLDS演示”，然后双击o=Microsoft,c=US。ADSIEdit管理单元现在显示应用程序目录分区。在控制台树，单击任意容器查看该容器中的对象。若要关闭ADSIEdit，请在“文件”菜单中，单击“退出”。使用Ldp.exe管理工具Ldp.exe是一个用于轻型目录访问协议(LDAP)目录服务的一般管理的图形用户界面(GUI)工具。若要使用Ldp.exe管理ActiveDirectory轻型目录服务(ADLDS)实例，必须连接并绑定到该实例，然后显示该实例的可分辨名称的层次结构（树）。然后，可以浏览到树中的某个对象并右键单击该对象以进行管理。Administrators中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。使用Ldp.exe管理ADLDS实例的步骤单击“开始”，然后单击“服务器管理器”。在控制台树中，双击“角色”，然后单击“ActiveDirectory轻型目录服务”。在细节窗格的“高级工具”下，单击Ldp.exe。在“连接”菜单中，单击“连接”。在“服务器”中，键入运行ADLDS实例的计算机的DNS名称、NetBIOS名称或IP地址。在此练习中，ADLDS实例运行在本地计算机上；因此，键入localhost作为服务器名称。在“端口”中，键入要连接到的ADLDS实例所使用的LDAP或安全套接字层(SSL)通信端口号，然后单击“确定”。备注LDAP的默认通信端口是389。SSL的默认通信端口是636。在“连接”菜单中，单击“绑定”。执行下列操作之一：若要使用登录所用的凭据进行绑定，请单击“作为当前已登录用户绑定”。若要使用域用户帐户进行绑定，请单击“使用凭据绑定”，键入正在使用的帐户的用户名、密码和域名（或计算机名，如果使用的是本地工作站帐户），然后单击“确定”。若要仅使用一个用户名和密码进行绑定，请单击“简单绑定”，键入正使用的帐户的用户名和密码，然后单击“确定”。若要使用某种高级方法（NTLM、分布式密码身份验证(DPA)、协商式或摘要式）进行绑定，请依次单击“高级(method)”、“高级”，在“方法”中选择所需的方法，根据需要设置其他选项，然后单击“确定”。对于此练习，单击“作为当前已登录用户绑定”。完成指定绑定选项后，请单击“确定”。在“查看”菜单中，单击“树”。展开BaseDN下拉列表，然后在导航窗格中单击要用作基本对象的对象的可分辨名称。对于此练习，单击o=Microsoft,c=US，然后单击“确定”。在控制台树，单击任意容器查看该容器中的对象。若要关闭Ldp.exe，请在“连接”菜单中，单击“退出”。使用架构管理单元作为ADLDS管理工具还可以使用ActiveDirectory架构管理单元查看和管理ActiveDirectory轻型目录服务(ADLDS)架构对象。备注如果架构管理单元已安装在计算机上，请跳过步骤1到7并开始步骤8的以下过程。Administrators组中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。使用ActiveDirectory架构管理单元连接到ADLDS实例单击“开始”，右键单击“命令提示符”，然后单击“以管理员身份运行”。键入以下命令，然后按Enter：\o"复制代码"复制代码regsvr32schmmgmt.dll依次单击“开始”、“运行”，键入mmc，然后单击“确定”。在“文件”菜单上，单击“添加/删除管理单元”。在“可用的管理单元”下，单击“ActiveDirectory架构”，单击“添加”，然后单击“确定”。若要保存此控制台，请在“文件”菜单上单击“保存”。在“另存为”对话框中，执行下列操作之一：若要将管理单元放置在管理工具菜单中，请在“文件名”中，键入管理单元的名称，然后单击“保存”。若要将管理单元保存在“管理工具”文件夹之外的位置，请在“保存于”中导航到管理单元要保存的位置。在“文件名”中键入管理单元的名称，然后单击“保存”。打开架构管理单元。在控制台树中，右键单击“ActiveDirectory架构”，然后单击“更改ActiveDirectory域控制器”。在“更改目录服务器”对话框中，单击“<在此处键入目录服务器名称[:port]>”，并键入运行ADLDS实例的计算机的DNS名称、NetBIOS名称或IP地址。在此练习中，ADLDS实例运行在本地计算机上；因此，键入localhost:389。单击localhost:389，然后单击“确定”。在控制台树，单击任意容器查看该容器中的对象。有关使用架构管理单元管理架构对象的详细信息，可以查看服务器上的帮助。若要显示帮助，请打开架构管理单元，然后按F1。使用ActiveDirectory站点和服务管理单元作为ADLDS管理工具可以使用ActiveDirectory站点和服务管理单元连接到ADLDS实例并管理ADLDS配置集中所有站点间目录数据的复制。Administrators中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。使用ActiveDirectory站点和服务管理单元连接到ADLDS实例单击“开始”，指向“管理工具”，然后单击“ActiveDirectory站点和服务”。在控制台树中，右键单击“ActiveDirectory站点和服务”，然后单击“更改域控制器”。在“更改目录服务器”对话框中，单击“<在此处键入目录服务器名称[:port]>”，然后键入运行ADLDS实例的计算机的DNS名称、NetBIOS名称或IP地址。在此练习中，ADLDS实例运行在本地计算机上；因此，键入localhost:389。选择localhost:389，然后单击“确定”。在控制台树，单击任意容器查看该容器中的对象。备注MS-ADLDS-DisplaySpecifiers.ldf是ActiveDirectory站点和服务操作所必需的。如果计划使用ActiveDirectory站点和服务连接到ADLDS实例和管理ADLDS实例，请使用ActiveDirectory轻型目录服务安装向导导入此.ldf文件。有关详细信息，请参阅步骤2：练习使用ADLDS实例中的“通过使用ActiveDirectory轻型目录服务安装向导创建新的ADLDS实例的步骤”。有关ActiveDirectory站点和服务管理单元的详细信息，可以查看服务器上的帮助。若要显示帮助，请打开架构管理单元，然后按F1。使用ADSchemaAnalyzer创建LDIF文件如果要构建自定义应用程序，可以使用自定义LDIF文件轻松地构建架构。但是，如果需要将数据从现有ADDS部署复制到新的ADLDS实例中，将难以构建架构文件。ADLDS管理员可以使用ADSchemaAnalyzer从ADDS快速复制架构，然后将其导入ADLDS。可以使用ADSchemaAnalyzer帮助将ADDS架构迁移到ADLDS、从一个ADLDS实例迁移到其他实例，或从任何符合LDAP的目录迁移到ADLDS实例。可以使用ADSchemaAnalyzer加载目标（源）架构，标记要迁移的元素，然后将其导出到ADLDS基础架构。重要事项当您使用ADSchemaAnalyzer创建LDIF文件时，请加载目标架构和基础架构。否则，可能无法通过ldifde工具使用所产生的LDIF文件。Administrators中的成员身份或同等身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。使用ADSchemaAnalyzer创建LDIF文件的步骤打开命令提示符，然后将目录更改到%windir%\ADAM。键入以下命令，然后按Enter：\o"复制代码"复制代码adschemaanalyzer若要加载目标架构，请单击“文件”，单击“加载目标架构”，然后执行以下操作之一：若要加载域ActiveDirectory架构作为目标架构，请在对话框中，键入用户名、密码和域，然后单击“确定”。若要加载其他架构（例如ADDS林或其他符合LDAP的目录的架构），请在对话框中，键入包含目标架构目录的服务器名称和端口；根据需要键入用户名、密码和域；然后单击“确定”。若要加载ADLDS实例的架构作为基础架构，请单击“文件”，单击“加载基础架构”，然后在“服务器[:端口]”中键入ADLDS实例的服务器名称和端口。在对话框中，单击“确定”。在所产生的树中，通过右键单击元素标记要导出到基础架构的所有元素，然后选择下列选项之一：“自动”自动将元素标记为在导出中包含或排除。如果元素将标记为“自动(已包含)”，可以右键单击该元素，然后单击“为什么自动包含?”查看该元素的反向依赖关系树。“已包含”标记一个元素以便将其包含在导出中。ADSchemaAnalyzer标记所有相关元素，例如superclasses、auxClasses、must/maycontains、defaultObjectCategory和possSuperiors。ADSchemaAnalyzer包含已包含属性的propsets和链接的返回链接。“已排除”标记一个元素以便将其不包括在导出中。可以阻止依赖关系图中的某些路径。例如，您可能要导入domainDns，但是不导入samAccountDomain（它是domainDns的auxClass）。可以排除整个元素，例如samAccountDomain类，也可以排除一个关系；例如，可以从domainDns类删除auxClass引用。如果排除一个关系，任何引用该元素的其他类将继续包括它。“存在”意味着元素存在于目标服务器上。默认情况下，顶级类被标记为存在。若要创建LDIF文件，请单击“文件”，然后单击“创建LDIF文件”。与ADDS同步使ADDS林中的数据与ADLDS实例的配置集中的数据同步需要两个步骤：准备要进行同步的ADLDS实例。使数据同步。通常，您仅执行一次第一个步骤。无论何时希望更新ADLDS实例，都可以执行第二个步骤。ADLDS实例的Administrators组中的成员身份是完成此过程所需的最低要求。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。准备要进行同步的ADLDS实例的步骤打开命令提示符。在命令提示符下，键入以下命令，然后按Enter：\o"复制代码"复制代码cd%windir%\adam执行下列操作之一：若要准备使ADLDS实例与WindowsServer2003林同步，请键入以下命令，然后按Enter：

\o"复制代码"复制代码ldifde-i-u-fms-adamschemaw2k3.ldf-s<server>:<port>-b<user_name><domain><password>-j.-c"cn=Configuration,dc=X"#configurationNamingContext若要准备使ADLDS实例与WindowsServer2008林同步，请键入以下命令，然后按Enter：

\o"复制代码"复制代码ldifde-i-u-fms-adamschemaw2k8.ldf-s<server>:<port>-b<user_name><domain><password>-j.-c"cn=Configuration,dc=X"#configurationNamingContext重要事项必须在-j和-c之间包含句点(.)。备注因为在此练习中，ADLDS实例运行在本地计算机上，请将localhost用于服务器并使用默认LDAP通信端口389。键入以下命令，然后按Enter：\o"复制代码"复制代码ldifde-i-s<server>:<port>-cCN=Configuration,DC=X#ConfigurationNamingContext-fMS-AdamSyncMetadata.ldf键入以下命令，然后按Enter：\o"复制代码"复制代码notepadMS-AdamSyncConf.xml在记事本中，对配置文件的内容进行以下更改：使用源ADDS域控制器的名称替换<source-ad-name>的值。使用源域的可分辨名称替换<source-ad-partition>的值。使用源域的DomainAdmins组中的某个帐户的名称替换<source-ad-account>的值。使用源域的完全限定DNS名称替换<account-domain>的值。使用目标ADLDS实例的分区的名称替换<target-dn>的值。使用源域的基本可分辨名称替换<base-dn>的值。在记事本中，在“文件”菜单中单击“另存为”，为文件键入一个新名称，单击“保存”，然后关闭记事本。在命令提示符下，键入下列命令，替代在上一步中为xml_file使用的文件名，然后按Enter：\o"复制代码"复制代码adamsync/install<server>:<port><.xml_file>在准备好要进行同步的ADLDS实例之后，可以根据需要执行下列步骤，使指定ADDS林中的数据与ADLDS实例同步。使ADDS林中的数据与ADLDS实例中的数据同步的步骤在命令提示符下，键入以下命令，然后按Enter：\o"复制代码"复制代码adamsync/sync<server>:<port><configuration_dn>/log下表包含本节前面步骤中的参数及其他常用的adamsync参数。有关adamsync参数的详细信息，请在命令提示符下，键入adamsync/?，然后按Enter。参数描述/?显示命令行选项。/i或/install<input_file>安装在指定的输入文件中包含的配置。/sync<configuration_dn>同步指定的配置。/fs<configuration_dn>为指定的配置执行完全复制同步。/ageall<configuration_dn>为指定的配置执行老化搜索。老化搜索通过在ADDS中搜索ADLDS对象，确定是否已在ADDS中删除某个配置中的ADLDS对象。/so<configuration_dnobject_dn>为指定配置中的指定对象执行复制同步。使用对象的可分辨名称。备注必须对要同步的ADDS林中的对象或分区具有读取或Dirsync访问权限。备注必须对ADLDS实例中的应用程序目录分区具有完全控制权限才能运行此命令。步骤4：练习管理ADLDS组织单位、组和用户更新时间:2007年9月应用到:WindowsServer2008大多数情况下，使用ActiveDirectory轻型目录服务(ADLDS)存储有关用户、组织及其所属组的信息。管理ADLDS组织单位(OU)、组和用户的任务包括以下操作：创建OU创建ADLDS组创建ADLDS用户将成员添加到ADLDS组中或从ADLDS组中删除成员禁用或启用ADLDS用户帐户创建OU为了使ADLDS用户和组保持有组织状态，您可能希望将用户和组置于OU中。在ActiveDirectory域服务(ADDS)和ADLDS以及其他基于轻型目录访问协议(LDAP)的目录中，OU是使用户和组保持有组织状态的最常用的方法。ADLDS实例的Administrators组中的成员身份是完成此过程所需的最低要求。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。创建OU的步骤单击“开始”，指向“管理工具”，然后单击ADSIEdit。连接并绑定到要将OU添加到的ADLDS实例的目录分区。对于此练习，请按照步骤3：练习使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS实例”连接并绑定到o=Microsoft,c=US应用程序目录分区。在控制台树中，双击o=Microsoft,c=US目录分区，右键单击要添加OU的容器，指向“新建”，然后单击“对象”。在“选择类别”中，单击organizationalUnit，然后单击“下一步”。在“值”中，为新OU键入一个名称，然后单击“下一步”。对于此练习，在“值”字段中键入ADLDSUsers。如果要为其他属性设置值，请单击“更多属性”。对于此练习，只需单击“完成”。创建ADLDS组可以通过ADLDS管理单元或通过您的启用目录的应用程序管理ADLDS中的用户和组。若要在ADLDS中创建用户，必须首先将随ADLDS提供的可选用户类导入ADLDS架构中。这些用户类是在可导入的.ldf文件中提供的，该文件可在安装ADLDS的计算机上的%windir%\ADAM目录中找到。有关详细信息，请参阅步骤2：练习使用ADLDS实例中的“通过使用ActiveDirectory轻型目录服务安装向导创建新的ADLDS实例”。ADLDS实例的Administrators组中的成员身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。创建ADLDS组的步骤单击“开始”，指向“管理工具”，然后单击ADSIEdit。连接并绑定到要将OU添加到的ADLDS实例的目录分区。对于此练习，请按照步骤3：练习使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS实例”连接并绑定到o=Microsoft,c=US应用程序目录分区。在控制台树中，双击o=Microsoft,c=US目录分区，右键单击OU=ADLDSUsers，指向“新建”，然后单击“对象”。在“选择类别”中，单击“组”，然后单击“下一步”。在“值”中，为新组键入一个公用名(CN)，然后单击“下一步”。对于此练习，在“值”字段中键入ADLDSTesters。备注默认情况下，groupType属性设置为十六进制数0x80000002，它代表帐户组。如果要更改，请单击“更多属性”。在“选择要查看的属性”中，选择“两者”（强制和可选）。在“选择一个要查看的属性”下拉菜单中，选择groupType，并根据您的设计通过在“编辑属性”字段中键入值对它进行编辑。如果要为其他属性设置值，请单击“更多属性”。为新组设置所有所需属性后，单击“完成”。创建ADLDS用户可以使用ADSIEdit管理单元或启用目录的应用程序管理ADLDS中的用户和组。若要在ADLDS中创建用户，必须首先将随ADLDS提供的可选用户类导入ADLDS架构中。这些用户类是在可导入的.ldf文件中提供的，该文件可在安装ADLDS的计算机上的%windir%\ADAM目录中找到。有关详细信息，请参阅步骤2：练习使用ADLDS实例中的“通过使用ActiveDirectory轻型目录服务安装向导创建新的ADLDS实例的步骤”。ADLDS实例的Administrators组中的成员身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。创建ADLDS用户的步骤单击“开始”，指向“管理工具”，然后单击ADSIEdit。连接并绑定到要将OU添加到的ADLDS实例的目录分区。对于此练习，请按照步骤3：练习使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS实例”连接并绑定到o=Microsoft,c=US应用程序目录分区。在控制台树中，右键单击OU=ADLDSUsers，指向“新建”，然后单击“对象”。在“选择类别”中，单击希望使用的类别（user、inetOrgPerson、person或OrganizationalPerson），然后单击“下一步”。在“值”中，为新用户的公用名(CN)属性键入一个值，然后单击“下一步”。对于此练习，键入MaryNorth作为新用户的CN。如果要为其他属性设置值，请单击“更多属性”。为新用户设置任何附加属性后，单击“完成”。备注如果使用空白密码创建了一个ADLDS用户，将自动禁用此用户帐户。为成功执行本指南中的其余练习，请按照下面的过程中“禁用或启用ADLDS用户”的步骤启用刚创建的CN=MaryNorth,OU=ADLDSUsers,O=Microsoft,C=US用户帐户。将成员添加到ADLDS组中或从ADLDS组中删除成员ADLDS依赖于用户和组提供和控制对目录数据的访问权限。ADLDS支持同时使用Windows用户和ADLDS用户。Windows用户和ADLDS用户都可以是ADLDS组的成员。ADLDS实例的Administrators组中的成员身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。将成员添加到ADLDS组中或从ADLDS组中删除成员的步骤单击“开始”，指向“管理工具”，然后单击ADSIEdit。连接并绑定到要将OU添加到的ADLDS实例的目录分区。对于此练习，请按照步骤3：练习使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS实例”连接并绑定到o=Microsoft,c=US应用程序目录分区。在控制台树中，双击包含要修改的组的目录分区。右键单击要修改的组，然后单击“属性”。对于此练习，选择CN=ADLDSTesters。在“属性”中，单击“成员”，然后单击“编辑”。在“具有安全主体的多值可分辨名称编辑器”中，针对要添加到组中的每个ADLDS安全主体，单击“添加DN”，键入新成员的可分辨名称，然后单击“确定”。对于此练习，键入CN=MaryNorth,OU=ADLDSUsers,o=Microsoft,c=US。在“具有安全主体的多值可分辨名称编辑器”中，针对要添加到组中的每个Windows安全主体，单击“添加Windows帐户”，键入新成员的帐户名称，然后单击“确定”。在“具有安全主体的多值可分辨名称编辑器”中，针对要从组中删除的每个组成员，单击要删除的成员，然后单击“删除”。对组做了希望的更改后，单击“确定”两次。禁用或启用ADLDS用户帐户禁用和启用ADLDS用户时，可以控制该用户是否可以绑定到ADLDS目录。使用ADSIEdit管理单元可禁用和启用ADLDS用户。ADLDS实例的Administrators组中的成员身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。禁用或启用ADLDS用户的步骤打开ADSIEdit。连接并绑定到要将OU添加到的ADLDS实例的目录分区。对于此练习，请按照步骤3：练习使用ADLDS管理工具中的“使用ADSIEdit管理ADLDS实例”连接并绑定到o=Microsoft,c=US应用程序目录分区。浏览至要禁用或启用的ADLDS用户，右键单击该用户，然后单击“属性”。对于此练习，选择CN=MaryNorth。在“属性”中，单击msDS-UserAccountDisabled，然后单击“编辑”。在“布尔属性编辑器”中，执行以下操作之一，然后单击“确定”：若要禁用ADLDS用户，请单击True。若要启用ADLDS用户，请单击False或“未设置”。步骤5：练习使用应用程序目录分区更新时间:2007年9月应用到:WindowsServer2008ActiveDirectory轻型目录服务(ADLDS)目录存储被组织成各个逻辑目录分区。存在以下三种不同的目录分区类型：配置目录分区架构目录分区应用程序目录分区每个ADLDS目录存储必须包含单一配置目录分区和单一架构目录分区。目录存储可以不包含应用程序目录分区，也可以包含多个应用程序目录分区。应用程序目录分区包含应用程序使用的数据。可以在ADLDS安装过程中或在安装之后随时创建应用程序目录分区。有关如何在ADLDS安装过程中创建应用程序目录分区的详细信息，请参阅步骤2：练习使用ADLDS实例中的“通过使用ActiveDirectory轻型目录服务安装向导创建新的ADLDS实例的步骤”。管理应用程序目录分区的手动任务包括以下操作：创建应用程序目录分区删除应用程序目录分区创建应用程序目录分区可以使用Ldp.exe将新的应用程序目录分区添加到现有ADLDS实例中。ADLDS实例的Administrators组中的成员身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。将应用程序目录分区添加到现有ADLDS实例中的步骤打开Ldp.exe，然后连接并绑定到一个ADLDS实例。有关如何使用Ldp.exe连接并绑定到ADLDS实例的详细信息，请参阅步骤3：练习使用ADLDS管理工具中的“使用Ldp.exe管理ADLDS实例的步骤”。在“浏览”菜单中，单击“添加子项”。在Dn中，为应用程序分区键入一个可分辨名称。对于此练习，键入cn=test,o=testpartition,c=us作为新的应用程序目录分区的可分辨名称。在“编辑条目”下，在“属性”框中键入ObjectClass，并在“值”框中键入container，然后单击Enter。在“编辑条目”下，在“属性”框中键入instanceType，并在“值”框中键入5，然后单击Enter。单击“运行”。添加新的应用程序目录分区后，会在细节窗格中显示以下信息：\o"复制代码"复制代码Added{cn=test,o=testpartition,c=us}.单击“关闭”。若要刷新Ldp.exe并查看您的新目录分区，必须断开连接，然后再次绑定到ADLDS实例。在“连接”菜单上，单击“断开连接”。与先前的操作一样绑定到ADLDS实例。若要在Ldp.exe中查看目录树，请在“视图”菜单中，单击“树”。若要查看ADLDS实例上的所有目录分区，请将BaseDN保留为空，然后单击“确定”。若要查看新目录分区及其默认容器和对象，请在控制台树中双击CN=test,O=testpartition,C=US。还可以通过运行Dsmgmt.exe创建ADLDS应用程序目录分区。有关Dsmgmt的详细信息，请参阅Dsmgmt(/fwlink/?LinkId=96303)（可能为英文网页）。删除应用程序目录分区可以使用Ldp.exe从现有ADLDS实例删除应用程序目录分区。ADLDS实例的Administrators组中的成员身份是完成此过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组(/fwlink/?LinkId=83477)（可能为英文链接）。默认情况下，在ADLDS安装过程中指定为ADLDS管理员的安全主体会变成配置分区中Administrators组的成员。从现有ADLDS实例删除应用程序目录分区的