配置AD LDS与SharePoint 2010集成指南

"配置AD LDS (Active Directory Lightweight Directory Services) 在SharePoint 2010" 在Windows环境中，AD LDS是一种轻量级目录服务，它提供了一种非域环境下的身份验证和授权解决方案。在SharePoint 2010中集成AD LDS可以帮助组织实现基于声明的身份验证（Claim-Based Authentication），从而提高安全性并简化用户管理和权限控制。 配置AD LDS的步骤如下： 1. **安装AD LDS**：登录到活动目录服务器（通常是Domain Controller），通过“开始”菜单打开“管理工具”中的“Active Directory Lightweight Directory Services 安装向导”，按照向导指示进行安装。 2. **验证和管理AD LDS**：安装完成后，你可以使用ADSI Edit工具来查看和管理AD LDS。通过连接到AD LDS的配置命名上下文，输入你在配置AD LDS时定义的分区和域控制器名称（如果未指定端口，可以在高级设置中添加）。 3. **创建对象**：在AD LDS中，你可以创建容器（Container）和用户。例如，创建一个新的Container，并在其中创建一个User对象，以供SharePoint使用。 接下来，我们将讨论如何在SharePoint 2010中配置AD LDS： 1. **创建声明式身份验证Web应用程序**：首先，你需要创建一个基于声明的身份验证的Web应用程序。在SharePoint Central Administration中，指定身份提供者（Provider）和角色管理器名称。 2. **修改Web.Config文件**：配置完成后，需要修改三个Web.Config文件。这些文件分别位于中央管理站点、安全令牌服务（Security Token Service）以及新创建的Web应用程序对应的目录下。 - 对于`CentralAdministrationSite`的Web.Config，找到`System.Web`节点下的`membership`和`roleManager`节点，用AD LDS的服务器名称和端口号替换原有内容，或直接添加这些节点。 - 对于`SecurityTokenService`的Web.Config，同样操作，确保配置信息与中央管理站点一致。 - 最后，修改Web应用程序的Web.Config文件，确保身份验证和角色管理配置与前两者匹配。 在以上步骤中，`①`表示AD LDS服务器的名称和端口号，`②`则代表AD LDS配置后创建的Container名称，这些信息在SharePoint的配置中是至关重要的。 配置完成后，SharePoint 2010将能够使用AD LDS进行用户身份验证和角色分配，这有助于实现更灵活的权限管理，同时减轻了管理员的负担。在大型企业环境中，这种集成可以提高安全性，减少对域控制器的依赖，并允许跨多个组织单元和部门共享资源。