共用方式為

使用 Active Directory 應用程式模式 (ADAM) 目錄服務建立 LDAP 資料儲存區

  • 發行項

更新日期: 2007年6月

 

上次修改主題的時間: 2015-02-27

在有些情況下,Active Directory 目錄服務無法使用 (例如,在 Linux 架構的網路),或者組織選擇不使用其網路作業系統 Active Directory 來驗證 Project Server 使用者。在這種情況下,您可以使用外部目錄服務來建立輕量型目錄存取通訊協定 (LDAP) 資料儲存區,藉以驗證使用者。

Active Directory 應用程式模式 (ADAM) 是一種目錄服務,專為滿足組織需求而設計,有些組織無法僅依賴 Active Directory 為啟用目錄的應用程式提供目錄服務,而有些則沒有 Active Directory 可用。儘管 Active Directory 在管理網路基礎結構上提供了許多好處,但組織通常還是需要更具彈性的目錄服務來支援啟用目錄的應用程式。ADAM 是專為啟用目錄的應用程式 (例如 Microsoft Office Project Server 2007) 而設計的 LDAP 目錄服務。ADAM 會以使用者服務形式執行,而不是系統服務。您可以在執行 Windows Server 2003 系列 (除了 Windows Server 2003 Web Edition) 作業系統的伺服器和網域控制站,以及執行 Windows XP Professional 的電腦上執行 ADAM。

ADAM 可做為目錄服務供下列案例中的 Office Project Server 2007 使用者使用:

  • 某家公司想要讓業務合作夥伴或約聘人員透過 Project Web Access (PWA) 存取一組特定公司資源。根據公司原則規定,禁止將他們加入內部的 Active Directory 結構來使用 Windows 驗證登入 PWA,因為公司不希望這些使用者以未經授權的方式存取公司資源。於是,解決之道就是使用 ADAM 建立獨立的目錄,好讓這些使用者透過 Project Web Access 登入外部網路網站時會經過驗證。

  • 某家公司過去使用 Microsoft Office Project Server 2003,內部網路和外部網路使用者的驗證是透過 Project Server 驗證進行。驗證時,是依據 Project Server 2003 資料庫中的目錄來驗證使用者。現在該公司升級至 Office Project Server 2007,但這新版本不支援 Project Server 驗證。於是,該公司使用 ADAM 來建立新的目錄,並且將已移轉的 Project Server 2003 帳戶加入至該目錄。接著,該公司為內部網路和外部網路使用者分別建立 PWA 網站,但都存取相同內容。於是,這些使用者現在可以存取 Office Project Server 2007,並透過 ADAM 例項所建立的目錄進行驗證。

  • 某家公司選擇讓它的網路作業系統 (NOS) Active Directory 只用於 NOS 驗證和授權。他們不希望為了進行應用程式驗證而維護 Active Directory 致使開銷增加。於是,ADAM 可用來為存取 Office Project Server 2007 的使用者建立不同目錄。

  • 如需 ADAM 的詳細資訊,請參閱 ADAM 逐步手冊 (https://go.microsoft.com/fwlink/?linkid=92703\&clcid=0x404)。

下載並安裝 ADAM

您可以從 Microsoft 下載中心下載 ADAM。它也是 Microsoft Windows Server 2003 R2 的一部分,並且可以透過「選擇性元件管理員」加以安裝。

下列程序說明如何在您的電腦下載並安裝 ADAM。請檢閱 ADAM 下載頁面下方所列的系統需求。

下載並安裝 ADAM

  1. 在網頁瀏覽器中,移至 Active Directory 應用程式模式 (ADAM) 下載頁面 (https://go.microsoft.com/fwlink/?linkid=92704\&clcid=0x404)。

  2. 找出名為 ADAMSP1_x86_CHT.exe 的檔案,並按一下 [下載]。

  3. 在 [檔案下載 - 安全性警告] 頁面上,按一下 [執行]。

  4. 在初始的 [軟體更新安裝精靈] 頁面上,按一下 [下一步]。

  5. 在 [授權合約] 頁面上,選取 [我同意] 並按一下 [下一步]。

  6. 在安裝完畢之後,按一下 [完成]。

建立新的 ADAM 例項

在電腦上安裝 ADAM 之後,就可以設定新的 ADAM 例項,以建立目錄結構。下列程序可讓您選取存取目錄所用的連接埠、建立應用程式目錄磁碟分割,並匯入 LDIF 檔案以便為 Active Directory 提供範本。

建立新的 ADAM 例項

  1. 按一下 [開始],按一下 [所有程式],在 [ADAM] 程式群組中按一下 [建立 ADAM 例項]。

  2. 在 [歡迎使用 Active Directory Application Mode 安裝精靈] 頁面上,按一下 [下一步]。

  3. 在 [安裝選項] 頁面上,選取 [唯一例項],然後按一下 [下一步]。

  4. 在 [例項名稱] 頁面上的 [例項名稱] 方塊中,輸入例項的唯一名稱。請注意,服務名稱將會是您輸入的名稱,而且名稱前面會加上「ADAM_」。例如,如果您輸入「Instance1」,則服務名稱會是「ADAM_Instance1」。

  5. 按一下 [下一步]。

  6. 在 [連接埠] 頁面上的 [LDAP 連接埠號碼] 方塊中,輸入可用的連接埠號碼 (例如,輸入 50000)。在 [SSL 連接埠號碼] 方塊中,輸入另一個可用的連接埠號碼 (例如,輸入 50001),然後按一下 [下一步]。如果您沒有輸入連接埠號碼,則會選取 LDAP 和 SSL 的預設連接埠。

  7. 在 [應用程式目錄磁碟分割] 頁面上,選取 [是,建立應用程式目錄磁碟分割]。

  8. 在安裝期間建立新的應用程式目錄磁碟分割時,您必須為磁碟分割指定唯一的辨別名稱。ADAM 支援頂層目錄磁碟分割使用 DNS 和 X.500 樣式名稱,包括下表中的辨別名稱元件:

    屬性 描述

    C=

    國家/區域

    CN=

    一般名稱

    DC=

    網域元件

    L=

    位置

    O=

    組織

    OU=

    組織單位

    在 [磁碟分割名稱] 方塊中,輸入此應用程式目錄磁碟分割的辨別名稱。請以逗號分隔每個元件,例如,OU=Contoso,O=Marketing,C=US

  9. 在 [檔案位置] 頁面上,輸入要儲存 ADAM 資料和資料修復檔案的位置。您可以使用 [資料檔案] 和 [資料修復檔案] 方塊中的預設位置,然後按一下 [下一步]。

  10. 在 [選取服務帳戶] 頁面上,輸入要執行這個 ADAM 例項的帳戶。您可以使用伺服器的網路服務帳戶,或是指定使用者帳戶來執行服務,然後按一下 [下一步]。

  11. 在 [ADAM 系統管理] 頁面上,指派將擁有這個 ADAM 例項之系統管理權限的使用者或使用者群組。您可以選取 [目前登入的使用者] 以指定這個使用者帳戶,也可以選取 [這個帳戶] 再指定本機或網域使用者或群組,然後按一下 [下一步]。

  12. 在 [匯入 LDIF 檔案] 頁面上,指定要選取的 LDAP 資料交換格式 (LDIF) 檔案。這些檔案包含數個使用者類別結構描述定義,以及與 Windows 授權管理員搭配使用的物件,以便匯入至新 ADAM 例項的結構描述。

    下表說明每個可匯入的選擇性 LDIF 檔案:

    LDIF 檔案 使用者類別 如果出現下列情形,則匯入這個檔案

    MS-Users.LDF

    • Person

    • Organizational-Person

    • User

    想在 ADAM 目錄中建立使用者物件,但不想建立 InetOrgPerson 類別的使用者 (如 RFC 2798 中所定義)

    MS-InetOrgPerson.LDF

    • Person

    • Organizational-Person

    • Users

    • InetOrgPerson

    想在 ADAM 目錄中建立使用者物件,並且想建立 InetOrgPerson 類別的使用者 (如 RFC 2798 中所定義)

    MS-UserProxy.LDF

    • User-Proxy

    想在 ADAM 中建立 Proxy 物件,以便用於繫結重新導向。

    MS-ASMan.LDF

    不適用

    想將 ADAM 與授權管理員搭配使用。

  13. 選取 [為此 ADAM 例項匯入選取的 LDIF 檔案],從 [可用的檔案] 清單中選取 LDIF 檔案,並按一下 [新增] 將檔案移至 [已選取的 LDIF 檔案] 清單。如果不想將 LDIF 檔案當做範本使用,請按一下 [不要為此 ADAM 例項匯入 LDIF 檔案],然後按一下 [下一步]。

    Note附註:
    您可以選擇稍後使用 LDIF 目錄交換 (LDIFDE) 命令列工具匯入 LDIF 檔案。

  14. 在 [安裝準備就緒] 頁面上,檢閱您的選項,然後按一下 [下一步],以啟動例項的安裝。

  15. 當例項的安裝完成時,按一下 [完成]。

設定 ADAM 例項

您可以使用 ADAM ADSI 編輯工具來設定您的 ADAM 例項。ADAM ADSI 編輯工具會與 ADAM 一起安裝,並且可以從 ADAM 程式群組開啟。

設定 ADAM 例項

  1. 按一下 [開始],按一下 [所有程式],並在 [ADAM] 程式群組中按一下 [ADAM ADSI 編輯]。

  2. 在 ADAM ADSI 編輯工具的 [執行] 功能表中,選擇 [連線到]。

  3. 在 [連線設定] 頁面上的 [連線名稱] 方塊中,輸入唯一的名稱。

  4. 在 [連接埠] 方塊中,輸入您在建立 LDAP 例項時指定為 LDAP 連接埠的連接埠號碼。

  5. 在 [連線到下列節點] 區段中,選取 [辨別名稱或命名內容]。在方塊中,輸入您在建立 LDAP 例項時輸入的磁碟分割名稱。例如,OU=Contoso,o=Marketing,C=US

  6. 如果目前的使用者是 ADAM 例項的管理員,則在 [用這些認證連線] 區段中,選取 [目前登入使用者的帳戶]。如果要指定不同帳戶,請選取 [這個帳戶]。按一下 [確定]。

允許伺服器陣列管理員存取目錄

請確認 Windows SharePoint Services 伺服器陣列管理員的帳戶可以存取目錄。下列程序可以將使用者帳戶加入至讀取者角色,以允許存取使用者帳戶。

新增帳戶以存取目錄

  1. 在 ADAM ADSI 編輯工具中,您的 ADAM 例項應該會出現在左邊窗格。展開例項名稱,然後展開命名內容,查看其他已建立的容器。

  2. 在左邊窗格中,按一下 [CN=Roles]。在右邊窗格中,以滑鼠右鍵按一下 [CN=Readers] 並按一下 [內容]。在 [CN=Readers] 內容頁面上的 [屬性] 清單中,選取 [成員],然後按一下 [編輯]。

  3. 在 [有安全性主體的多重值辨別名稱] 頁面上,按一下 [新增 Windows 帳戶]。

  4. 在 [選擇使用者、電腦或群組] 頁面上,輸入要新增的 Windows 帳戶名稱,然後按一下 [確定]。

  5. 在 [內容] 頁面上,按一下 [確定]。

將使用者加入至目錄

您現在可以執行下列程序將使用者加入至目錄。您也可以在目錄內為使用者建立容器。例如,您可以為「支援」使用者和「行銷」使用者建立不同容器。下列程序會為所有使用者建立單一容器。

將使用者加入至目錄

  1. 在左邊窗格中,以滑鼠右鍵按一下命名內容,按一下 [新增],然後按一下 [物件]。在 [建立物件] 頁面上的 [選取類別清單] 中,選取 [容器],然後按一下 [下一步]。

  2. 在 [建立物件] 頁面上的 [值] 方塊中,輸入要加入使用者的目標容器唯一名稱 (例如,「Users」或「Support」)。按一下 [下一步],然後按一下 [完成]。

  3. 在左邊窗格中,以滑鼠右鍵按一下您剛建立的使用者容器物件,按一下 [新增],然後按一下 [物件]。

  4. 在 [建立物件] 頁面上的 [選取類別清單] 中,選取 [使用者],然後按一下 [下一步]。

  5. 在要加入使用者名稱的頁面上,於 [值] 方塊中輸入使用者名稱,然後按一下 [下一步]。

  6. 在可為使用者設定屬性的頁面上,按一下 [完成]。

  7. 在 ADAM ADSI 編輯工具中,以滑鼠右鍵按一下右邊窗格中的新使用者,然後按一下 [重設密碼]。

  8. 在 [重設密碼] 頁面上的 [新密碼] 方塊中,輸入新的密碼。在 [確認密碼] 方塊中,再次輸入密碼,然後按一下 [確定]。

    Note附註:
    在為使用者輸入新密碼時,ADAM 會強制執行存在於伺服器上的任何密碼原則。

  9. 請視需要重複執行步驟 3 到 8,將其他使用者加入至使用者容器物件。

另請參閱

其他資源

何謂 Active Directory 應用程式模型?(https://go.microsoft.com/fwlink/?linkid=92963&clcid=0x404)