【IT168 专稿】前两篇文章中，我们介绍了AD LDS的基本概念和安装、基本应用(1，2    )。本文则着重介绍AD LDS的管理工具的基本用法。

(一)开始、停止和重新启动 AD LDS 实例

AD LDS 实例作为服务运行。因此，可以使用用于 Windows Server 2008 上运行的其他服务的相同方法，启动、停止和重新启动 AD LDS 实例。

使用 Windows 界面开始、停止或重新启动 AD LDS 实例

1.  单击"开始"，然后单击"服务器管理器"。

2.  在控制台树中，双击"角色"，然后单击"Active Directory 轻型目录服务"。

3.  在细节窗格中的"系统服务"列表中，单击要管理的 AD LDS 实例。

4.  单击"启动"、"停止"或"重新启动"。

注：默认情况下，会将 AD LDS 实例配置为自动启动。

(二)使用 ADSI Edit 管理工具

ADSI Edit 是用于 AD LDS 常规管理的 Microsoft 管理控制台 (MMC) 管理单元。它作为 AD LDS 和 Active Directory 域服务 (AD DS) 服务器角色的一部分安装。若要使用 ADSI Edit 管理 AD LDS 实例，必须首先连接并绑定到实例。可以通过浏览到实例中的容器或对象然后右键单击它们来管理它们。

使用 ADSI Edit 管理 AD LDS 实例的步骤

1.  单击"开始"，指向"管理工具"，然后单击 ADSI Edit。

2.  在控制台树中，单击 ADSI Edit。

3.  在"操作"菜单中，单击"连接到"。此时将出现"连接设置"对话框。

4.  在"名称"中，可以键入此连接将在 ADSI Edit 的控制台树中出现的标签。对于此连接，键入：AD LDS Demo

5.  在"选择或键入域或服务器: (Server |Domain[:port]"中，键入运行 AD LDS 实例的计算机的域名系统 (DNS) 名称、NetBIOS 名称或 IP 地址，后面跟一个冒号 (:) 和要连接到的 AD LDS 实例使用的轻型目录访问协议 (LDAP) 通信端口。此步骤中，AD LDS 运行在本地计算机上；因此，可以键入 localhost:389

6.  在"连接点"下，可以单击"选择或键入可分辨名称或命名上下文"，然后指定要连接的可分辨名称，也可以单击"选择已知命名上下文"，然后单击"配置"、RootDSE 或"架构"。单击"选择或键入可分辨名称或命名上下文"，键入 o=Microsoft,c=US，然后单击"确定"。

7.  在 ADSI Edit 管理单元的控制台树中，双击"AD LDS 演示"，然后双击 o=Microsoft,c=US。ADSI Edit 管理单元现在显示应用程序目录分区。

8.  在控制台树，单击任意容器查看该容器中的对象。

9.  若要关闭 ADSI Edit，请在"文件"菜单中，单击"退出"。

(三)使用 Ldp.exe 管理工具

Ldp.exe 是一个用于轻型目录访问协议 (LDAP) 目录服务的一般管理的图形用户界面 (GUI) 工具。若要使用 Ldp.exe 管理 Active Directory 轻型目录服务 (AD LDS) 实例，必须连接并绑定到该实例，然后显示该实例的可分辨名称的层次结构(树)。然后，可以浏览到树中的某个对象并右键单击该对象以进行管理。

使用 Ldp.exe 管理 AD LDS 实例的步骤

1.  单击"开始"，然后单击"服务器管理器"。

2.  在控制台树中，双击"角色"，然后单击"Active Directory 轻型目录服务"。

3.  在细节窗格的"高级工具"下，单击 Ldp.exe。

4.  在"连接"菜单中，单击"连接"。

5.  在"服务器"中，键入运行 AD LDS 实例的计算机的 DNS 名称、NetBIOS 名称或 IP 地址。AD LDS 实例运行在本地计算机上；因此，键入 localhost 作为服务器名称。

6.  在"端口"中，键入要连接到的 AD LDS 实例所使用的 LDAP 或安全套接字层 (SSL) 通信端口号，然后单击"确定"。

注：LDAP 的默认通信端口是 389。SSL 的默认通信端口是 636。

7.  在"连接"菜单中，单击"绑定"。

8.  执行下列操作之一：

－ 若要使用登录所用的凭据进行绑定，请单击"作为当前已登录用户绑定"。

－ 若要使用域用户帐户进行绑定，请单击"使用凭据绑定"，键入正在使用的帐户的用户名、密码和域名(或计算机名，如果使用的是本地工作站帐户)，然后单击"确定"。

－ 若要仅使用一个用户名和密码进行绑定，请单击"简单绑定"，键入正使用的帐户的用户名和密码，然后单击"确定"。

－ 若要使用某种高级方法(NTLM、分布式密码身份验证 (DPA)、协商式或摘要式)进行绑定，请依次单击"高级 (method)"、"高级"，在"方法"中选择所需的方法，根据需要设置其他选项，然后单击"确定"。单击"作为当前已登录用户绑定"。

9.  完成指定绑定选项后，请单击"确定"。

10.  在"查看"菜单中，单击"树"。

11.  展开 BaseDN 下拉列表，然后在导航窗格中单击要用作基本对象的对象的可分辨名称。对于此练习，单击 o=Microsoft,c=US，然后单击"确定"。

12.  在控制台树，单击任意容器查看该容器中的对象。

13.  若要关闭 Ldp.exe，请在"连接"菜单中，单击"退出"。

(四)使用架构管理单元作为 AD LDS 管理工具

还可以使用 Active Directory 架构管理单元查看和管理 Active Directory 轻型目录服务 (AD LDS) 架构对象。

注：如果架构管理单元已安装在计算机上，请跳过步骤 1 到 7 并开始步骤 8 的以下过程。

使用 Active Directory 架构管理单元连接到 AD LDS 实例

1.  单击"开始"，右键单击"命令提示符"，然后单击"以管理员身份运行"。

2.  键入以下命令，然后按 Enter：

regsvr32 schmmgmt.dll

3.  依次单击"开始"、"运行"，键入 mmc，然后单击"确定"。

4.  在"文件"菜单上，单击"添加/删除管理单元"。

5.  在"可用的管理单元"下，单击"Active Directory 架构"，单击"添加"，然后单击"确定"。

6.  若要保存此控制台，请在"文件"菜单上单击"保存"。

7.  在"另存为"对话框中，执行下列操作之一：

? 若要将管理单元放置在管理工具菜单中，请在"文件名"中，键入管理单元的名称，然后单击"保存"。

? 若要将管理单元保存在"管理工具"文件夹之外的位置，请在"保存于"中导航到管理单元要保存的位置。在"文件名"中键入管理单元的名称，然后单击"保存"。

8.  打开架构管理单元。

9.  在控制台树中，右键单击"Active Directory 架构"，然后单击"更改 Active Directory 域控制器"。

10.  在"更改目录服务器"对话框中，单击""，并键入运行 AD LDS 实例的计算机的 DNS 名称、NetBIOS 名称或 IP 地址。键入 localhost:389。

11.  单击 localhost:389，然后单击"确定"。

12.  在控制台树，单击任意容器查看该容器中的对象。

有关使用架构管理单元管理架构对象的详细信息，可以查看服务器上的帮助。若要显示帮助，请打开架构管理单元，然后按 F1。

(五)使用 Active Directory 站点和服务管理单元作为 AD LDS 管理工具

可以使用 Active Directory 站点和服务管理单元连接到 AD LDS 实例并管理 AD LDS 配置集中所有站点间目录数据的复制。

使用 Active Directory 站点和服务管理单元连接到 AD LDS 实例

1.  单击"开始"，指向"管理工具"，然后单击"Active Directory 站点和服务"。

2.  在控制台树中，右键单击"Active Directory 站点和服务"，然后单击"更改域控制器"。

3.  在"更改目录服务器"对话框中，单击""，然后键入运行 AD LDS 实例的计算机的 DNS 名称、NetBIOS 名称或 IP 地址。

在此练习中，AD LDS 实例运行在本地计算机上；因此，键入 localhost:389。

4.  选择 localhost:389，然后单击"确定"。

5.  在控制台树，单击任意容器查看该容器中的对象。

注：MS-ADLDS-DisplaySpecifiers.ldf 是 Active Directory 站点和服务操作所必需的。如果计划使用 Active Directory 站点和服务连接到 AD LDS 实例和管理 AD LDS 实例，请使用 Active Directory 轻型目录服务安装向导导入此 .ldf 文件。有关详细信息，请参阅步骤 2：练习使用 AD LDS 实例中的"通过使用 Active Directory 轻型目录服务安装向导创建新的 AD LDS 实例的步骤"。

(六)使用 ADSchemaAnalyzer 创建 LDIF 文件

如果要构建自定义应用程序，可以使用自定义 LDIF 文件轻松地构建架构。但是，如果需要将数据从现有 AD DS 部署复制到新的 AD LDS 实例中，将难以构建架构文件。

AD LDS 管理员可以使用 ADSchemaAnalyzer 从 AD DS 快速复制架构，然后将其导入 AD LDS。可以使用 ADSchemaAnalyzer 帮助将 AD DS 架构迁移到 AD LDS、从一个 AD LDS 实例迁移到其他实例，或从任何符合 LDAP 的目录迁移到 AD LDS 实例。可以使用 ADSchemaAnalyzer 加载目标(源)架构，标记要迁移的元素，然后将其导出到 AD LDS 基础架构。

重要：当您使用 ADSchemaAnalyzer 创建 LDIF 文件时，请加载目标架构和基础架构。否则，可能无法通过 ldifde 工具使用所产生的 LDIF 文件。

使用 ADSchemaAnalyzer 创建 LDIF 文件的步骤

1.  打开命令提示符，然后将目录更改到 %windir%\ADAM。

2.  键入以下命令，然后按 Enter：

adschemaanalyzer

3.  若要加载目标架构，请单击"文件"，单击"加载目标架构"，然后执行以下操作之一：

－ 若要加载域 Active Directory 架构作为目标架构，请在对话框中，键入用户名、密码和域，然后单击"确定"。

－ 若要加载其他架构(例如 AD DS 林或其他符合 LDAP 的目录的架构)，请在对话框中，键入包含目标架构目录的服务器名称和端口；根据需要键入用户名、密码和域；然后单击"确定"。

4.  若要加载 AD LDS 实例的架构作为基础架构，请单击"文件"，单击"加载基础架构"，然后在"服务器[:端口]"中键入 AD LDS 实例的服务器名称和端口。

5.  在对话框中，单击"确定"。

6.  在所产生的树中，通过右键单击元素标记要导出到基础架构的所有元素，然后选择下列选项之一：

－ "自动"自动将元素标记为在导出中包含或排除。如果元素将标记为"自动(已包含)"，可以右键单击该元素，然后单击"为什么自动包含?"查看该元素的反向依赖关系树。

－ "已包含"标记一个元素以便将其包含在导出中。ADSchemaAnalyzer 标记所有相关元素，例如 superclasses、auxClasses、must/may contains、defaultObjectCategory 和 possSuperiors。ADSchemaAnalyzer 包含已包含属性的 propsets 和链接的返回链接。

－ "已排除"标记一个元素以便将其不包括在导出中。可以阻止依赖关系图中的某些路径。例如，您可能要导入 domainDns，但是不导入 samAccountDomain(它是 domainDns 的 auxClass)。可以排除整个元素，例如 samAccountDomain 类，也可以排除一个关系；例如，可以从 domainDns 类删除 auxClass 引用。如果排除一个关系，任何引用该元素的其他类将继续包括它。

－ "存在"意味着元素存在于目标服务器上。默认情况下，顶级类被标记为存在。

7.  若要创建 LDIF 文件，请单击"文件"，然后单击"创建 LDIF 文件"。

(七)与 AD DS 同步

使 AD DS 林中的数据与 AD LDS 实例的配置集中的数据同步需要两个步骤：

－ 准备要进行同步的 AD LDS 实例。

－ 使数据同步。

通常，您仅执行一次第一个步骤。无论何时希望更新 AD LDS 实例，都可以执行第二个步骤。

AD LDS 实例的 Administrators 组中的成员身份是完成此过程所需的最低要求。默认情况下，在 AD LDS 安装过程中指定为 AD LDS 管理员的安全主体会变成配置分区中 Administrators 组的成员。

准备要进行同步的 AD LDS 实例的步骤

1.  打开命令提示符。

2.  在命令提示符下，键入以下命令，然后按 Enter：

cd %windir%\adam

3.  执行下列操作之一：

－ 若要准备使 AD LDS 实例与 Windows Server 2003 林同步，请键入以下命令，然后按 Enter：

ldifde -i -u -f ms-adamschemaw2k3.ldf -s : -b -j .-c "cn=Configuration,dc=X" #configurationNamingContext

－ 若要准备使 AD LDS 实例与 Windows Server 2008 林同步，请键入以下命令，然后按 Enter：

ldifde -i -u -f ms-adamschemaw2k8.ldf -s : -b -j .-c "cn=Configuration,dc=X" #configurationNamingContext

重要：必须在 -j 和 -c 之间包含句点 (.)。

注：因为在此练习中，AD LDS 实例运行在本地计算机上，请将 localhost 用于服务器并使用默认 LDAP 通信端口 389。

4.  键入以下命令，然后按 Enter：

ldifde -i -s : -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf

5.  键入以下命令，然后按 Enter：

notepad MS-AdamSyncConf.xml

6.  在记事本中，对配置文件的内容进行以下更改：

－使用源 AD DS 域控制器的名称替换 的值。

－使用源域的可分辨名称替换 的值。

－使用源域的 Domain Admins 组中的某个帐户的名称替换 的值。

－使用源域的完全限定 DNS 名称替换 的值。

－使用目标 AD LDS 实例的分区的名称替换 的值。

－使用源域的基本可分辨名称替换 的值。

7.  在记事本中，在"文件"菜单中单击"另存为"，为文件键入一个新名称，单击"保存"，然后关闭记事本。

8.  在命令提示符下，键入下列命令，替代在上一步中为 xml_file 使用的文件名，然后按 Enter：

adamsync /install : <.xml_file>

在准备好要进行同步的 AD LDS 实例之后，可以根据需要执行下列步骤，使指定 AD DS 林中的数据与 AD LDS 实例同步。

使 AD DS 林中的数据与 AD LDS 实例中的数据同步的步骤

－在命令提示符下，键入以下命令，然后按 Enter：

adamsync /sync : /log