LDAP-Verzeichnisdienst für Windows 7

AD LDS ist keine neue Active-Directory-Variante, sie wurde bereits mit Windows Server 2003 unter dem Namen Active Directory Application Mode (ADAM) eingeführt. Mit Windows Server 2008 wurde aus ADAM AD LDS. Seit Anfang des Jahres steht eine aktualisierte Version für Windows 7 zum Download bereit. Interessant ist AD LDS für alle Anwendungen, die einen leistungsfähigen Verzeichnisdienst benötigen, der per LDAP angesprochen und mit allen bekannten LDAP-Tools wie ADSI Edit oder LDAP-Administrator verwaltet und mit den Klassen im Namespace System.DirectoryServices angesprochen werden kann. Ein AD-LDS-Verzeichnis kann zum Beispiel für die Benutzerverwaltung einer Webanwendung eingesetzt werden. Die Authentifizierung erfolgt dabei entweder gegen die user-Objekte des AD-LDS-Verzeichnisses oder mit Hilfe von Proxy-Objekten gegen die Benutzerkonto eines Active Directory. Ein AD-LDS-Verzeichnis kommt auch als Testdomäne in Frage, um WSH- oder PowerShell-Skripte, die auf ein AD zugreifen sollen, zu testen. Installation und Einrichten einer AD LDS-Instanz AD LDS for Windows 7 steht unter sowohl in einer 32- und einer 64-Bit-Varianten zur Verfügung. Die Installation ist vollkommen problemlos und läuft ohne eine Bestätigung durch. AD LDS wird als Update «Active Directory Lightweight Directory Services for Windows 7» installiert und als solches auch wieder entfernt. Nach der Installation kommt es darauf an, eine neue AD-LDS-Instanz einzurichten. Anders als in einem «richtigen» Active Directory gibt es kein Standardschema, beim Einrichten einer AD-LDS-Instanz werden die benötigten Schemadefinitionen durch die Auswahl von Ldf-Dateien, den Schemadefinitionsdateien im LDAP Data Interchange Format, ausgewählt. Zur Auswahl stehen Standardobjekte wie user, group, container oder OrganizationalUnit. Beim Einrichten einer AD-LDS-Instanz werden ferner Details wie die Portnummer (389 ist voreingestellt), sowie das Benutzerkonto für die Administration und den Zugriff auf den AD-LDS-Dienst, über den der Zugriff auf eine AD-LDS-Instanz gesteuert wird, festgelegt. Die Daten einer Instanz werden im Verzeichnis %Programfiles\Microsoft ADAM abgelegt. Während das Root-Element in einem Active Directory über den Domännamen bestimmt wird, wird es beim Einrichten einer AD LDS-Instanz über eine Partition festgelegt. Es muss keine DC-Syntax verwendet werden, sondern kann zum Beispiel ein O-Element sein.Wurde die Instanz eingerichtet, steht das Verzeichnis unter seinem Hostnamen – etwa  localhost:389 – zur Verfügung und kann zum Beispiel mit ADSI Edit angesprochen werden. Dabei kommt es darauf an, neben dem Hostnamen auch den Namen des Stammcontainers anzugeben. Neu bei .NET 3.5 – System.DirectoryServices.AccountManagement Mit .NET 3.5 wurde für den Zugriff auf ein LDAP-Verzeichnis ein Satz neuer Klassen im Namespace System.DirectoryServices.AccountManagement eingeführt, die den Umgang mit Usern und Groups deutlich vereinfachen. Listing 1 zeigt, wie sich über ein PrincipalSearcher-Objekt alle user-Objekte in einem AD-LDS-Verzeichnis abfragen lassen. PrincipalContext context = new PrincipalContext(ContextType.ApplicationDirectory, "localhost:389", "o=SpielerDB"); UserPrincipal user = new UserPrincipal(context); PrincipalSearcher ps = new PrincipalSearcher(); ps.QueryFilter = user; PrincipalSearchResult<Principal> res = ps.FindAll(); foreach (UserPrincipal r in res) Console.WriteLine(r.Name); Listing 1: Abfragen von user über PrincipalSearcherPeter Monadjemi