身份映射服务使用传统 Unix UID(和 GID)和 Windows SID 同时管理 Windows 和 Unix 用户身份。
身份映射服务可创建 SID、UID 和 GID 之间的映射数据库并对其进行维护。有三种不同的映射方法可用,如果映射可用于指定的身份,服务将会创建临时映射。以下映射模式可用:
基于身份映射规则的映射-基于规则的映射方法包括创建各种按名称映射身份的规则。这些规则在 Windows 身份与 Unix 身份之间建立对等关系。
基于身份映射目录的映射-基于目录的映射涉及为 LDAP 或 Active Directory 对象加注有关如何将身份映射到对应平台上的对等身份的信息。在使用基于目录的映射时,必须指定以下属性:
AD 属性-Unix User Name(Unix 用户名称)-AD 数据库中对等 Unix 用户的名称
AD 属性-Unix Group Name(Unix 组名称)-AD 数据库中对等 Unix 组的名称
本地 LDAP 属性-Windows User Name(Windows 用户名称)-LDAP 数据库中对等 Windows 身份的名称
身份映射 IDMU-Microsoft 提供了一项称为 "Identity Management for Unix (IDMU)" 的功能。此软件适用于 Windows Server 2003,且已与 Windows Server 2003 R2 和更高版本捆绑。此功能是之前称为 "Services for UNIX" 的功能的一部分(采用非捆绑形式)。IDMU 的主要用途是支持将 Windows 作为 NIS/NFS 服务器。IDMU 在 "Active Directory Users and Computers"(Active Directory 用户和计算机)用户界面上添加了 "UNIX Attributes"(UNIX 属性)面板,管理员可在其中指定一些与 UNIX 相关的参数:UID、GID、登录 shell、主目录以及组的类似参数。这些参数在 AD 中通过与 RFC2307 相似(但不完全相同)的模式以及 NIS 服务设置。选择 IDMU 映射模式时,身份映射服务会使用这些 Unix 属性,以在 Windows 身份与 Unix 身份之间创建映射。此方法与基于目录的映射非常相似,只是身份映射服务会查询 IDMU 软件创建的属性模式,而不是允许使用定制模式。使用此方法时,无法使用任何其他基于目录的映射。
要使用身份映射,请参见以下各节: