AD DS или AD LDS

Как отметил Раджив в комментариях, Active Directory - это сервер LDAP и многое другое, а служба AD LDS - это "бесплатная" роль Windows Server, которая предназначена для того, чтобы делать именно то, что он ищет. AD предоставляет множество дополнительных возможностей (репликация, Kerberos, федерация и т. Д.), Которые вам придется создавать самостоятельно с помощью решения Free/OSS, такого как OpenLDAP+postgres+kerberos. Существуют и другие (в первую очередь коммерческие) службы каталогов, которые имеют аналогичные возможности.

Лицензирование, вероятно, не должно быть проблемой. Вероятно, у вас будет установлен AD, если ваше развертывание будет в основном основано на Windows (для учетных записей компьютеров, учетных записей администраторов и т. Д.), И это будет относительно мало (в большинстве случаев похоже на лицензию на 5 пользователей). Любые "пользовательские" объекты, которые вы создаете в LDS для своих публичных пользователей, не будут учитываться в лицензиях для ваших учетных записей AD DS. Вы можете связаться с http://www.microsoft.com/licensing/, чтобы проверить это.

Использование AD LDS определенно имеет некоторые большие преимущества, однако предлагаемая установка может оказаться слишком маленькой, чтобы реализовать некоторые из них.

1. Репликация, вероятно, "халява" № 1, которую вы получаете с LDS. Топология сайтов и подсетей AD DS может использоваться для автоматического управления репликацией, как и для AD DS. Но только с одним LDS-сервером вам не понадобится репликация.
2. Большинство новых инструментов для резервного копирования, обслуживания, отчетности и т. Д. Будут работать так же хорошо с LDS, как и с DS. Так что, если у вас уже есть некоторые готовые инструменты, вы можете просто использовать их для своего LDS. Опять же, ваши настройки звучат слишком мало, чтобы это было большим преимуществом.
3. Если вы УЖЕ знакомы с уходом и обслуживанием AD DS, использование LDS будет в целом привычным и будет основано на наборе знаний, который у вас уже есть. Это может означать значительные улучшения в поддержке и управляемости, любые ваши знания сценариев, как правило, будут передаваться и т. Д. Это бонус.
4. И снова, LDS "бесплатен" с Windows, если вы установили сервер 2003/2008, то LDS включен. Это тоже бонус.
5. С Windows Server 2008 R2 вы получаете все классные функции из базы кода AD DS (снимки и т. Д.)

Все это говорит... Если у вас нет особого опыта работы с AD, и у вас нет какой-либо конкретной инфраструктуры для его обработки, вы, возможно, не ощутите особой выгоды, пройдя этот путь. Исходя из размера описанного вами развертывания, вы почти наверняка можете воспользоваться настройкой OSS, такой как LAMP + OpenLDAP, в зависимости от вашей комфортной зоны и требований к приложениям.

Имейте в виду, что если вы занимаетесь каким-либо образом управлением пользователями, вы очень, ОЧЕНЬ извините, если ваш подход состоит в том, чтобы просто "вставить кучу имен пользователей и паролей в таблицу SQL". Управление пользователями - сложный процесс, который уже решался бесчисленное количество раз. Обработка паролей - это то, что вам просто не следует делать, если у вас уже нет большого опыта в программировании, связанном с безопасностью. Пожалуйста, не катите свои собственные!

Найдите подходящую коммерческую среду или платформу OSS, которая уже разработана для правильной обработки AAA*, что-то вроде OpenID, вероятно, не является ужасной идеей. В блоге Джеффа Этвуда (он управляет веб-сайтом, вы, возможно, слышали об этом...) есть несколько постов, в которых обсуждаются эти проблемы, связанные с его работой над StackOverflow и ServerFault.

В любом случае, я надеюсь, что это обсуждение поможет.

Вы должны изучать программирование, но вам не нужна НИКАКАЯ реализация AD. Большинство веб-сайтов имеют свою собственную пользовательскую базу данных в некоторой базе данных (то есть SQL) и не используют AD.