Понятийный аппарат и административные задачи Active Directory, страница 6

В Active Directory DNS исполняет роль службы именования и обнаружения доменов. Преимущества, которые она предоставляет, таковы:

r  имена DNS запомнить значительно легче, чем IP-адрес;

r  в отличие от IP-адресов, имена DNS относительно постоянны — при изменении IP-адреса сервера его имя сохраняется;

r  при подключении к локальным серверам DNS обеспечивает соблюдение той же схе­мы именования, которая применяется в Интернете.

Именованиеобъектов

Поскольку служба каталогов Active Directory совместима с LDAP, при подаче запросов к базе данных Active Directory сетевые клиенты пользуются именно этим протоколом. Каждый объект Active Directory идентифицируется по имени, а правила именования объектов задаются стандартами LDAP. Среди принятых в Active Directory схем имено­вания выделяются простые и относительные составные имена, глобально уникальные идентификаторы, а также основные имена пользователей.

Составноеимя

У каждого объекта Active Directory есть составное или различающееся имя (distinguished name, DN), которое, во-первых, исполняет роль его уникального идентификатора, а, во-вторых, содержит данные, позволяющие клиенту извлечь его из каталога. DN состо­ит из имени домена, в котором находится искомый объект, и полного пути к нему через иерархию контейнеров. К примеру, нижеследующее составное имя идентифицирует объект пользователя ScottCooperв домене microsoft.com:

CN=Scott Cooper,OU=Promotions,OU=Marketing,DC=Microsoft,DC=Com

В составе DN для обозначения имен применяются три характерные для LDAP сокращения: CN, OU и DC. CN – обозначает общее имя объекта, OU — имя подразделения, а DC — имя доменного компонента. Идентичные DN в Active Directory запрещены, а, значит, они должны быть уникальными (в этом смысл названия «различающееся имя»).

Относительноесоставноеимя

Реализованная в Active Directory поддержка запросов по атрибутам позволяет обнару­живать даже те объекты, чьи составные имена неизвестны или подверглись изменени­ям. Относительным составным именем (relative distinguished name, RDN) объекта назы­вается одна из частей его имени, которая одновременно является атрибутом объекта. В приведенном выше примере в качестве RDN объекта пользователя ScottCooperвысту­пает Scott Cooper. RDN родительского объекта — Promotions.

Сокращения LDAP, обозначающие атрибуты именования — общее имя (CN), имя подразделения (OU) и доменный компонент (DC) — в Active Directory не отображаются. В нашем примере они фигурируют по одной-единственной причине — мы хотели показать, как LDAP различает элементы составного имени. Большинство инструментов Active Directory отображают имена объектов в канонической форме — иначе говоря, имена RDN перечисляются от корня, то есть от доменного имени DNS, в нисходящем порядке.

Глобальноуникальныйидентификатор

Глобально уникальным идентификатором(globally unique identifier, GUID) называется 128-разрядное шестнадцатеричное число, которое в масштабе предприятия обязательно дол­жно быть уникальным. Идентификаторы GUID назначаются объектам в момент их со­здания. Даже в случае перемещения или переименования объекта его GUID остается неизменным. Сохраняя GUID объекта, приложение получает возможность обращаться к нему без помощи текущего DN.

В системе Windows NT каждый ресурс домена ассоциировался с идентификатором безопасности (security identifier, SID), генерировавшимся внутри этого домена. Именно в масштабах домена гарантировалась его уникальность. Что же касается GUID, то он уникален для всех доменов сразу — таким образом, даже при перемещении объекта из одного домена в другой его идентификатор не перестанет быть уникальным.

Основноеимяпользователя

У каждой учетной записи есть «удобное» имя, и называется оно основным именем пользо­вателя (user principal name, UPN). UPN состоит из имени учетной записи пользователя [иногда его называют регистрационным именем пользователя или именем входа (user logon name)] и доменного имени, идентифицирующего домен, в котором расположена эта учетная запись. К примеру, объекту пользователя ScottCooper, находящемуся в домене microsoft.com, может соответствовать основное имя ScottC@microsoft.com(оно составлено из имени и первой буквы фамилии пользователя).