LDAP Path Active Directory Distinguished and Relative Distinguished Names

O Active Directory é um serviço de diretório compatível com LDAP, o que significa que todo o acesso a objetos de diretório ocorre através de LDAP. LDAP requer que nomes de objetos de diretório ser formado de acordo com a RFC 1779 e RFC 2247, que definem o padrão para nomes de objeto em um serviço de diretório LDAP.

Nome distinto

Objetos estão localizados em domínios do Active Directory de acordo com um caminho hierárquico, que inclui os rótulos de nome de domínio do Active Directory e cada nível de objetos de recipiente. O caminho completo para o objeto é definido pelo nome distinto (também conhecido como um “DN”). O nome do próprio, separado do caminho para o objeto, o objeto é definido pelo nome distinto relativo.

O nome distinto é inequívoco (identifica um objeto apenas) e exclusivas (nenhum outro objeto no diretório tem este nome). Usando o caminho completo para um objeto, incluindo o nome do objeto e todos os objetos do pai para a raiz do domínio, o nome distinto exclusivamente e sem ambigüidade identifica um objeto em uma hierarquia de domínios. Ele contém informações suficientes para que um cliente LDAP recuperar informações do objeto de diretório.

Por exemplo, um usuário chamado James Smith trabalha no departamento de marketing de uma empresa como um coordenador de promoções. Portanto, sua conta de usuário é criada em uma unidade organizacional que armazena as contas para marketing funcionários departamento que participam em actividades promocionais. Identificador de usuário de James Smith é JSmith, e ele trabalha na filial norte-americana da companhia. O domínio raiz da empresa é reskit.com, e o domínio local é noam.reskit.com. O diagrama na figura a seguir ilustra os componentes que compõem o nome distinto do objeto do usuário JSmith no domínio noam.reskit.com.

Nome distinto para o usuário objeto jsilvanote-icon NotaFerramentas snap-in Active Directory não exibir as abreviações LDAP para a atribuição de nomes de atributos componente de domínio (dc =), unidade organizacional (UO =), nome comum (cn =), e assim por diante. Essas abreviações são mostradas apenas para ilustrar como o LDAP reconhece as porções do nome distinto. A maioria das ferramentas do Active Directory exibem nomes de objeto em forma canônica, conforme descrito mais adiante neste capítulo. Porque os nomes distintos são difíceis de lembrar, é útil ter outros meios para recuperar objetos. O Active Directory suporta consultando pelo atributo (por exemplo, o edifício número onde você tem que encontrar uma impressora), para que um objeto pode ser encontrado sem precisar saber o nome distinto. (Para obter mais informações sobre a pesquisa do Active Directory, consulte “nome resolução no Active Directory”neste livro).

Nome distinto relativo

O nome distinto relativo (também conhecido como o “RDN”) de um objeto é a parte do nome que é um atributo do próprio objeto — a parte do nome do objeto que identifica esse objeto como exclusivo de seus irmãos em seu atual nível na hierarquia de nomeação. Na figura acima, o nome distinto relativo do objeto é jsilva. O nome distinto relativo do objeto pai é usuários. O comprimento máximo permitido para um parente nome distinto é 255 caracteres, mas atributos têm limites específicos impostos pelo esquema de diretório. Por exemplo, no caso do nome comum, que é o tipo de atributo muitas vezes usado para nomear o nome distinto relativo (cn), o número máximo de caracteres permitido é 64.

Nomes distintos relativos de activas Directory são exclusivos dentro de um pai específico — ou seja, do Active Directory não permite que dois objetos com o mesmo nome distinto relativo no mesmo contêiner pai. No entanto, dois objetos podem ter nomes distintos relativos idênticos mas ainda ser exclusivo no diretório porque dentro de seus recipientes pai respectivos, seus nomes distintos não são os mesmos. (Por exemplo, o objeto cn = JSmith, dc = noam, dc = reskit, dc = com é reconhecido pelo LDAP como sendo diferente do cn = JSmith, dc = reskit, dc = com.)

O nome distinto relativo para cada objeto é armazenado no banco de dados do Active Directory. Cada registro contém uma referência para o pai do objeto. Seguindo as referências para a raiz, o nome distinto completo é construído durante uma operação de LDAP. (Para obter mais informações sobre operações de LDAP, consulte “nome resolução no Active Directory” neste livro).

Atributos de nomeação.

Como ilustrado anteriormente nesta seção, um nome de objeto consiste de uma série de nomes distintos relativos que representam o objeto em si e também cada objeto na hierarquia acima dela, até para o objeto de raiz. Cada parte do nome diferenciado é expressa em attribute_type = valor (por exemplo, cn = JSmith). O tipo de atributo que é usado para descrever o nome distinto relativo do objeto (neste caso, cn =) é chamado o atributo de nomeação. Se você criar uma nova classe no esquema do Active Directory (ou seja, um novo objeto classSchema ), o atributo opcional RdnAttID poderia ser usado para especificar o atributo nomeação para a classe. No Active Directory, instâncias de objetos padrão que você cria tem um atributo de nomeação padrão obrigatório. Por exemplo, parte da definição da classe User é o atributo cn (nome comum) como o atributo de nomeação. Por esse motivo, o nome distinto relativo para usuário jsilva é expressa em cn = jsilva.

Os atributos de atribuição de nomes mostrados na tabela 1. 1 são usados no Active Directory, conforme descrito no RFC 2253.

Tabela 1. 1 Padrão do Active Directory atributos de nomeação

Classe de objeto

Atributo nome para exibição de nomeação.

Nome do atributo LDAP nomenclatura

usuário

Nome comum

NC

organizationalUnit

Nome de unidade organizacional

UO

domínio

Componente de domínio

DC

Outros atributos de nomes descritos no RFC 2253, tais como o = nome de organização e c = nome do país, não são usados no Active Directory, embora eles são reconhecidos pelo LDAP.

O uso de nomes distintos, parente nomes distintos, e atributos de nomeação é necessário apenas quando você estiver programação para LDAP e usando Active Directory Service Interfaces (ADSI) ou outros scripts ou linguagens de programação. A interface de usuário do Windows 2000 não requer a introdução de tais valores.

Para obter mais informações sobre como criar novos objetos classSchema , consulte “Active Directory Schema” neste livro. Para obter mais informações sobre como usar ADSI, consulte o Microsoft Platform SDK link na página de recursos da Web em http://windows.microsoft.com/windows2000/reskit/webresources .

Exclusividade e identidade do objeto

Além de seu nome distinto, cada objeto no Active Directory tem uma identidade única. O Active Directory é identidade baseada — ou seja, objetos são conhecidos internamente por sua identidade, não por seu nome atual. Objetos podem ser movidos ou renomeados, mas sua identidade nunca muda. A identidade de um objeto é definida por um identificador globalmente exclusivo (GUID), um número de 128 bits que é atribuído pelo agente de sistema de diretório quando o objeto é criado. O GUID é armazenada em um atributo, objectGUID , que está presente em cada objeto. O atributo objectGUID é protegido para que ele não pode ser alterado ou removido. Quando você armazena uma referência a um objeto do Active Directory em um repositório externo (por exemplo, um banco de dados como o Microsoft ® SQL Server ), o valor objectGUID deve ser usado. Ao contrário de um nome distinto ou um nome distinto relativo, que pode ser alterado, o GUID nunca muda.

Formatos de nome de diretório ativo

Vários formatos para fornecer nomes de objeto são suportados pelo Active Directory. Esses formatos acomodam as diferentes formas de que um nome pode tomar, dependendo de seu aplicativo de origem. As ferramentas administrativas do Active Directory exibem seqüências de caracteres de nome em um formato padrão, que é o nome canônico. Os seguintes formatos são suportados pelo Active Directory e baseiam-se no nome distinto do LDAP:

Nome distinto do LDAP. LDAP v2 e v3 LDAP reconhecem as convenções de nomenclatura 1779 RFC e RFC 2247, que tomar o formulário cn = nome comum, ou = unidade organizacional, o = organização, c = país/região. O Active Directory usa o componente de domínio (dc) em vez do = organização e não oferece suporte a c = país/região. No nome distinto do LDAP, os nomes distintos relativos aparecem na ordem começando da esquerda com o nome da folha e terminando no lado direito com o nome de raiz, como mostrado aqui:

CN = jsilva, UO = promoções, ou = marketing, dc = noam, dc = reskit, dc = com

LDAP Uniform Resource Locator (URL ) . O Active Directory suporta acesso através do protocolo LDAP de qualquer cliente habilitado para LDAP. URLs de LDAP são usados em processamento de scripts. Um URL LDAP nomeia o servidor com serviços do Active Directory e o nome do atributo do objeto (nome distinto). Por exemplo:

LDAP://Server1.Noam.reskit.com/CN=jsmith,ou=Promotions, ou = marketing, dc = noam, dc = reskit, dc = com

Active Directory nome canônico . Por padrão, a interface de usuário do Windows 2000 exibe nomes de objetos que usam o nome canônico, que lista os nomes distintos relativos da raiz para baixo e sem os descritores de atributo nomes RFC 1779; Ele usa o nome de domínio DNS (a forma do nome que os rótulos de domínio são separados por períodos). Para o nome distinto do LDAP no exemplo anterior, o respectivo nome canônico apareceria da seguinte forma:

Noam.reskit.com/marketing/promotions/jsmith

note-icon NotaSe o nome de uma unidade organizacional contém um caractere de barra (/), o sistema requer um caractere de escape sob a forma de uma barra invertida (\) para distinguir entre barras que separam elementos do nome canônico e a barra que é parte do nome da unidade organizacional. O nome canônico que aparece nas páginas de propriedades do Active Directory Users and Computers exibe o caractere de escape imediatamente anterior a barra em nome da unidade organizacional. Por exemplo, se o nome de uma unidade organizacional é promoções/nordeste e o nome do domínio é Reskit.com, o nome canônico é exibido como Reskit.com/Promotions\/Northeast.

DNS para LDAP distinguiu o mapeamento de nomes

Apesar de nomes de domínio DNS corresponderem a nomes de domínio do Active Directory, eles não são a mesma coisa. Nomes do Active Directory tem um formato diferente, o que é necessário por LDAP para identificar objetos de diretório. Nomes de domínio DNS, portanto, são mapeados para nomes de domínio do Active Directory e vice-versa, conforme descrito no RFC 2247.

Todo o acesso ao Active Directory é efectuado através de LDAP. LDAP usa nomes distintos para fornecer nomes exclusivos para objetos de diretório. cada objeto no Active Directory tem um nome distinto LDAP. Um nome distinto é uma estrutura de nomenclatura que consiste em uma seqüência de caracteres dos componentes hierárquicas que compõem o objeto completo. Cada componente de nome distinto é o nome distinto relativo de um objeto na hierarquia, começando com o próprio objeto e terminando com o objeto de raiz na árvore de domínio. Um algoritmo fornece automaticamente um nome distinto LDAP para cada nome de domínio DNS.

O algoritmo fornece um rótulo de atributo-tipo de componente (dc) do domínio para cada rótulo DNS no nome de domínio DNS. Cada etiqueta DNS corresponde ao nome distinto relativo de um domínio do Active Directory. Por exemplo, o noam.reskit.com de domínio DNS está traduzido para o nome distinto do LDAP que possui o formulário dc = noam, dc = reskit, dc = com.

Nomes de logon

Um nome de início de sessão único é exigido por entidades de segurança do usuário para obter acesso a um domínio e seus recursos. Objetos de segurança são objetos para que a segurança do Windows é aplicada sob a forma de autenticação e autorização. Os usuários são entidades de segurança, e eles são autenticados (sua identidade é verificada) no momento em que fizerem logon no domínio ou computador local. Eles são autorizados (permitido ou negado acesso) ao usar recursos.

Entidades de segurança do usuário tem dois tipos de nomes de logon:

Nome da conta de SAM . Um nome de conta SAM é um nome que é necessário para compatibilidade com o Windows NT 4. 0 e Windows NT 3. domíniosx . Nomes de conta SAM são às vezes referidos como nomes de planas (porque não há uma hierarquia na nomeação, portanto cada nome deve ser exclusivo no domínio). Esses termos servem para diferenciar esses nomes de nomes hierárquicos de DNS.

Nome Principal do usuário . Um nome principal do usuário (também conhecido como um “UPN”) é um nome “amigável” que é mais curto do que o nome distinto e mais fácil de lembrar. O nome principal do usuário consiste em um nome de taquigrafia que representa o usuário e, geralmente, o nome DNS do domínio onde reside o objeto de usuário ou qualquer outro nome designado.

O formato de nome principal do usuário consiste no nome de usuário, o sinal de “arroba” (@) e um sufixo de nome principal do usuário. Por exemplo, o usuário James Smith, que tem uma conta de usuário do domínio reskit.com, pode ter o nome principal do usuário JSmith@reskit.com. O nome principal do usuário é independente do nome distinto do objeto do usuário, assim que um objeto de usuário pode ser movido ou renomeado sem afetar o nome de logon do usuário.

O nome principal do usuário é um atributo ( userPrincipalName ) do objeto de segurança. Se userPrincipalName atributo de um objeto de usuário não tem nenhum valor, o objeto de usuário tem o nome de usuário padrão principal < userName > @ < Nome_de_domínio_dns >.

Se você não criar nenhum outro nome principal do usuário, o sufixo de nome principal do usuário para uma entidade de segurança é o domínio no qual a conta é criada (por exemplo, @ reskit.com). Você pode criar sufixos de nome principal do usuário adicionais e atribuí-los a segurança principais contas se você não quiser usar o nome de domínio padrão (por exemplo, se o nome de domínio DNS é extremamente longa e difícil de lembrar). O nome de email também pode ser usado como o sufixo de nome principal do usuário. Por exemplo, em uma grande organização que tem muitos domínios, o endereço de email de um usuário pode ser < userName > @ < companyName >. com.

Você pode gerenciar sufixos de nome principal do usuário para um domínio em domínios do Active Directory e relações de confiança de console no MMC. Para adicionar ou remover um sufixo de nome principal do usuário, abra as propriedades para os domínios do Active Directory e o nó de relações de confiança. Nomes principais de usuário são atribuídos no momento um usuário ou grupo é criado. Se você tiver criado sufixos adicionais para o domínio, você pode selecionar na lista de sufixos disponíveis quando você cria o usuário ou conta de grupo.

Os sufixos aparecem na lista na seguinte ordem:

  • Sufixos alternativos. Se você tiver criado sufixos adicionais, esse último que você criou aparece em primeiro lugar.
  • Domínio raiz.

  • O domínio atual.

Sobre Ulisses Poveda do Nascimento
Sou um rapaz comum com potencial, dedicado, atencioso e acima de tudo com respeito ao próximo. O Resto são qualidades que aprendi com a vida, com esforço e ainda estou em pleno desenvolvimento profissional e pessoal. ** Nunca paramos de Estudar e sempre em busca do Crescimento Pessoal e Profissional. **

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: