Схемы именования объектов в Active Directory. Основные имена субъектов безопасности. Полные доменные имена.
Протокол LDAP предполагает единственный способ идентификации объектов в каталоге посредством отличительных имен. Однако служба каталога Active Directory позволяет использовать целый ряд дополнительных схем именования, каждая из которых применяется в определенных ситуациях.
Основные имена субъектов безопасности
Механизм основных имен (Security principal name, SPN) реализует способ именования объектов каталога, рассматриваемых подсистемой безопасности Windows Server 2003 в качестве своих субъектов. Основное имя субъекта системы безопасности определяется в качестве одного из атрибутов объекта каталога и имеет следующий формат:
<имя_субъекта>@<суффикс_основного_имени>
В качестве суффикса основного имени может выступать DNS-имя текущего или корневого домена. Возможно также применение альтернативных суффиксов, например, lex@ayan.ru или kaizer@khsu. Используемый для образования основного имени суффикс должен удовлетворять правилам построения доменных имен.
Применительно к объектам, ассоциированным с пользователями, следует говорить об основном имени пользователя (User Principal Name, UPN). Основное имя позволяет упростить процесс регистрации пользователей в сети на компьютерах, принадлежащих к различным доменам. Основное имя уникально в пределах леса доменов, поэтому для регистрации от пользователя не требуется указания домена, к которому он принадлежит. Ниже приводится пример основного имени пользователя:
lex@ayan.ru
Другой плюс использования основных имен для идентификации объектов заключается в том, что основное имя никоим образом не связано с его отличительным именем. Вследствие этого основное имя не меняется даже в случае перемещения объекта в рамках каталога.
Полные доменные имена
Полное доменное имя (Fully Qualified Domain Name, FQDN) используется для однозначной идентификации объектов в пространстве доменных имен. Полное доменное имя образуется в соответствии с соглашениями о доменных именах. В рамках службы каталога механизм полных доменных имен используется для идентификации доменов и принадлежащих им компьютеров. Применительно к компьютеру полное доменное имя состоит из имени компьютера и имени домена. Ниже приводится пример полного доменного имени для компьютера root, являющегося частью домена khsu .ru:
root.khsu.ru