Основы работы в сети. Часть 10. Отличительные имена

Опубликовано: 23 Марта, 2023

  • Основы работы в сети, часть 11: консоль пользователей и компьютеров Active Directory
  • Основы работы в сети. Часть 12. Управление учетными записями пользователей
  • Основы работы в сети. Часть 13. Создание групп
  • Основы работы в сети. Часть 14. Группы безопасности
  • Основы работы в сети. Часть 15. Универсальные группы и вложение групп
  • Основы работы в сети: Часть 16. Роль операционной системы Windows в сети
  • Основы работы в сети. Часть 17. Модель OSI
  • Основы работы в сети. Часть 18. Совместное использование ресурсов
  • Основы работы в сети. Часть 19. Разрешения на уровне общего доступа

В предыдущей части этой серии статей я объяснил, что протокол LDAP ссылается на объекты в Active Directory по их отличительному имени и что каждый объект в каталоге имеет свое собственное уникальное отличительное имя. В этой статье я хочу продолжить обсуждение, объяснив, как работают различающиеся имена.

Прежде чем я начну

Прежде чем я начну, я просто хочу напомнить вам, что различающиеся имена не уникальны для Active Directory. Microsoft создала Active Directory, чтобы воспользоваться отраслевыми стандартами, которые используются другими компаниями, такими как Novell и IBM. Изучив, как работают отличительные имена, вы не только будете лучше подготовлены к управлению средой Active Directory, но также будете в некоторой степени знакомы, если вам когда-либо будет предложено работать с сетевой операционной системой, отличной от Microsoft.

Основные правила именования

Отличительные имена состоят из атрибутов, которым присваиваются значения. Одно различающееся имя почти всегда содержит несколько пар значений атрибутов. Чтобы понять, о чем я говорю, давайте посмотрим на простое отличительное имя:

В этом конкретном примере различающееся имя состоит из четырех разных пар атрибут/значение, каждая из которых разделена запятой. Первая пара атрибут/значение — CN=USER1. В этой паре атрибут/значение CN (расшифровывается как Common Name) является атрибутом, а User1 — значением. Атрибуты и значения всегда разделяются знаком равенства, а пары атрибут/значение всегда отделяются друг от друга запятыми.

Относительные отличительные имена

Когда вы смотрите на различающееся имя, такое как CN=User1, CN=Users, DC=Contoso, DC=com, одна вещь, вероятно, сразу становится очевидной; выдающиеся имена могут быть очень длинными. Если вы внимательно посмотрите на это выдающееся имя, то заметите, что оно иерархично. В данном конкретном случае DC=com представляет самый высокий уровень иерархии. DC=Contoso представляет второй уровень иерархии. Вы можете сказать, что COM и Contoso являются доменами, потому что оба используют атрибут DC. Иерархия доменов имитирует иерархию доменов, используемую DNS-серверами (вы узнали об иерархии DNS ранее в этой серии).

Понять, как работает иерархия различающихся имен, важно по двум причинам. Во-первых, благодаря пониманию иерархии именования становится возможным точно знать, где в каталоге находится тот или иной объект. Другая причина, по которой важно понимать природу иерархии каталогов, заключается в том, что иногда вместо полного отличительного имени используются ярлыки.

Чтобы понять, о чем я говорю, давайте еще раз взглянем на наш пример различающегося имени: CN=User1, CN=Users, DC=Contoso, DC=com. Это отличительное имя просто относится к учетной записи пользователя (более точно известной как пользовательский объект) с именем User1. Остальная информация в различающемся имени просто сообщает нам позицию объекта в иерархии каталогов.

Если бы вы пытались рассказать другому человеку об этом объекте, вы, вероятно, небрежно назвали бы его User1. Иногда LDAP делает то же самое. Это возможно, потому что нет необходимости предоставлять информацию о расположении объекта в иерархии, если это местоположение уже известно.

Например, если мы выполняем какую-либо операцию с объектами пользователей, расположенными в контейнере Users в домене Contoso.com, действительно ли необходимо явно указывать, что каждый отдельный объект находится в контейнере Users домена Contoso.com?

В подобных ситуациях различающееся имя часто заменяется относительным отображаемым именем (сокращенно RDN). В случае CN=User1, CN=Users, DC=Contoso, DC=com RDN — это CN=User1. RDN всегда состоит из наиболее конкретного идентификатора. Это будет самая левая пара атрибут/значение в различающемся имени. Оставшаяся часть отличительного имени известна как родительское отличительное имя. В этом конкретном случае родительское различающееся имя будет CN=Users, DC=Contoso, DC=com.

Прежде чем двигаться дальше, я хочу отметить, что Microsoft имеет тенденцию использовать несколько иной формат отличительного имени, чем некоторые другие производители сетевых операционных систем. Как вы уже видели, отличительные имена Microsoft, как правило, основаны на контейнерах и доменах. В этом формате определенно нет ничего плохого, потому что он соответствует RFC 2253, который устанавливает правила для отличительных имен.

Некоторые другие сетевые операционные системы склонны основывать свои иерархии выдающихся имен на компаниях и странах, а не на контейнерах и доменах. В этих типах отличительных имен атрибут О используется для обозначения названия организации (компании), а буква С используется для обозначения названия страны. При использовании этого соглашения об именовании различающееся имя CN=User1, CN=Users, DC=Contoso, DC=com будет выглядеть примерно так:

Имейте в виду, что оба формата соответствуют RFC 2253, но их нельзя использовать взаимозаменяемо. Помните, что задачей отличительного имени является описание объекта и его положения в каталоге. Причина двух разных форматов различающихся имен заключается в том, что Microsoft структурирует свой каталог иначе, чем некоторые из их конкурентов.

Специальные символы в отличительных именах

До сих пор вы видели, что запятые и знаки равенства имеют особое значение в контексте отличительного имени. Есть несколько других символов, которые также имеют особое значение. Эти символы включают знак плюс, знаки больше и меньше, знак числа, обратную косую черту и кавычки. Я не собираюсь освещать большинство из них, потому что вам редко, если вообще когда-либо, придется использовать их в реальной жизни.

Однако я хочу поговорить о обратной косой черте. Обратная косая черта позволяет указать оператору LDAP игнорировать следующий символ. Это позволяет вам хранить запрещенные символы в вашем каталоге.

Чтобы увидеть, как это можно использовать, учтите, что полные имена часто записываются как фамилия, имя, запятая. Несмотря на это, LDAP не позволяет вам использовать оператор CN=Smith, John, потому что запятая используется LDAP для разделения пар атрибут/значение. Если вы хотите сохранить значение Smith, John в каталоге, вы можете сделать это, используя обратную косую черту, как показано ниже:

В приведенном выше утверждении обратная косая черта указывает LDAP рассматривать запятую как данные, а не как часть синтаксиса команды. Другой способ сделать это — заключить все значение атрибута в кавычки. Все, что заключено в кавычки, рассматривается как данные, а не как часть синтаксиса.

Существует специальное правило относительно использования обратной косой черты в кавычках. Обратная косая черта может использоваться только для того, чтобы заставить LDAP игнорировать другую обратную косую черту. Проще говоря, если вам нужно включить обратную косую черту как часть данных, вы просто используете две обратные косые черты вместо одной. Любое другое использование обратной косой черты между кавычками считается незаконным.

Вывод

Как видите, правила создания отличительного имени могут быть немного сложными. Тем не менее, базовое понимание отличительных имен является ключом к эффективному управлению средой Active Directory. В части 11 я продолжу обсуждение, продемонстрировав некоторые инструменты управления Active Directory.

  • Основы работы в сети, часть 11: консоль пользователей и компьютеров Active Directory
  • Основы работы в сети. Часть 12. Управление учетными записями пользователей
  • Основы работы в сети. Часть 13. Создание групп
  • Основы работы в сети. Часть 14. Группы безопасности
  • Основы работы в сети. Часть 15. Универсальные группы и вложение групп
  • Основы работы в сети: Часть 16. Роль операционной системы Windows в сети
  • Основы работы в сети. Часть 17. Модель OSI
  • Основы работы в сети. Часть 18. Совместное использование ресурсов
  • Основы работы в сети. Часть 19. Разрешения на уровне общего доступа
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023