Active Diretory 全攻略（一）－－目录服务

核心提示： AD对象名称：用户是通过AD服务来访问目录中对象所对应的资源，所以要正确指定对象名，Active Diretory 全攻略（一）－－目录服务(3)，才能识别，以下为不同名称格式对应不同的场合，其记录了某个用户对象的DN，就代表该用户是这个组的成员，1、SID（SECURITY ID)安全标

AD对象名称：用户是通过AD服务来访问目录中对象所对应的资源，所以要正确指定对象名，才能识别。以下为不同名称格式对应不同的场合。

1、SID（SECURITY ID)安全标识，在03中，有安全性主体，其中包括用户帐户、计算机帐户、与组等三种对象，给每个安全性主体一个独一无二的SID，在每一个对象中的ACL就记载了SID具有何种权限。

注：一般管理工作不会直接使用SID，但注意比如删除某帐户后再重新建立同名帐户时，新建的帐户就不会有原先帐户的权限了。这就是因为有着不同的SID了，权限设置要通过SID来判断身份的。。经常我们会复制系统时无法再加入域，就是复制的同时SID也变成同样了。

2、LDAP名称：分为两类。DN与RDN和标准名称

DN与RDN看下面便知：

用户RDN为：CN=FRANKIE KE。DN为：CN=FRANKIE KE，OU=SECT1。OU=PRODUCT，DC=MING，DC=COM，DC=TW。一般很少用DN访问对象。

标准名称：简化DN，如上例标准名称为：MING.COM.TW/PRODUCT/SECT1/FRANKIE KE

3.登录名称：用户一般使用两种：UPN（USER PRINCIPLE NAME）和SAN（SECURYTY ACCOUNT MANAGER）帐户名称。

UPN：在AD中，用户和组都可以有个UPN，格式与E-MAIL格式相同便于记忆。如MING@21CN.COM.用户利用这个来登录域。从中也可以看出缺点，管理员必需为每个用户一个独一无二的名称，可是UPN并不包含组织单位（OU）的名称，因此就无法使用域中的层次式管理了。

SAM：各用户对象都有一个SAM帐户名称，目的是为了与WINDOWS NT的域兼容，如SAM中名称如上例为MING。也可见其同样的缺点。

组在AD中的特性 ：注意这里的组不是组织单位。有三个特性：1、组可以跨越组织单位：组与AD集成，提供更佳的管理弹性，系统管理员可以将隶属不同组织单位的用户加入同一个组，然后再依旧设置权限。

2、组为安全性主体：03只能够心用户、组、与计算机等三者作为安全性主体，注意，就是说AD对象只能针对用户、组、计算机来设置权限，无法针对组织单位来设置，可见组的作用是对AD的补充，呵呵，不错。

3、组为非容器对象：组竟然是AD中的非容器对象，那么就会有人问它是怎么包含用户、计算机或者其它对象的呢。事实上从03域内层次式结构中是看不出哪些用户隶属于什么组的，因此在AD中组与用户彼此间没有从属关系，但实际现实世界中却有，组与用户之间有从属关系，组之间也能够形成某种非层次式嵌套关系，为什么它能够包含用户对象呢？因为组有一项特别的属性MEMBER，其记录了某个用户对象的DN，就代表该用户是这个组的成员。

本文出自 “yangming.com” 博客，请务必保留此出处http://ming228.blog.51cto.com/421298/93551