Windows 2003 Active Diretory全攻略（一）--目录服务

2、LDAP名称：分为两类。DN与RDN和标准名称

DN与RDN看下面便知：

用户RDN为：CN=FRANKIE KE。DN为：CN=FRANKIE KE，OU=SECT1。OU=PRODUCT，DC=MING，DC=COM，DC=TW。一般很少用DN访问对象。

标准名称：简化DN，如上例标准名称为：MING.COM.TW/PRODUCT/SECT1/FRANKIE KE

3.登录名称：用户一般使用两种：UPN（USER PRINCIPLE NAME）和SAN（SECURYTY ACCOUNT MANAGER）帐户名称。

UPN：在AD中，用户和组都可以有个UPN，格式与E-MAIL格式相同便于记忆。如MING@21CN.COM.用户利用这个来登录域。从中也可以看出缺点，管理员必需为每个用户一个独一无二的名称，可是UPN并不包含组织单位（OU）的名称，因此就无法使用域中的层次式管理了。

SAM：各用户对象都有一个SAM帐户名称，目的是为了与WINDOWS NT的域兼容，如SAM中名称如上例为MING。也可见其同样的缺点。

组在AD中的特性 ：注意这里的组不是组织单位。有三个特性：1、组可以跨越组织单位：组与AD集成，提供更佳的管理弹性，系统管理员可以将隶属不同组织单位的用户加入同一个组，然后再依旧设置权限。

2、组为安全性主体：03只能够心用户、组、与计算机等三者作为安全性主体，注意，就是说AD对象只能针对用户、组、计算机来设置权限，无法针对组织单位来设置，可见组的作用是对AD的补充，呵呵，不错。

3、组为非容器对象：组竟然是AD中的非容器对象，那么就会有人问它是怎么包含用户、计算机或者其它对象的呢。事实上从03域内层次式结构中是看不出哪些用户隶属于什么组的，因此在AD中组与用户彼此间没有从属关系，但实际现实世界中却有，组与用户之间有从属关系，组之间也能够形成某种非层次式嵌套关系，为什么它能够包含用户对象呢？因为组有一项特别的属性MEMBER，其记录了某个用户对象的DN，就代表该用户是这个组的成员。

本文出自 “yangming.com” 博客，请务必保留此出处http://ming228.blog.51cto.com/421298/93551

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!