AD_Active_Directory

Denominazione degli oggetti

20 Maggio 2022
Luca Angeli
()


Nome distinto

Gli oggetti si trovano all’interno dei domini di Active Directory in base a un percorso gerarchico, che include le etichette del nome di dominio di Active Directory e ogni livello di oggetti contenitore. Il percorso completo dell’oggetto è definito dal nome distinto (noto anche come “DN”). Il nome dell’oggetto stesso, separato dal percorso dell’oggetto, è definito dal nome distinto relativo.

Il nome distinto è univoco (identifica un solo oggetto) e univoco (nessun altro oggetto nella directory ha questo nome). Utilizzando il percorso completo di un oggetto, incluso il nome dell’oggetto e tutti gli oggetti padre alla radice del dominio, il nome distinto identifica un oggetto in modo univoco e non ambiguo all’interno di una gerarchia di dominio. Contiene informazioni sufficienti per consentire a un client LDAP di recuperare le informazioni sull’oggetto dalla directory.

Ad esempio, un utente di nome James Smith lavora nel reparto marketing di un’azienda come coordinatore delle promozioni. Pertanto, il suo account utente viene creato in un’unità organizzativa che memorizza gli account per i dipendenti del reparto marketing che sono impegnati in attività promozionali. L’identificatore utente di James Smith è JSmith e lavora nella filiale nordamericana dell’azienda. Il dominio principale dell’azienda è reskit.com e il dominio locale è noam.reskit.com. Il diagramma nella Figura 1.10 illustra i componenti che costituiscono il nome distinto dell’oggetto utente JSmith nel dominio noam.reskit.com.

Gli strumenti snap-in di Active Directory non visualizzano le abbreviazioni LDAP per il componente di dominio degli attributi di denominazione (dc=), l’unità organizzativa (ou=), il nome comune (cn=) e così via. Queste abbreviazioni vengono mostrate solo per illustrare come LDAP riconosce le parti del nome distinto. La maggior parte degli strumenti di Active Directory visualizza i nomi degli oggetti in forma canonica, come descritto più avanti in questo capitolo. Poiché i nomi distinti sono difficili da ricordare, è utile disporre di altri mezzi per recuperare gli oggetti. Active Directory supporta l’esecuzione di query per attributo (ad esempio, il numero di edificio in cui è necessario trovare una stampante), quindi è possibile trovare un oggetto senza dover conoscere il nome distinto.

Nome distinto relativo

Il nome distinto relativo (noto anche come “RDN”) di un oggetto è la parte del nome che è un attributo dell’oggetto stesso: la parte del nome dell’oggetto che identifica questo oggetto come unico rispetto ai suoi fratelli al livello attuale nella gerarchia dei nomi. Nella Figura 1.10, nella sezione precedente, il nome distinto relativo dell’oggetto è JSmith. Il nome distinto relativo dell’oggetto padre è Utenti. La lunghezza massima consentita per un nome distinto relativo è 255 caratteri, ma gli attributi hanno limiti specifici imposti dallo schema di directory. Ad esempio, nel caso del nome comune, che è il tipo di attributo spesso utilizzato per denominare il nome distinto relativo (cn), il numero massimo di caratteri consentito è 64.

I nomi distinti relativi di Active Directory sono univoci all’interno di un padre specifico, ovvero Active Directory non consente due oggetti con lo stesso nome distinto relativo nello stesso contenitore padre. Tuttavia, due oggetti possono avere nomi distinti relativi identici ma essere comunque univoci nella directory perché all’interno dei rispettivi contenitori padre, i loro nomi distinti non sono gli stessi. (Ad esempio, l’oggetto cn=JSmith,dc=noam,dc=reskit,dc=com è riconosciuto da LDAP come diverso da cn=JSmith,dc=reskit,dc=com.)

Il nome distinto relativo per ogni oggetto viene archiviato nel database di Active Directory. Ogni record contiene un riferimento al padre dell’oggetto. Seguendo i riferimenti alla radice, l’intero nome distinto viene costruito durante un’operazione LDAP. (Per ulteriori informazioni sulle operazioni LDAP, vedere “Risoluzione dei nomi in Active Directory” in questo libro.)

Attributi di denominazione

Come illustrato in precedenza in questa sezione, un nome oggetto è costituito da una serie di nomi distinti relativi che rappresentano l’oggetto stesso e anche ogni oggetto nella gerarchia sopra di esso, fino all’oggetto radice. Ciascuna parte del nome distinto è espressa come attribute_type=value (ad esempio, cn=JSmith). Il tipo di attributo utilizzato per descrivere il nome distinto relativo dell’oggetto (in questo caso, cn=) è chiamato attributo di denominazione. Se dovessi creare una nuova classe nello schema di Active Directory (ovvero un nuovo oggetto classSchema ), il RdnAttID facoltativoattributo può essere utilizzato per specificare l’attributo di denominazione per la classe. In Active Directory, le istanze degli oggetti predefiniti creati dall’utente hanno un attributo di denominazione obbligatorio predefinito. Ad esempio, parte della definizione della classe User è l’attributo cn (Common-Name) come attributo di denominazione. Per questo motivo, il nome distinto relativo per l’utente JSmith è espresso come cn=JSmith.

Gli attributi di denominazione mostrati nella tabella 1.1 vengono utilizzati in Active Directory, come descritto nella RFC 2253.

Tabella   1.1 Attributi di denominazione di Active Directory predefiniti

Classe di oggettiNome visualizzato dell’attributo di denominazioneAttributo di denominazione Nome LDAP
utenteNome comunecn
unità organizzativaNome dell’unità organizzativatu
dominioDominio-Componentedc

Altri attributi di denominazione descritti in RFC 2253, come o= per il nome dell’organizzazione e c= per il nome del paese/regione, non vengono utilizzati in Active Directory, sebbene siano riconosciuti da LDAP.

L’uso di nomi distinti, nomi distinti relativi e attributi di denominazione è richiesto solo quando si programma per LDAP e si utilizza ADSI (Active Directory Service Interfaces) o altri linguaggi di programmazione o script. L’interfaccia utente di Windows 2000 non richiede l’immissione di tali valori.

Identità e Unicità dell’oggetto

Oltre al nome distinto, ogni oggetto in Active Directory ha un’identità univoca. Active Directory è basato sull’identità, ovvero gli oggetti sono internamente conosciuti in base alla loro identità, non in base al nome corrente. Gli oggetti possono essere spostati o rinominati, ma la loro identità non cambia mai. L’identità di un oggetto è definita da un identificatore univoco globale (GUID), un numero a 128 bit assegnato dall’agente del sistema di directory al momento della creazione dell’oggetto. Il GUID è memorizzato in un attributo, objectGUID , presente su ogni oggetto. L’ attributo objectGUID è protetto in modo che non possa essere modificato o rimosso. Quando si archivia un riferimento a un oggetto di Active Directory in un archivio esterno (ad esempio un database come Microsoft® SQL Server™), l’oggetto GUIDdovrebbe essere utilizzato il valore. A differenza di un nome distinto o di un nome distinto relativo, che può essere modificato, il GUID non cambia mai.

Formati dei nomi di Active Directory

Diversi formati per fornire i nomi degli oggetti sono supportati da Active Directory. Questi formati si adattano alle diverse forme che un nome può assumere, a seconda della sua applicazione di origine. Gli strumenti di amministrazione di Active Directory visualizzano le stringhe dei nomi in un formato predefinito, ovvero il nome canonico. I seguenti formati sono supportati da Active Directory e si basano sul nome distinto LDAP:

Nome distinto LDAP. LDAP v2 e LDAP v3 riconoscono le convenzioni di denominazione RFC 1779 e RFC 2247, che assumono la forma cn=nome comune, ou=unità organizzativa, o=organizzazione, c=paese/regione. Active Directory utilizza il componente di dominio (dc) invece di o=organizzazione e non supporta c=paese/regione. Nel nome distinto LDAP, i nomi distinti relativi compaiono in ordine iniziando a sinistra con il nome della foglia e terminando a destra con il nome della radice, come mostrato qui:

cn=jsmith,ou=promozioni,ou=marketing,dc=noam,dc=reskit,dc=com

Localizzatore di risorse uniforme (URL ) LDAP Active Directory supporta l’accesso tramite il protocollo LDAP da qualsiasi client abilitato per LDAP. Gli URL LDAP vengono utilizzati negli script. Un URL LDAP denomina il server che contiene i servizi di Active Directory e il nome attribuito dell’oggetto (il nome distinto). Per esempio:

LDAP://server1.noam.reskit.com/cn=jsmith,ou=promozioni, ou=marketing,dc=noam,dc=reskit,dc=com

Nome canonico di Active Directory . Per impostazione predefinita, l’interfaccia utente di Windows 2000 visualizza i nomi degli oggetti che utilizzano il nome canonico, che elenca i nomi distinti relativi dalla radice in giù e senza i descrittori di attributo di denominazione RFC 1779; utilizza il nome di dominio DNS (la forma del nome in cui le etichette di dominio sono separate da punti). Per il nome distinto LDAP nell’esempio precedente, il rispettivo nome canonico apparirà come segue:

noam.reskit.com/marketing/promotions/jsmith

Se il nome di un’unità organizzativa contiene una barra (/), il sistema richiede un carattere di escape sotto forma di barra rovesciata (\) per distinguere tra le barre che separano gli elementi del nome canonico e la barra che fa parte del nome dell’unità organizzativa. Il nome canonico visualizzato nelle pagine delle proprietà Utenti e computer di Active Directory visualizza il carattere di escape immediatamente prima della barra nel nome dell’unità organizzativa. Ad esempio, se il nome di un’unità organizzativa è Promozioni/Nordest e il nome del dominio è Reskit.com, il nome canonico viene visualizzato come Reskit.com/Promozioni\/Nordest.

Mappatura di nomi distinti da DNS a LDAP

Sebbene i nomi di dominio DNS corrispondano ai nomi di dominio di Active Directory, non sono la stessa cosa. I nomi di Active Directory hanno un formato diverso, richiesto da LDAP per identificare gli oggetti di directory. I nomi di dominio DNS sono quindi mappati ai nomi di dominio di Active Directory e viceversa, come descritto nella RFC 2247.

Tutti gli accessi ad Active Directory vengono effettuati tramite LDAP. LDAP utilizza nomi distinti per fornire nomi univoci agli oggetti directory; ogni oggetto in Active Directory ha un nome distinto LDAP. Un nome distinto è una struttura di denominazione che consiste in una stringa di componenti gerarchici che costituiscono l’oggetto completo. Ciascun componente del nome distinto è il nome distinto relativo di un oggetto nella gerarchia, che inizia con l’oggetto stesso e termina con l’oggetto radice nella struttura del dominio. Un algoritmo fornisce automaticamente un nome distinto LDAP per ogni nome di dominio DNS.

L’algoritmo fornisce un’etichetta del tipo di attributo del componente di dominio (dc) per ciascuna etichetta DNS nel nome di dominio DNS. Ogni etichetta DNS corrisponde al nome distinto relativo di un dominio Active Directory. Ad esempio, il dominio DNS noam.reskit.com viene convertito nel nome distinto LDAP che ha la forma dc=noam,dc=reskit,dc=com.

Nomi di accesso

Un nome di accesso univoco è richiesto dalle entità di sicurezza utente per ottenere l’accesso a un dominio e alle relative risorse. Le entità di sicurezza sono oggetti a cui viene applicata la sicurezza di Windows sotto forma di autenticazione e autorizzazione. Gli utenti sono entità di sicurezza e vengono autenticati (la loro identità viene verificata) nel momento in cui accedono al dominio o al computer locale. Sono autorizzati (accesso consentito o negato) quando utilizzano le risorse.

Le entità di sicurezza utente hanno due tipi di nomi di accesso:

Nome account SAM . Un nome account SAM è un nome necessario per la compatibilità con i domini Windows NT 4.0 e Windows NT 3. x . I nomi degli account SAM sono talvolta indicati come nomi semplici (perché non esiste una gerarchia nella denominazione, quindi ogni nome deve essere univoco nel dominio). Questi termini servono a differenziare questi nomi dai nomi gerarchici DNS.

Nome principale utente . Un nome principale utente (noto anche come “UPN”) è un nome “descrizione” più breve del nome distinto e più facile da ricordare. Il nome principale utente è costituito da un nome abbreviato che rappresenta l’utente e di solito il nome DNS del dominio in cui risiede l’oggetto utente o qualsiasi altro nome designato.

Il formato del nome dell’entità utente è costituito dal nome utente, dal segno “at” (@) e da un suffisso del nome dell’entità utente. Ad esempio, l’utente James Smith, che dispone di un account utente nel dominio reskit.com, potrebbe avere il nome principale utente JSmith@reskit.com. Il nome principale utente è indipendente dal nome distinto dell’oggetto utente, pertanto un oggetto utente può essere spostato o rinominato senza influire sul nome di accesso dell’utente.

Il nome dell’entità utente è un attributo ( userPrincipalName ) dell’oggetto dell’entità di sicurezza. Se di un oggetto utente userPrincipalName attributo non ha alcun valore, l’oggetto utente ha il nome principale utente predefinito < username > @ < DnsDomainName >.

Se non crei un altro nome dell’entità utente, il suffisso del nome dell’entità utente per un’entità di sicurezza è il dominio in cui viene creato l’account (ad esempio, @reskit.com). È possibile creare suffissi del nome dell’entità utente aggiuntivi e assegnarli agli account dell’entità di sicurezza se non si desidera utilizzare il nome di dominio predefinito (ad esempio, se il nome di dominio DNS è estremamente lungo e difficile da ricordare). Il nome e-mail può essere utilizzato anche come suffisso del nome principale utente. Ad esempio, in una grande organizzazione che ha molti domini, l’indirizzo e-mail di un utente potrebbe essere < nomeutente >@< nomeazienda >.com.

È possibile gestire i suffissi dei nomi delle entità utente per un dominio nella console dei domini e dei trust di Active Directory in MMC. Per aggiungere o rimuovere un suffisso del nome dell’entità utente, aprire le proprietà per il nodo Active Directory Domains and Trusts. I nomi delle entità utente vengono assegnati al momento della creazione di un utente o di un gruppo. Se hai creato suffissi aggiuntivi per il dominio, puoi selezionarli dall’elenco dei suffissi disponibili quando crei l’account utente o gruppo.

I suffissi vengono visualizzati nell’elenco nel seguente ordine:

  • Suffissi alternativi. Se hai creato suffissi aggiuntivi, viene visualizzato per primo l’ultimo che hai creato.
  • Dominio principale.
  • Il dominio corrente.

Per ulteriori informazioni sulla creazione dei nomi delle entità utente, vedere la Guida di Windows 2000 Server.

/ 5
Grazie per aver votato!

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Mappa del Sito - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario