LDAP-Namen (Objektnamen)

Die Objekte in Active Directory sind Instanzen von im Schema definierten Klassen. Die einzelnen Klassen weisen Attribute auf, mit denen die folgenden Punkte sichergestellt werden:

  • Eindeutige Identifikation jedes Objekts (d. h. der Instanz einer Klasse) in einem Verzeichnisdatenspeicher
  • Abwärtskompatibilität mit den Sicherheitskennungen aus Windows NT 4.0 und früher
  • Kompatibilität mit LDAP-Standards für Verzeichnisobjektnamen

Sie können über verschiedene Namen auf die Objekte in Active Directory verweisen. Active Directory erstellt je einen relativ definierten Namen und einen kanonischen Namen für die einzelnen Objekte. Hierbei werden die Daten herangezogen, die bei der Erstellung oder Bearbeitung des Objekts angegeben wurden. Darüber hinaus können Sie über den definierten Namen auf ein Objekt verweisen. Dieser Name leitet sich aus dem relativ definierten Namen des Objekts und sämtlicher übergeordneten Containerobjekte ab.

  • Mit dem relativ definierten LDAP-Namen wird das Objekt im übergeordneten Container eindeutig identifiziert. Der relativ definierte LDAP-Name eines Computers mit der Bezeichnung "Arbeitsplatz" lautet CN=Arbeitsplatz. Relativ definierte Namen müssen eindeutig sein. Benutzer können demnach innerhalb einer Organisationseinheit einen Namen nur einmal verwenden.

  • Der definierte LDAP-Name ist global eindeutig. Der definierte Name eines Computers mit der Bezeichnung "Arbeitsplatz" in der Organisationseinheit "Organisationseinheit" in der Domäne "microsoft.com" lautet
    CN=Arbeitsplatz, OU=Organisationseinheit, DC=microsoft, DC=com

  • Der kanonische Name wird auf dieselbe Weise gebildet wie der definierte Name, weist jedoch eine andere Schreibweise auf. Der kanonische Name des Computers aus dem vorangegangenen Beispiel wäre Microsoft.com/Organisationseinheit/Arbeitsplatz.

Sicherheitsprinzipalobjekte sind Active Directory-Objekte mit einer Sicherheitskennung (Security ID, SID), die Sie beim Anmelden am Netzwerk nutzen können, und mit denen der Zugriff auf die Domänenressourcen möglich ist. Der Administrator muss die Namen für die Sicherheitsprinzipalobjekte (Benutzerkonten, Computerkonten und Gruppen) angeben, die innerhalb der Domäne eindeutig sind.

Organisationseinheiten zugeordnete Namen

Domänenbenutzerkonten zugeordnete Namen

Hinweis: Verfügt Ihre Organisation über mehrere Domänen, kann derselbe Benutzer- oder Computername in unterschiedlichen Domänen verwendet werden. Durch die Sicherheitskennung, den eindeutigen globalen Bezeichner, den definierten LDAP-Namen und den kanonischen Namen, die durch Active Directory erzeugt wurden, wird jeder Benutzer, jeder Computer und jede Gruppe in der Gesamtstruktur eindeutig identifiziert. Wenn das Sicherheitsprinzipalobjekt umbenannt oder in eine andere Domäne verschoben wird, ändern sich die Sicherheitskennung, der relativ definierte LDAP-Name, der definierte LDAP-Name und der kanonische Name. Der von Active Directory generierte eindeutige globale Bezeichner bleibt jedoch erhalten.