Учетные записи InetOrgPerson

Active Directory обеспечивает поддержку класса объектов InetOrgPerson и их атрибутов, определенных в RFC 2798. Класс объектов InetOrgPerson используется в некоторых службах каталогов сторонних разработчиков LDAP и X.500 для представления пользователей внутри организации.

Поддержка InetOrgPerson повышает эффективность миграции из других каталогов LDAP в Active Directory. Объект InetOrgPerson создан на основе класса пользователя и может быть использован как принцип безопасности наравне с ним. Сведения о создании учетной записи inetOrgPerson см. в разделе Создание новой учетной записи пользователя.

Когда функциональный уровень домена установлен в режиме Windows Server 2003, появляется возможность установить в InetOrgPerson и объектах user атрибут userPassword в качестве эффективного пароля, так же, как это можно сделать с атрибутом unicodePwd.

Учетные записи компьютеров

Каждый компьютер, работающий под управлением Windows NT, Windows 2000, Windows XP;, или сервер под управлением Windows Server 2003, который присоединяется к домену, имеет учетную запись компьютера. Так же, как и учетные записи пользователей, учетные записи компьютеров предоставляют возможность проверки подлинности и аудита доступа компьютера к сети и к ресурсам домена. Учетная запись компьютера должна быть уникальной.

Примечание. Компьютеры с операционными системами Windows 95 и Windows 98 не имеют дополнительных функций безопасности и им не могут быть назначены учетные записи компьютеров.

Учетные записи компьютеров и пользователей добавляются, отключаются, восстанавливаются и удаляются с помощью оснастки Active Directory — пользователи и компьютеры. Учетная запись компьютера может быть создана при подключении компьютера к домену. Дополнительные сведения об учетных записях пользователей и компьютеров см. в разделах Именование в Active Directory и Имена объектов.

Когда функциональный уровень домена установлен в режиме Windows Server 2003, появляется новый атрибут lastLogonTimestamp. Он используется для отслеживания времени последнего входа для учетных записей пользователей или компьютеров. Этот атрибут реплицируется в домене и дает возможность получать необходимую информацию при просмотре журналов пользователя или компьютера.

 

 

Имена объектов

Имена объектов

Каждый объект в Active Directory представляет собой экземпляр класса, определенного в схеме. У каждого класса есть атрибуты, гарантирующие следующее.

• Уникальность идентификации каждого объекта (экземпляра класса) в хранилище данных каталога.
• Обратную совместимость с кодами безопасности, используемыми в Windows NT 4.0 и более ранних версиях.
• Совместимость имен объектов каталога со стандартами LDAP.

Дополнительные сведения о схеме, классах и атрибутах см. в разделе Схема.

Каждый объект в Active Directory может иметь несколько различных имен. Active Directory создает относительное различающееся имя и каноническое имя для каждого объекта на основе сведений, предоставляемых во время создания или изменения объекта. К каждому объекту можно обращаться по различающемуся имени, которое создается из относительного различающегося имени объекта и всех его родительских объектов-контейнеров.

• Относительное различающееся имя LDAP уникально идентифицирует объект в пределах его родительского контейнера. Пример относительного различающегося имени LDAP компьютера: CN=компьютер, где «компьютер» — имя компьютера. Относительные различающиеся имена должны быть уникальными, чтобы пользователи не могли использовать одно и тоже имя внутри подразделения.
• Различающееся имя LDAP является глобально уникальным. Пример различающегося имени: CN=компьютер, OU=подразделение, DC=microsoft, DC=com, где компьютер — имя компьютера, подразделение — название подразделения, microsoft.com — домен, которому принадлежит компьютер.
• Каноническое имя составляется так же, как и различающееся имя, но представляется другой записью. Каноническим именем компьютера для предыдущего примера будет Microsoft.com/Подразделение/компьютер, где компьютер — имя компьютера, подразделение — название подразделения, microsoft.com — домен, которому принадлежит компьютер.

Основные объекты-участники безопасности являются объектами Active Directory, которым присвоены коды безопасности (SID), и которые могут использоваться для входа в сеть, а также им может быть предоставлен доступ к ресурсам домена. Администратору необходимо назначить объектам-участникам безопасности (учетным записям пользователей и компьютеров и группам) имена, уникальные в пределах домена.

Рассмотрим, что происходит при добавлении в каталог новой учетной записи пользователя. Пользователю назначается имя, под которым он должен входить в сеть, имя домена, содержащего учетную запись данного пользователя и другие сведения, такие, как имя, фамилия, номер телефона и т. п., называемые атрибутами. Все эти сведения записываются в каталог.

Имена объектов-участников безопасности могут содержать все символы кодировки Юникод, кроме специальных символов LDAP, определенных в RFC 2253. Список специальных символов включает пробел, конечные пробел и следующие символы: #, + " \ < >;

Имена участников безопасности должны удовлетворять следующим правилам.

 

Тип имени учетной записи	Максимальный размер	Особые ограничения
Учетная запись пользователя	На компьютерах под управлением Windows Server 2003 и Windows 2000 в качестве учетной записи пользователя можно использовать основное имя пользователя (UPN). На компьютерах с Windows NT версии 4.0 и более ранними версиями максимальный размер составляет 20 символов или 20 байтов в зависимости от набора символов, отдельные символы могут требовать более одного байта.	Учетная запись пользователя не может целиком состоять из точек (.) или пробелов, а также оканчиваться точкой. Все стоящие в начале точки и пробелы обрезаются. На компьютерах с Windows NT 4.0 и более ранними версиями не поддерживается использование символа @ в формате входа в систему, который представляет собой имя_домена \ имя_пользователя. В системе Windows 2000 имена для входа являются уникальными в пределах домена, а в системе Windows Server 2003 — в пределах леса.
Учетная запись компьютера	NetBIOS = 15 символов или 15 байтов в зависимости от набора символов, отдельные символы могут требовать более одного байта. DNS = 63 символа или 63 байта в зависимости от набора символов, и 255 символов для полного доменного имени (FQDN), отдельные символы могут требовать более одного байта.	Учетная запись компьютера не может целиком состоять из цифр, точек (.) или пробелов. Все стоящие в начале точки и пробелы обрезаются.
Учетная запись группы	63 символа, или 63 байта, в зависимости от набора символов, отдельные символы могут требовать более одного байта.	Учетная запись группы не может целиком состоять из цифр, точек (.) или пробелов. Все стоящие в начале точки и пробелы обрезаются.

Примечание

• Если стандартные установки безопасности были изменены администратором, то возможно использование имен компьютеров с длиной более 15 символов. Дополнительные сведения см. в разделе Именование в Active Directory.

На основе сведений, предоставленных при создании объекта-участника безопасности, Active Directory создает код безопасности (SID) и глобальный уникальный код, используемый для идентификации участника безопасности. Active Directory также создает относительное различающееся имя LDAP на основе имени участника безопасности. Различающееся имя LDAP и каноническое имя создаются из относительного различающегося имени и имен контекстов домена и контейнера, в котором создан объект-участник безопасности.

Если в организации есть несколько доменов, возможно использование одинаковых имен пользователей и компьютеров в разных доменах. Созданные Active Directory код безопасности SID, глобальный уникальный код, различающееся имя LDAP и каноническое имя однозначно идентифицируют пользователя, компьютер или группу в составе леса. При переименовании объекта-участника безопасности или перемещении его в другой домен изменятся его код безопасности SID, относительное различающееся имя LDAP, различающееся имя LDAP и каноническое имя, не меняется только глобальный уникальный код SID, созданный Active Directory.

Объекты-участники безопасности, такие как учетные записи пользователей, могут быть переименованы, перемещены или могут содержаться во вложенной иерархии доменов. Чтобы уменьшить влияние переименования, перемещения или назначения имен учетных записей пользователей во вложенной иерархии доменов, Active Directory предоставляет метод упрощения имен пользователей. Сведения об именах пользователей см. в разделах Именование в Active Directory, Добавление суффиксов имени участника-пользователя и Учетные записи пользователей и компьютеров.

 

 

Подразделения

Подразделения

Подразделение представляет собой особенно полезный тип объекта каталога, содержащийся внутри доменов. Подразделениями называются контейнеры Active Directory, в которые можно помещать пользователей, группы, компьютеры и другие подразделения. Подразделение не может содержать объекты из других доменов.

Подразделение является наименьшей областью или единицей, которой можно назначить параметры групповой политики или делегировать административные права. С помощью подразделения в домене можно создавать контейнеры, отражающие иерархическую и логическую структуры внутри организации. Можно управлять конфигурацией, а также использовать учетные записи и ресурсы основанные на модели организации. Дополнительные сведения о параметрах групповой политики см. в разделе Групповая политика (до консоли управления групповой политикой).

Как показано на рисунке, подразделения могут иметь в своем составе другие подразделения. Иерархия контейнеров при необходимости может быть расширена для моделирования иерархической структуры организации в пределах домена. Использование подразделений помогает минимизировать количество доменов, необходимых для сети.

Можно использовать подразделения для создания административной модели, масштабируемой до любого размера. Пользователь может иметь административные права для одного или для всех подразделений в домене. Администратору подразделения не требуются административные права для других подразделений того же домена. Дополнительные сведения о делегировании административных прав см. в разделе Делегирование администрирования.