Протокол LDAP
В основе протокола службы каталогов (Directory Service Protocol), который используется в AD DS, лежит стандартный Интернет-протокол LDAP, определение которого содержится в документе RFC-3377. Протокол LDAP обеспечивает в AD DS возможность выполнения запросов и внесения изменений. Объекты, размещаемые в совместимых с LDAP каталогах, должны обязательно идентифицироваться уникальным образом за счет применения указывающих на их месторасположение путей именования. Эти пути именования могут принимать две формы: отличительные и относительные отличительные имена.
Отличительные имена
Отличительное имя (distinguished name) объекта в AD DS представляет собой полный именованный путь к тому месту, которое данный объект занимает в AD DS. Например, отличительное имя для объекта пользователя с именем Brian McElhinney может выглядеть следующим образом:
CN=Ivan,OU=Moscow,DC=Company,DC=com
Компонент CN (Common Name — общее имя) в отличительном имени отражает общее имя, под которым данный объект хранится в каталоге, компонент OU (Organizational Unit) — организационную единицу или подразделение, к которому относится данный объект, а компонент DC (Domain Controller) — DNS-имя домена Active Directory, которому этот объект принадлежит.
Относительные отличительные имена
Относительное отличительное имя (relative distinguished name) объекта представляет собой, по сути, усеченное отличительное имя, указывающее на место объекта в конкретном контейнере. Например, рассмотрим для примера следующий объект:
0U= Moscow, DC=company,DC=com
Относительное отличительное имя этого объекта будет выглядеть как OU=Moscow и указывать на конкретное подразделение внутри текущего контейнера домена.