Exportar (0) Imprimir
Expandir Tudo

Nomes de objeto

Nomes de objeto

Cada objeto no Active Directory é uma instância de uma classe definida no esquema. Cada classe possui atributos que asseguram:

  • Identificação exclusiva de cada objeto (instância de uma classe) em um armazenamento de dados de diretório
  • Compatibilidade com versões anteriores através de identificações de segurança usadas no Windows NT 4.0 e em versões anteriores
  • Compatibilidade com padrões LDAP para nomes de objeto de diretório

Para obter mais informações sobre esquema, classes e atributos, consulte Esquema.

A referência a cada objeto no Active Directory é feita por diversos nomes. O Active Directory cria um nome distinto relativo e um nome canônico para cada objeto com base nas informações fornecidas quando o objeto foi criado ou modificado. A referência a cada objeto também pode ser feita por seu nome distinto, que é derivado do nome distinto relativo, e por todos os seus objetos do recipiente pai.

  • O nome distinto relativo LDAP identifica com exclusividade o objeto no seu recipiente pai. Por exemplo, o nome distinto relativo LDAP de um computador denominado meu computador é CN=meucomputador. Os nomes distintos relativos devem ser exclusivos, pois os usuários não podem ter o mesmo nome em uma unidade organizacional.
  • O nome distinto LDAP é globalmente exclusivo. Por exemplo, o nome distinto de um computador denominado meucomputador na unidade organizacional MinhaUnidadeOrganizacional, no domínio microsoft.com, é CN=meucomputador, OU=MinhaUnidadeOrganizacional, DC=microsoft, DC=com.
  • O nome canônico é criado do mesmo modo que o nome distinto, mas é representado com uma outra notação. O nome canônico do computador no exemplo anterior seria Microsoft.com/MinhaUnidadeOrganizacional/meucomputador.

Os objetos de segurança são objetos do Active Directory para os quais foram designadas SIDs (identificações de segurança). Esses objetos podem ser usados para fazer logon na rede e ter permissão de acesso a recursos de domínio. Um administrador precisa fornecer nomes para objetos de segurança (contas de usuário, contas de computador e grupos) que sejam exclusivos em um domínio.

Considere o que ocorre quando uma nova conta de usuário é adicionada ao seu diretório. Você informa um nome que o usuário tem que usar para fazer logon na rede, o nome do domínio que contém a conta de usuário e outros dados descritivos, como nome, sobrenome, número de telefone e assim por diante (atributos). Todas essas informações são registradas no diretório.

Os nomes dos objetos de segurança podem conter todos os caracteres Unicode, exceto os caracteres LDAP especiais definidos na RFC 2253. Essa lista de caracteres especiais inclui: um espaço à esquerda, um espaço à direita e qualquer um dos seguintes caracteres: # , + " \ < > ;

Os nomes dos objetos de segurança têm que ser compatíveis com as seguintes diretrizes:

 

Tipo de nome da conta Tamanho máximo Limitações especiais

Conta de usuário

Os computadores que executarem o Windows Server 2003 e o Windows 2000 poderão usar um nome de usuário principal para a conta de usuário. Os computadores que estiverem executando o Windows NT 4.0 e versões anteriores limitam-se a 20 caracteres ou 20 bytes, dependendo do conjunto de caracteres. Os caracteres individuais podem necessitar de mais de um byte.

Uma conta de usuário não pode consistir somente em pontos (.) ou espaços ou terminar com um ponto. Qualquer ponto ou espaço à esquerda é cortado. O uso do símbolo @ não tem suporte no formato de logon para o Windows NT 4.0 e anterior, que é NomeDeDomínio\NomeDeUsuário. Os nomes de logon do Windows 2000 são exclusivos ao domínio e os nomes de logon do Windows Server 2003 são excluvisos na floresta.

Conta do computador

NetBIOS = 15 caracteres ou 15 bytes, dependendo do conjunto de caracteres. Os caracteres individuais podem necessitar de mais de um byte.

DNS = 63 caracteres ou 63 bytes, dependendo do conjunto de caracteres, e 255 caracteres para um nome de domínio totalmente qualificado. Os caracteres individuais podem precisar de mais de um byte.

Uma conta de computador não pode consistir somente em números, pontos (.) ou espaços. Qualquer ponto ou espaço à esquerda é cortado.

Conta de grupo

63 caracteres ou 63 bytes, dependendo do conjunto de caracteres. Os caracteres individuais podem necessitar de mais de um byte.

Uma conta de grupo não pode consistir somente em números, pontos (.) ou espaços. Qualquer ponto ou espaço à esquerda é cortado.

Observação

  • Se o administrador alterar as configurações de segurança padrão, será possível usar nomes de computador que contenham mais de 15 caracteres. Para obter mais informações, consulte Nomeação do Active Directory.

Com base nas informações fornecidas pela pessoa que cria o objeto de segurança, o Active Directory gera uma identificação de segurança e uma identificação globalmente exclusiva para identificar o objeto de segurança. O Active Directory também cria um nome distinto relativo LDAP com base no nome do objeto de segurança. Um nome distinto LDAP e um nome canônico são obtidos a partir do nome relativo distinto e dos nomes dos contextos do domínio e recipiente nos quais o objeto de segurança é criado.

Se sua organização possuir vários domínios, será possível usar o mesmo nome de usuário ou de computador em domínios distintos. O SID, a identificação globalmente exclusiva, o nome distinto LDAP e o nome canônico gerados pelo Active Directory identificarão exclusivamente cada usuário, computador ou grupo na floresta. Se o objeto de segurança for renomeado ou movido para um outro domínio, o SID, o nome distinto relativo LDAP, o nome distinto LDAP e o nome canônico serão alterados, mas a identificação globalmente exclusiva gerada pelo Active Directory não será alterada.

Os objetos de segurança, como as contas de usuário, podem ser renomeados, movidos, ou contidos em uma hierarquia de domínios aninhados. Para reduzir o efeito de se renomear, mover ou atribuir nomes de contas de usuário em uma hierarquia de domínios aninhados, o Active Directory oferece um método para simplificar nomes de logon do usuário. Para obter informações sobre nomes de logon de usuário, consulte Nomeação do Active Directory, Adicionar sufixos de nome principal de usuário e Contas de usuário e de computador.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

Mostrar:
© 2014 Microsoft