轻型目录访问协议(LDAP)

easy

轻型目录访问协议(Lightweight Directory Access Protocol, LDAP) 是一种用来查询与更新 Active Directory 的目录服务通信协议。

Active Directory 域服务 (AD DS) 是利用 LDAP 名称路径 (LDAP Naming Path) 来表示对象在 Active Directory 内的位置，以便用它来访问 Active Directory 内的对象。LDAP 名称路径包括：

可区别名称 (Distinguished Name, DN)
它是对象在Active Directory 内的完整路径，如下图：


中的 HangEasy 这个用户，其 DN 为：
CN=HangEasy，OU=研究部，DC=edu，DC=gorad，DC=net 。

其中，DC (Domain Componet) 表示 DNS 域名中的组件，如 edu.groad.net 中的 edu, groad 或 net 。OU 为组织单位 ；CN 为 Common Name 。除了 DC 与 OU 外，其他都是利用 CN 来表示，例如用户与计算机对象都属于 CN 。上述 DN 表示法中的 edu.groad.net 为域名，研究部为组织单位。此 DN 表示 HangEasy 这个帐户是存储在 edu.groad.net\研究部 这个路径内的。

相对可区别名称 (Relative Distinguished Name, RDN)
RDN 是在 DN 的完整路径中，用来代表某个对象的部分路径，例如上述路径中的 HangEasy 的 RDN=HangEasy 。

除了 DN 和 RDN 这两个对象名称外，另外还有两个名称：

全局唯一标识符(Global Unique Identifier, GUID)
GUID 是一个 128 位数值，对于新建的任何一个对象，系统都会为其指定一个唯一的 GUID。虽然可以改变对象的名称，但 GUID 永远不会改变。

用户主体名称(User Principal Name, UPN)
每个用户还可以有一个比 DN 更短，更容易记忆的 UPN。如上述的 HangEasy 是隶属域 edu.groad.net ，则其 UPN 可为 hj@edu.groad.net 。建议在登录时输入账户名称最好是用 UPN，因为无论这个用户的帐户被移动到哪一个域，都不会改变它的 UPN，因此用户可以一直使用同一个名称来登录。


关于 UPN 的创建可参考：《用户管理 》。