Управление Active Directory не является каким-то гигантским прыжком в усвоении новых понятий по сравнению с тем, что рассматривалось в данной главе до сих пор. Оно целиком завязано на контейнеры, на перемещение маленьких человечков из одних маленьких аккуратных коробочек в другие — имитацию жизни в мире бизнеса, — и все оно представлено маленькими аккуратными объектами. Что здесь может быть слишком сложным? Ну, если упоминание о Х.500 еще не нагнало на вас страху, это может произойти буквально через несколько минут.
Поскольку служба каталогов Active Directory спроектирована для работы с операционными системами и сетевыми службами других производителей, она разработана в соответствии с широко распространенными стандартами для подключаемых к сети каталогов. В этом есть свои достоинства и свои недостатки. В интересах функциональной совместимости ее синтаксис для спецификации пользователей, групп, контейнеров, подразделений организации и так далее основан на стандарте Х.500, который был разработан комитетом, причем очень большим комитетом. И это должно уже сейчас натолкнуть вас на вполне определенные мысли! Перед тем как приступить к объектам и технологиям, используемым для управления Active Directory, необходимо краткое введение в терминологию Х.500 и LDAP.
Каждый элемент в Х.500 или LDAP-совместимом каталоге обладает своим уникальным именем. Точно так же, как каждый файл на вашем жестком диске имеет свое уникальное путевое имя, каждый ADSI-объект имеет свое путевое имя ADsPath. В протоколе LDAP это называется отличительным именем (distinguished name), или DN. Это имя применительно к объекту каталога является полной спецификацией, называющей этого человека, группу, компьютер или что-нибудь еще из всей области каталогов объектов. Если служба Active Directory выстроена так, как было показано ранее на рис. 8.1, пользователь Alice имеет следующее отличительное имя: