Az Active Directory címtárszolgáltatása az LDAP (Lightweight Directory Access Protocol) protokollal érhető el. Ezért az elnevezési szabályoknak ehhez kell alkalmazkodniuk. A címtárat felfoghatjuk egy objektum halmaznak. Objektum lehet számítógép- vagy felhasználói fiók, megosztott mappa, nyomtató, szervezeti egység, stb. Ezek egymással hierarchikus kapcsolatban állnak, az alá- és fölérendeltségi viszonyokon kívül megkülönböztetünk tároló objektumokat is. Aki kíváncsi az LDAP protokoll objektum elérésének minden részletére, tanulmányozza az RFC 1779 és 2247 sz. szabványokat.
Distinguished Name (~ megkülönböztető név)
Ha a címtárban található objektumok elérési útját össze akarjuk vetni egy fájl elérési útjával, akkor a Distinguished Dame (DN) jelenti a teljes elérési utat (C:\winnt\system32\file1.exe). Fájlrendszer esetében megtudjuk, hogy a C: kötet gyökérpontjától indulva a winnt\system32 mappában (tárolóban) található file1.exe nevű állományról (objektumról) van szó.
A Distinguished Name egyértelműen meghatározza az objektum helyét és nevét a címtáron belül. Továbbá egyedileg azonosítja az objektumot, nem lehet két objektumnak ugyanaz a neve. Hasonlóan a fájlrendszerhez megtudjuk belőle a szülőobjektumok nevét egészen a gyökérpontig, ami jelen esetben a tartományhierarchia csúcsát jelenti.
Nézzünk meg egy példát a Distinguished névre:
CN=User1, OU=Users, DC=World, DC=com
Az objektum neve: "User1" (CN = Common Name), amit kötelező megadni minden objektumra vagy típus nélküli tárolóra hivatkozó LDAP lekérdezésben. Közvetlen szülő tárolója a "Users" szervezeti egység (OU = Organization Unit), ami a "World.com" tartományban található (DC = Domain Context). Az OU csak a szervezeti egységeket jelöli és értelemszerűen elhagyható, ha más tároló típusról van szó. Léteznek további hivatkozások is az LDAP protokollban (pl.: O=organization name, C=country/region), azonban ezeket a Windows 2000 címtára nem használja (részletek az RFC 2253 szabványban).
Az elnevezési rendszer lehetővé teszi, hogy az objektumból csak egy létezzen az egész világon. Ez a rend belső hálózatban borulhat fel, ahol ellenőrizetlenül hozhatók létre a tartomány és objektumnevek, az Interneten viszont kiválóan működik. Adott címtárrendszerben található felhasználó tehát bárhonnan a világon megtalálható az Interneten keresztül.
Az Active Directory felügyeleti konzoljai általában megkímélnek minket az objektum megadásnak ettől a formájától és grafikusan, egy farendszerben ábrázolják az elérési utakat. Programokból, szkriptekből vagy a böngészőből viszont kénytelenek vagyunk az LDAP szabvány szerinti elnevezést követni.
Relative Distinguished Name (~ relatív megkülönböztető név)
A Relative Distinguished Name (RDN) a teljes Distinguished Name egy része. Szintén egyedileg azonosítja az objektumot, de csak a közvetlenül felette álló szülőtárolóig. A fenti példánál maradva a Relative Distinguished Name a következő:
Nem tartalmaz elérési utat. Tulajdonképpen csak az objektum nevét foglalja magába. Maximálisan 255 karakter hosszú lehet, de a címtár sémájának megváltoztatásával elérhető nagyobb hossz.
Ha a CN=User1, OU=Users, DC=World, DC=com objektum már létezik, létrehozhatunk egy másikat CN=User1, OU=Marketing, DC=World, DC=com néven. Mindkettőnél CN=User1 az RDN, de különböző tárolóban vannak.
Megjegyeznénk, hogy az Active Directory nem ezekkel a nevekkel végzi az azonosítást, hanem az úgynevezett GUID (Globally Unique Identifier) azonosító számokkal, melyek az objektum létrehozásakor keletkeznek és biztosítják, hogy egyediek az egész világon. Átnevezés vagy átmozgatás után sem változik a szám, továbbra is ugyanazt az objektumot takarja, holott a felhasználó már esetleg teljesen mást lát. A biztonsági objektumok (felhasználói- és számítógépfiókok, csoportok) kapnak egy további biztonsági azonosítót, melyet SID (Security Identifier) nevezünk. Az erőforrásokhoz való hozzáférés rendszerszinten ezekkel történik és ismét csak nem a Distinguished Name-el, ebből is látszik, hogy a fenti elnevezések a felhasználó kényelmét szolgálják, annak elkerülésére, hogy esetleg 128 bites számokkal kelljen hivatkozni egy fiókra, például a "User1" helyett.
Logon Name (Bejelentkezési név)
A felhasználónak a bejelentkezési nevét kell megadnia, ha bármilyen erőforrást el akar érni a címtárban. A névhez tartozhat egy jelszó is, de nem kötelező. Ha nincs, akkor üres sztring helyettesíti - amennyiben a biztonsági beállítások lehetővé teszik. A bejelentkezési név különbözik a fenti két névtől és egyedinek kell lennie az Active Directory-n belül. Két csoportot különböztetünk meg.
SAM fióknév - A Windows NT 3.x és 4.0 tartományokkal való kompatibilitást szolgálják, ezáltal lehetővé válik vegyes hálózatok kialakítás Windows 2000 előtti operációs rendszerekkel.
User Principal Name (UPN) - Ez a felhasználó elsődleges felhasználóneve az Active Directory-ban. Formája a következő: bejelentkezési név@tartomány neve.
Az egyszerűség kedvéért alapértelmezésben az UPN és SAM név megegyezik. Később azonban lehet módosítani az "Active Directory - felhasználók és számítógépek" ("Active Directory Users and Computers") felügyeleti konzol, "Fiók" ("Account") oldalán.
Összefoglalva
A Distinguished Name és Relative Distinguished Name egy címtári objektumra történő hivatkozást tesz lehetővé elsősorban programok és szkriptek számára - az objektum lehet egy felhasználói fiók is. A SAM és UPN nevek a felhasználók számára kiosztott nevek, melyekkel a különböző erőforrások érhetők el. Maga az Active Directory a háttérben az operációs rendszerrel karöltve egyiket sem használja, helyette GUID és SID azonosítók szerint "látja" a felhasználókat és az összes többi objektumot is.