Привязка к известным объектам с помощью WKGUID
Контейнеры могут иметь один или несколько важных вложенных объектов, которые можно переименовать или переместить. Это может быть трудно отслеживать эти вложенные объекты и создавать правильные строки привязки для них, особенно если они переименованы или перемещены.
Для поддержки переименовывания безопасной привязки к этим объектам в этих контейнерах домен Active Directory Services имеют два атрибута: wellKnownObjects и otherWellKnownObjects. Эти атрибуты имеют синтаксис атрибутов ADSTYPE_DN_WITH_BINARY. Они разрешают несколько значений и содержат кортежи GUID/DN известных объектов в контейнерах, на которых они установлены. Сервер Active Directory поддерживает различающуюся часть имени каждой записи wellKnownObjects и другой записиWellKnownObjects , чтобы он содержал текущее различающееся имя объекта, указанного при создании записи.
Свойство OtherWellKnownObjects можно задать и использовать для любого объекта.
Свойство wellKnownObjects используется в доменахDNS и контейнерах конфигурации. Свойство wellKnownObjects является свойством только для системы и может быть изменено только операционной системой.
Контейнер domainDNS содержит следующие известные объекты:
- Пользователи
- Компьютеры
- Системные
- Контроллеры доменов
- Инфраструктура
- Удаленные объекты
- Потеряно и найдено
Контейнер конфигурации имеет известный объект: удаленные объекты.
Эти объекты находятся в каждом контейнере доменных идентификаторов и конфигурации в службе домен Active Directory.
Можно привязать к хорошо известному объекту с помощью формата привязки WKGUID. Привязка с WKGUID поддерживается только в службах домен Active Directory, то есть поставщик LDAP.
Важно!
Всегда используйте формат привязки WKGUID для привязки к известным объектам, как указано выше, в контейнерах домена и конфигурации. Это гарантирует, что эти контейнеры могут быть привязаны даже при перемещении или переименовании.
Формат строки привязки WKGUID выглядит следующим образом:
LDAP://<servername>/<WKGUID=<XXXXX>,<container DN>>
"<имя сервера" — это имя> сервера каталогов. <Имя> сервера является необязательным.
XXXXX<> — это строковое представление шестнадцатеричного значения GUID, представляющего известный объект. Строка GUID указана в форме XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX И не совпадает со строкой GUID, созданной функцией StringFromGUID2 , которая принимает форму "{XXXXXXXX-XXXXX-XXXXXXXXXXXXXXXXXXXXXXXX}". Дополнительные сведения и пример кода, демонстрирующий создание привязываемой строки из GUID, см. в примере кода для создания привязываемого строкового представления GUID.
Чтобы привязать объект, указанный в других объектахWellKnownObjects в объекте, укажите "<XXXXX>" в качестве строки привязки формы идентификатора GUID известного объекта объекта. Дополнительные сведения см. в разделе "Чтение объекта objectGUID" и создание строкового представления GUID. Дополнительные сведения о настройке свойства otherWellKnownObjects на объектах см. в разделе "Включение привязки переименования Сейф" с помощью другого свойстваWellKnownObjects.
Чтобы выполнить привязку к объекту, указанному в wellKnownObjects в контейнерах domainDNS или конфигурации, укажите XXXXX<> в качестве одной из следующих констант, перечисленных в следующей таблице, как определено в ntdsapi.h.
| Контейнер | Идентификатор GUID |
|---|---|
| Пользователи | GUID_USERS_CONTAINER_W |
| Компьютеры | GUID_COMPUTRS_CONTAINER_W |
| Системные | GUID_SYSTEMS_CONTAINER_W |
| Контроллеры доменов | GUID_DOMAIN_CONTROLLERS_CONTAINER_W |
| Инфраструктура | GUID_INFRASTRUCTURE_CONTAINER_W |
| Удаленные объекты | GUID_DELETED_OBJECTS_CONTAINER_W |
| Потеряно и найдено | GUID_LOSTANDFOUND_CONTAINER_W |
Например, чтобы привязать контейнер пользователя в домене, укажите GUID_USERS_CONTAINER_W как XXXXX<>.
"<DN> контейнера" — это различающееся имя объекта контейнера, который имеет этот объект, представленный в качестве значения в свойстве wellKnownObjects . Например, чтобы привязать к контейнеру пользователей в домене, укажите различающееся имя домена как "<DN> контейнера".
Например, чтобы привязать к контейнеру пользователей домена Fabrikam.com, используйте следующую строку привязки.
LDAP://<WKGUID=a9d1ca15768811d1aded00c04fd8d5cd,dc=Fabrikam,dc=com>
Дополнительные сведения и пример кода, демонстрирующий привязку к известному GUID, см. в примере кода привязки к известным объектам.