命名 AD DS 组时应避免使用哪些符号?

命名 AD DS 组时应避免使用哪些符号?

有人能指出在命名 AD DS 组时最好不要使用的符号吗?我希望有一些解释/文档链接来说明为什么不应该使用这些符号。例如,Windows Server 2012 允许您在组名中使用“/”,但我相信在某些情况下可能会导致问题,因为这个符号在 LDAP 过滤器规范中具有特殊含义……所以某些符号是允许的,但我认为可能会导致互操作性问题。如果能列出要避免的符号,并解释为什么/使用它们时可能会遇到的问题,我将不胜感激

答案1

如果您希望 AD 与任何可以连接到它的系统之间具有互操作性,为了安全起见,请仅使用字母数字字符和下划线在所有名称中。避免使用空格不会造成太大影响(尤其重要)变音符号如果您反其道而行之,当您尝试使用某些软件进行集成登录时,可能会出现问题,即使声明(并非总是经过良好测试)符合 UTF-8 规范。

一个很好的例子是我公司使用的 Ruckus WLAN 管理软件,它无法识别每个带有变音符号的 LDAP 登录名/组名。这包括中国账户名称

另一个例子是 UNIX shell 脚本,它可能并不总是能正确处理参数中的空格,或者可能需要安装特定的区域设置来处理变音符号。

答案2

Active Directory 历来符合 RFC 2253 的命名约定;我认为对于 Windows 2012 来说这并没有改变(有关 Windows 2003 的信息:https://technet.microsoft.com/en-us/library/cc776019%28v=ws.10%29.aspx

RFC 列出了以下字符:

o   one of the characters ",", "+", """, "\", "<", ">" or ";"
o   a leading space; a trailing space; 

该列表与有关 Windows 2012 R2 的另一篇文章中所述的内容相符:https://technet.microsoft.com/en-us/library/cc733146.aspx

相关内容