A respeito das características do Active Directory, consider...

A alternativa correta é a E - II e III.

Ao analisarmos a questão sobre o Active Directory (AD), precisamos entender algumas das suas características fundamentais para gerenciar objetos de segurança, como usuários, grupos e computadores:

Na afirmativa II, é mencionado que o Active Directory gera uma identificação de segurança (SID) e uma identificação globalmente exclusiva (GUID) para cada objeto de segurança. Isso é verdadeiro e essencial para manter a unicidade e a segurança dos objetos no domínio e entre múltiplos domínios em uma floresta. O SID é um valor único que é utilizado para identificar um objeto como um usuário ou grupo como parte do controle de acesso, enquanto o GUID é um identificador único atribuído pelo AD que não muda, mesmo se o objeto for movido ou renomeado dentro do domínio.

Na afirmativa III, é mencionada a possibilidade de se ter nomes de usuários ou computadores idênticos em domínios diferentes dentro de uma floresta do Active Directory. Isso é possível porque, apesar dos nomes de usuário ou computador poderem ser iguais, eles são diferenciados pelos seus SIDs e GUIDs, além dos seus nomes distinto LDAP e nomes canônicos, garantindo assim que sejam únicos dentro do contexto da floresta inteira.

A afirmativa I não é verdadeira, pois não existem tais restrições quanto ao uso de números, pontos ou espaços em contas de computador ou grupo dentro do AD. Portanto, esta afirmativa é incorreta e não deve ser considerada na resposta correta.

Portanto, a alternativa E é a correta, pois ambas as afirmativas II e III estão corretas e refletem o funcionamento e as características do Active Directory no que diz respeito à identificação e unicidade dos objetos de segurança em uma infraestrutura de rede.

A referência a cada objeto no Active Directory é feita por diversos nomes. O Active Directory cria um nome distinto relativo e um nome canônico para cada objeto com base nas informações fornecidas quando o objeto foi criado ou modificado. A referência a cada objeto também pode ser feita por seu nome distinto, que é derivado do nome distinto relativo, e por todos os seus objetos do recipiente pai.

• O nome distinto relativo LDAP identifica com exclusividade o objeto no seu recipiente pai. Por exemplo, o nome distinto relativo LDAP de um computador denominado meu computador é CN=meucomputador. Os nomes distintos relativos devem ser exclusivos, pois os usuários não podem ter o mesmo nome em uma unidade organizacional.
• O nome distinto LDAP é globalmente exclusivo. Por exemplo, o nome distinto de um computador denominado meucomputador na unidade organizacional MinhaUnidadeOrganizacional, no domínio microsoft.com, é CN=meucomputador, OU=MinhaUnidadeOrganizacional, DC=microsoft, DC=com.
• O nome canônico é criado do mesmo modo que o nome distinto, mas é representado com uma outra notação. O nome canônico do computador no exemplo anterior seria Microsoft.com/MinhaUnidadeOrganizacional/meucomputador.

Os objetos de segurança são objetos do Active Directory para os quais foram designadas SIDs (identificações de segurança). Esses objetos podem ser usados para fazer logon na rede e ter permissão de acesso a recursos de domínio. Um administrador precisa fornecer nomes para objetos de segurança (contas de usuário, contas de computador e grupos) que sejam exclusivos em um domínio.

Considere o que ocorre quando uma nova conta de usuário é adicionada ao seu diretório. Você informa um nome que o usuário tem que usar para fazer logon na rede, o nome do domínio que contém a conta de usuário e outros dados descritivos, como nome, sobrenome, número de telefone e assim por diante (atributos). Todas essas informações são registradas no diretório.

Os nomes dos objetos de segurança podem conter todos os caracteres Unicode, exceto os caracteres LDAP especiais definidos na RFC 2253. Essa lista de caracteres especiais inclui: um espaço à esquerda, um espaço à direita e qualquer um dos seguintes caracteres: # , + " \ < > ;

Com base nas informações fornecidas pela pessoa que cria o objeto de segurança, o Active Directory gera uma identificação de segurança e uma identificação globalmente exclusiva para identificar o objeto de segurança. O Active Directory também cria um nome distinto relativo LDAP com base no nome do objeto de segurança. Um nome distinto LDAP e um nome canônico são obtidos a partir do nome relativo distinto e dos nomes dos contextos do domínio e recipiente nos quais o objeto de segurança é criado.

fonte: http://technet.microsoft.com/pt-br/library/cc776019(v=ws.10).aspx

e-

By default, Active Directory administrative tools display object names using the canonical name format, which lists the RDNs from the root downward and without the RFC 1779 naming attribute descriptors (dc=, ou=, or cn=). The canonical name uses the DNS domain name format, that is, the constituents of the domain labels section of the name are separated by periods—USRegion.OrgName.com. Table 3 contrasts the LDAP DN with the same name in canonical name format.

https://social.technet.microsoft.com/Forums/systemcenter/en-US/c2c9f286-b8c6-4f20-b829-93bd62022394/what-is-use-of-canonicalname-in-active-directory?forum=winserverDS