A referência a cada objeto no Active Directory é feita por diversos nomes. O Active Directory cria um nome distinto relativo e um nome canônico para cada objeto com base nas informações fornecidas quando o objeto foi criado ou modificado. A referência a cada objeto também pode ser feita por seu nome distinto, que é derivado do nome distinto relativo, e por todos os seus objetos do recipiente pai.
- O nome distinto relativo LDAP identifica com exclusividade o objeto no seu recipiente pai. Por exemplo, o nome distinto relativo LDAP de um computador denominado meu computador é CN=meucomputador. Os nomes distintos relativos devem ser exclusivos, pois os usuários não podem ter o mesmo nome em uma unidade organizacional.
- O nome distinto LDAP é globalmente exclusivo. Por exemplo, o nome distinto de um computador denominado meucomputador na unidade organizacional MinhaUnidadeOrganizacional, no domínio microsoft.com, é CN=meucomputador, OU=MinhaUnidadeOrganizacional, DC=microsoft, DC=com.
- O nome canônico é criado do mesmo modo que o nome distinto, mas é representado com uma outra notação. O nome canônico do computador no exemplo anterior seria Microsoft.com/MinhaUnidadeOrganizacional/meucomputador.
Os objetos de segurança são objetos do Active Directory para os quais foram designadas SIDs (identificações de segurança). Esses objetos podem ser usados para fazer logon na rede e ter permissão de acesso a recursos de domínio. Um administrador precisa fornecer nomes para objetos de segurança (contas de usuário, contas de computador e grupos) que sejam exclusivos em um domínio.
Considere o que ocorre quando uma nova conta de usuário é adicionada ao seu diretório. Você informa um nome que o usuário tem que usar para fazer logon na rede, o nome do domínio que contém a conta de usuário e outros dados descritivos, como nome, sobrenome, número de telefone e assim por diante (atributos). Todas essas informações são registradas no diretório.
Os nomes dos objetos de segurança podem conter todos os caracteres Unicode, exceto os caracteres LDAP especiais definidos na RFC 2253. Essa lista de caracteres especiais inclui: um espaço à esquerda, um espaço à direita e qualquer um dos seguintes caracteres: # , + " \ < > ;
Com base nas informações fornecidas pela pessoa que cria o objeto de segurança, o Active Directory gera uma identificação de segurança e uma identificação globalmente exclusiva para identificar o objeto de segurança. O Active Directory também cria um nome distinto relativo LDAP com base no nome do objeto de segurança. Um nome distinto LDAP e um nome canônico são obtidos a partir do nome relativo distinto e dos nomes dos contextos do domínio e recipiente nos quais o objeto de segurança é criado.
fonte: http://technet.microsoft.com/pt-br/library/cc776019(v=ws.10).aspx
e-
By default, Active Directory administrative tools display object names using the canonical name format, which lists the RDNs from the root downward and without the RFC 1779 naming attribute descriptors (dc=, ou=, or cn=). The canonical name uses the DNS domain name format, that is, the constituents of the domain labels section of the name are separated by periods—USRegion.OrgName.com. Table 3 contrasts the LDAP DN with the same name in canonical name format.
https://social.technet.microsoft.com/Forums/systemcenter/en-US/c2c9f286-b8c6-4f20-b829-93bd62022394/what-is-use-of-canonicalname-in-active-directory?forum=winserverDS