Freigeben über


Gruppieren von Objekten

Eine Gruppe wird als Gruppe Objekt in Active Directory Domain Services dargestellt. In der folgenden Tabelle sind wichtige Attribute des --Objekts aufgeführt.

Attribut Beschreibung
cn- Die cn- (oder Common-Name) ist ein Attribut mit einem wertigen Wert, bei dem es sich um den relativen Distinguished-Namen des Objekts handelt. Die cn- ist der Name der Gruppe in Active Directory Domain Services. Wie bei allen anderen Objekten muss die cn einer Gruppe unter den gleichgeordneten Objekten im Container, der die Gruppe enthält, eindeutig sein.
Mitglied Das Element- Attributs ist ein mehrwertiges Attribut, das die Liste der distinguished names for the user, group, and contact objects that are members of the group enthält. Jedes Element in der Liste ist ein verknüpfter Verweis auf das Objekt, das das Element darstellt; Daher aktualisiert der Active Directory-Server automatisch die distinguished names in der Membereigenschaft, wenn ein Memberobjekt verschoben oder umbenannt wird.
groupType- Das attribut groupType ist ein Attribut mit einem wertigen Wert, das eine ganze Zahl ist, die den Gruppentyp und den Bereich mithilfe der folgenden Bitkennzeichnungen angibt:
  • ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
  • ADS_GROUP_TYPE_GLOBAL_GROUP
  • ADS_GROUP_TYPE_UNIVERSAL_GROUP
  • ADS_GROUP_TYPE_SECURITY_ENABLED

Die ersten drei Flags geben den Gruppenbereich an. Das ADS_GROUP_TYPE_SECURITY_ENABLED Flag gibt den Gruppentyp an. Wenn dieses Kennzeichen festgelegt ist, ist die Gruppe eine Sicherheitsgruppe. Wenn dieses Kennzeichen nicht festgelegt ist, handelt es sich bei der Gruppe um eine Verteilergruppe. Weitere Informationen finden Sie unter Gruppentypen.
MemberOf Das attribut memberOf ist ein Attribut mit mehreren Werten, das die Liste der distinguished names für Gruppen enthält, die die Gruppe als Mitglied enthalten. Dieses Attribut listet die Gruppen auf, unter denen die Gruppe direkt geschachtelt ist, nicht die rekursive Liste der geschachtelten Vorgänger. Wenn gruppe D beispielsweise in Gruppe C und Gruppe B und Gruppe B geschachtelt in Gruppe A geschachtelt wurde, würde das MemberOf Attribut der Gruppe D die Gruppe C und Gruppe B auflisten, aber nicht die Gruppe A.
objectGUID- Das objectGUID--Attributs ist ein Attribut mit einem einzelnen Wert, das der eindeutige Bezeichner für das Objekt ist. Dieses Attribut ist ein GUID (Globally Unique Identifier). Wenn ein Objekt im Verzeichnis erstellt wird, generiert der Active Directory-Server eine GUID und weist es dem objectGUID- attribut des Objekts zu. Die GUID ist unternehmensweit und überall anders eindeutig.
Die objectGUID- ist eine 128-Bit-GUID-Struktur, die als OctetString gespeichert ist.
objectSid- Das attribut objectSid ist ein Attribut mit einem einzelnen Wert, das die Sicherheits-ID (SID) der Gruppe angibt. Die SID ist ein eindeutiger Wert, der verwendet wird, um die Gruppe als Sicherheitsprinzipal zu identifizieren. Es handelt sich um einen binärwert, den das System beim Erstellen der Gruppe festlegt.
Jede Gruppe verfügt über eine eindeutige SID, die die Windows NT/Windows 2000 Server-Domäne ausgibt, die im objectSid Attribut des Gruppenobjekts im Verzeichnis gespeichert ist. Jedes Mal, wenn sich ein Benutzer anmeldet, ruft das System die SID für die Gruppen ab, deren Mitglied der Benutzer ist, und platziert sie im Zugriffstoken des Benutzers. Das System verwendet die SIDs im Zugriffstoken des Benutzers, um den Benutzer und seine Gruppenmitgliedschaften in allen nachfolgenden Interaktionen mit Windows NT/Windows 2000-Sicherheit zu identifizieren.
Wenn eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann sie nicht mehr verwendet werden, um einen anderen Benutzer oder eine andere Gruppe zu identifizieren.
sAMAccountName Das attribut sAMAccountName ist ein Attribut mit einem wertigen Wert, das der Anmeldename ist, der verwendet wird, um Clients und Server aus einer früheren Version (Windows 95, Windows 98 und LAN Manager) zu unterstützen. Die sAMAccountName- sollte kleiner als 20 Zeichen sein, um Clients und Server aus einer früheren Version zu unterstützen.
Die sAMAccountName- muss zwischen allen Sicherheitsprinzipalobjekten innerhalb einer Domäne eindeutig sein.

Gruppentypen

Es gibt zwei Typen von Gruppen, die von Active Directory Domain Services definiert sind, Sicherheitsgruppen und Verteilergruppen.

Eine Sicherheitsgruppe stellt eine logische Gruppierung von Objekten bereit, und die Gruppe selbst kann als Sicherheitsprinzipal in einer Zugriffssteuerungsliste (Access Control List, ACL) verwendet werden. Wenn einer Sicherheitsgruppe Zugriff auf ein Objekt gewährt wird, erhalten alle Mitglieder der Sicherheitsgruppe automatisch denselben Zugriff auf das Objekt. Sicherheitsgruppen mit universellem Bereich können auch als E-Mail-Entität verwendet werden. Das Senden einer E-Mail-Nachricht an eine universelle Sicherheitsgruppe sendet die Nachricht an alle Mitglieder der Gruppe.

Eine Verteilergruppe stellt auch eine logische Gruppierung von Objekten bereit, bietet jedoch keine Zugriffsberechtigungen. Verteilergruppen sind nicht sicherheitsfähig und können nicht als Sicherheitsprinzipal in einer ACL verwendet werden. Verteilergruppen werden nur für Gruppierungszwecke verwendet. Beispielsweise können Verteilerlisten mit E-Mail-Anwendungen wie Exchange verwendet werden, um E-Mails an eine Sammlung von Benutzern zu senden.

Weitere Informationen zu Gruppentypen in Active Directory Domain Services finden Sie im Thema Gruppentypen zu Microsoft TechNet-.

Gruppenbereich

Es gibt drei Gruppenbereiche, die durch Active Directory-Domänendienste definiert werden, universelle, globalen und lokalen Domänen-. Der Bereich der Gruppe definiert, welche Objekttypen zur Gruppe gehören können, welche Gruppentypen die Gruppe sein kann, und den Bereich der Objekte, auf die Sicherheitsgruppen Zugriff erhalten können. Wenn die Domänenfunktionsebene auf den gemischten Modus für Windows 2000 festgelegt ist, können Sicherheitsgruppen mit universellem Bereich nicht erstellt werden.

In der folgenden Tabelle sind die drei Gruppenbereiche und weitere Informationen zu den einzelnen Bereichen für eine Sicherheitsgruppe aufgeführt.

Umfang Mögliche Mitglieder Bereichskonvertierung Kann Berechtigungen erteilen Mögliches Mitglied von
Universal
Konten aus einer beliebigen Domäne in derselben Gesamtstruktur.
Globale Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur.
Andere universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur.
Kann in den lokalen Domänenbereich konvertiert werden.
Kann in globalen Bereich konvertiert werden, solange die Gruppe keine anderen universellen Gruppen enthält.
In jeder Domäne in derselben Gesamtstruktur oder in vertrauenswürdigen Gesamtstrukturen.
Andere universelle Gruppen in derselben Gesamtstruktur.
Lokale Domänengruppen in derselben Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen.
Lokale Gruppen auf Computern in derselben Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen.
Global
Konten aus derselben Domäne.
Andere globale Gruppen aus derselben Domäne.
Kann in universellen Bereich konvertiert werden, solange die Gruppe kein Mitglied einer anderen globalen Gruppe ist.
In jeder Domäne in derselben Gesamtstruktur oder in vertrauenswürdigen Domänen oder Gesamtstrukturen.
Universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur.
Andere globale Gruppen aus derselben Domäne.
Lokale Domänengruppen aus einer beliebigen Domäne in derselben Gesamtstruktur oder aus einer beliebigen vertrauenswürdigen Domäne.
Lokale Domäne
Konten aus einer beliebigen Domäne oder einer vertrauenswürdigen Domäne.
Globale Gruppen aus einer beliebigen Domäne oder einer beliebigen vertrauenswürdigen Domäne.
Universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur.
Andere lokale Domänengruppen aus derselben Domäne.
Kann in universellen Bereich konvertiert werden, solange die Gruppe keine anderen lokalen Domänengruppen enthält.
Innerhalb derselben Domäne.
Andere lokale Domänengruppen aus derselben Domäne.
Lokale Gruppen auf Computern in derselben Domäne, ausgenommen integrierte Gruppen mit bekannten SIDs.