Freigeben über

Gruppenobjekte

  • Artikel

Eine Gruppe wird in Active Directory Domain Services als Gruppenobjekt dargestellt. In der folgenden Tabelle sind wichtige Attribute des Gruppenobjekts aufgeführt.

attribute BESCHREIBUNG
Cn Der cn (oder Common-Name) ist ein Einwert-Attribut, das der relative distinguished Name des Objekts ist. cn ist der Name der Gruppe in Active Directory Domain Services. Wie bei allen anderen Objekten muss das cn einer Gruppe unter den gleichgeordneten Objekten im Container, der die Gruppe enthält, eindeutig sein.
Mitglied Das Member-Attribut ist ein mehrwertiges Attribut, das die Liste der distinguished Names für die Benutzer-, Gruppen- und Kontaktobjekte enthält, die Mitglieder der Gruppe sind. Jedes Element in der Liste ist ein verknüpfter Verweis auf das Objekt, das den Member darstellt. Daher aktualisiert der Active Directory-Server automatisch die distinguished Names in der Membereigenschaft, wenn ein Memberobjekt verschoben oder umbenannt wird.
groupType Das groupType-Attribut ist ein einwertiges Attribut, bei dem es sich um eine ganze Zahl handelt, die den Gruppentyp und den Bereich mithilfe der folgenden Bitflags angibt:
  • ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
  • ADS_GROUP_TYPE_GLOBAL_GROUP
  • ADS_GROUP_TYPE_UNIVERSAL_GROUP
  • ADS_GROUP_TYPE_SECURITY_ENABLED

Die ersten drei Flags geben den Gruppenbereich an. Das flag ADS_GROUP_TYPE_SECURITY_ENABLED gibt den Gruppentyp an. Wenn dieses Flag festgelegt ist, ist die Gruppe eine Sicherheitsgruppe. Wenn dieses Flag nicht festgelegt ist, ist die Gruppe eine Verteilergruppe. Weitere Informationen finden Sie unter Gruppentypen.
Memberof Das memberOf-Attribut ist ein attribut mit mehreren Werten, das die Liste der distinguished Names für Gruppen enthält, die die Gruppe als Mitglied enthalten. Dieses Attribut listet die Gruppen auf, unter denen die Gruppe direkt geschachtelt ist, es enthält nicht die rekursive Liste geschachtelter Vorgänger. Wenn z. B. Gruppe D in Gruppe C geschachtelt und Gruppe B und Gruppe B in Gruppe A geschachtelt sind, würde das memberOf-Attribut von Gruppe D Gruppe C und Gruppe B auflisten, aber nicht Gruppe A.
Objectguid Das objectGUID-Attribut ist ein einwertiges Attribut, das der eindeutige Bezeichner für das Objekt ist. Dieses Attribut ist eine GUID (Globally Unique Identifier). Wenn ein Objekt im Verzeichnis erstellt wird, generiert der Active Directory-Server eine GUID und weist sie dem objectGUID-Attribut des Objekts zu. Die GUID ist im gesamten Unternehmen und überall sonst eindeutig.
Die objectGUID ist eine 128-Bit-GUID-Struktur, die als OctetString gespeichert ist.
Objectsid Das objectSid-Attribut ist ein einwertiges Attribut, das die Sicherheits-ID (SID) der Gruppe angibt. Die SID ist ein eindeutiger Wert, der verwendet wird, um die Gruppe als Sicherheitsprinzipal zu identifizieren. Es handelt sich um einen binären Wert, den das System beim Erstellen der Gruppe festlegt.
Jede Gruppe verfügt über eine eindeutige SID, die von der Windows NT/Windows 2000 Server-Domäne ausgibt, die im objectSid-Attribut des Gruppenobjekts im Verzeichnis gespeichert ist. Jedes Mal, wenn sich ein Benutzer anmeldet, ruft das System die SID für die Gruppen ab, deren Mitglied der Benutzer ist, und platziert sie im Zugriffstoken des Benutzers. Das System verwendet die SIDs im Zugriffstoken des Benutzers, um den Benutzer und seine Gruppenmitgliedschaften bei allen nachfolgenden Interaktionen mit Windows NT/Windows 2000-Sicherheit zu identifizieren.
Wenn eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann sie nicht erneut verwendet werden, um einen anderen Benutzer oder eine Gruppe zu identifizieren.
Samaccountname Das sAMAccountName-Attribut ist ein Attribut mit einem Wert, bei dem es sich um den Anmeldenamen handelt, der zur Unterstützung von Clients und Servern aus einer früheren Version (Windows 95, Windows 98 und LAN Manager) verwendet wird. Der sAMAccountName sollte weniger als 20 Zeichen lang sein, um Clients und Server aus einer früheren Version zu unterstützen.
Der sAMAccountName muss für alle Sicherheitsprinzipalobjekte innerhalb einer Domäne eindeutig sein.

Gruppentypen

Es gibt zwei Gruppentypen, die von Active Directory Domain Services definiert werden: Sicherheitsgruppen und Verteilergruppen.

Eine Sicherheitsgruppe stellt eine logische Gruppierung von Objekten bereit, und die Gruppe selbst kann als Sicherheitsprinzipal in einer Access Control List (ACL) verwendet werden. Wenn einer Sicherheitsgruppe Zugriff auf ein Objekt gewährt wird, erhalten alle Mitglieder der Sicherheitsgruppe automatisch den gleichen Zugriff auf das Objekt. Sicherheitsgruppen mit universellem Bereich können auch als E-Mail-Entität verwendet werden. Beim Senden einer E-Mail-Nachricht an eine universelle Sicherheitsgruppe wird die Nachricht an alle Mitglieder der Gruppe gesendet.

Eine Verteilergruppe bietet auch eine logische Gruppierung von Objekten, kann jedoch keine Zugriffsberechtigungen bereitstellen. Verteilergruppen sind nicht sicherheitsfähig und können nicht als Sicherheitsprinzipal in einer ACL verwendet werden. Verteilergruppen werden nur zu Gruppierungszwecken verwendet. Beispielsweise können Verteilerlisten mit E-Mail-Anwendungen wie Exchange verwendet werden, um E-Mails an eine Sammlung von Benutzern zu senden.

Weitere Informationen zu Gruppentypen in Active Directory Domain Services finden Sie im Thema Gruppentypen auf Microsoft TechNet.

Gruppenbereich

Es gibt drei Gruppenbereiche, die durch Active Directory Domain Services definiert werden: Universal, Global und Domain Local. Der Bereich der Gruppe definiert, welche Objekttypen zu der Gruppe gehören können, welchen Gruppentypen die Gruppe angehören kann, und den Bereich der Objekte, auf die Sicherheitsgruppen Zugriff erhalten können. Wenn die Domänenfunktionsebene auf den gemischten Modus von Windows 2000 festgelegt ist, können keine Sicherheitsgruppen mit universellem Bereich erstellt werden.

In der folgenden Tabelle sind die drei Gruppenbereiche und weitere Informationen zu jedem Bereich für eine Sicherheitsgruppe aufgeführt.

`Scope` Mögliche Mitglieder Bereichskonvertierung Kann Berechtigungen erteilen Mögliches Mitglied von
Universell
 Konten aus einer beliebigen Domäne in derselben Gesamtstruktur.
Globale Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur.
Andere universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur.
 Kann in den lokalen Domänenbereich konvertiert werden.
Kann in einen globalen Bereich konvertiert werden, solange die Gruppe keine anderen universellen Gruppen enthält.
 In jeder Domäne in derselben Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen.
 Andere universelle Gruppen in derselben Gesamtstruktur.
Lokale Domänengruppen in derselben Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen.
Lokale Gruppen auf Computern in derselben Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen.
Global
 Konten aus derselben Domäne.
Andere globale Gruppen aus derselben Domäne.
 Kann in einen universellen Bereich konvertiert werden, solange die Gruppe kein Mitglied einer anderen globalen Gruppe ist.
 In jeder Domäne in derselben Gesamtstruktur oder in vertrauenswürdigen Domänen oder Gesamtstrukturen.
 Universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur.
Andere globale Gruppen aus derselben Domäne.
Lokale Domänengruppen aus einer beliebigen Domäne in derselben Gesamtstruktur oder einer beliebigen vertrauenswürdigen Domäne.
Lokal (in Domäne)
 Konten aus einer beliebigen Domäne oder einer vertrauenswürdigen Domäne.
Globale Gruppen aus einer beliebigen Domäne oder einer beliebigen vertrauenswürdigen Domäne.
Universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur.
Andere lokale Domänengruppen aus derselben Domäne.
 Kann in einen universellen Bereich konvertiert werden, solange die Gruppe keine anderen lokalen Domänengruppen enthält.
 Innerhalb derselben Domäne.
 Andere lokale Domänengruppen aus derselben Domäne.
Lokale Gruppen auf Computern in derselben Domäne, ausgenommen integrierte Gruppen mit bekannten SIDs.