Partager via

Création de groupes dans un domaine

  • Article

Un objet de groupe est créé dans services de domaine Active Directory dans le conteneur de domaine dans lequel le nouveau groupe sera contenu. Les groupes peuvent être créés à la racine du domaine, dans une unité organisationnelle ou dans un conteneur. Pour créer un objet de groupe, utilisez la méthode IADsContainer::Create ou IDirectoryObject::CreateDSObject .

Les attributs suivants sont requis pour faire de l’objet de groupe un groupe juridique que le serveur Active Directory et le système de sécurité Windows reconnaîtront :

Cn

Spécifie le nom de l’objet de groupe dans le répertoire. Il s’agit du nom unique relatif de l’objet dans le conteneur où le groupe est créé.

groupType

Contient un entier qui spécifie le type et l’étendue du groupe. L’énumération ADS_GROUP_TYPE_ENUM définit les valeurs possibles pour l’attribut groupType.

La liste suivante définit des types de groupes et des valeurs courants pour cet attribut.

Distribution locale du domaine

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP

Sécurité locale du domaine

| ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Distribution globale

ADS_GROUP_TYPE_GLOBAL_GROUP

Sécurité globale

| ADS_GROUP_TYPE_GLOBAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Distribution universelle

ADS_GROUP_TYPE_UNIVERSAL_GROUP

Sécurité universelle

| ADS_GROUP_TYPE_UNIVERSAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Si le groupe est destiné à définir le contrôle d’accès sur les objets d’annuaire, le groupe doit être un groupe Sécurité globale ou Sécurité universelle.

N’oubliez pas que les groupes de sécurité universelle ne peuvent être créés que sur les domaines Windows 2000 s’exécutant en mode natif. Pour plus d’informations sur la détection du mode mixte et natif, consultez Détection du mode d’opération d’un domaine.

Samaccountname

Contient une chaîne qui est le nom utilisé pour prendre en charge les clients et les serveurs d’une version précédente. SAMAccountName doit comporter moins de 20 caractères pour prendre en charge les clients d’une version précédente de Windows.

Le sAMAccountName doit être unique parmi tous les objets principaux de sécurité au sein du domaine. Une requête doit être effectuée sur le domaine pour vérifier que sAMAccountName est unique au sein du domaine.

Les membres du groupe peuvent être ajoutés au moment de la création à l’aide de la méthode IDirectoryObject::CreateDSObject . Vous pouvez éventuellement ajouter des membres au groupe après sa création à l’aide de la méthode IADsGroup::Add . Pour plus d’informations sur l’ajout de membres à un groupe, consultez Ajout de membres à des groupes dans un domaine.