Objets de groupe
Un groupe est représenté sous la forme d’un objet de groupe dans services de domaine Active Directory. Le tableau suivant répertorie les attributs importants de l’objet de groupe .
| Attribut | Description |
|---|---|
| Cn | Le cn (ou Common-Name) est un attribut à valeur unique qui est le nom unique relatif de l’objet.
Cn est le nom du groupe dans services de domaine Active Directory. Comme pour tous les autres objets, le cn d’un groupe doit être unique parmi les objets frères dans le conteneur qui contient le groupe. |
| Membre | L’attribut membre est un attribut à valeurs multiples qui contient la liste des noms uniques pour les objets utilisateur, groupe et contact qui sont membres du groupe. Chaque élément de la liste est une référence liée à l’objet qui représente le membre ; par conséquent, le serveur Active Directory met automatiquement à jour les noms uniques dans la propriété membre lorsqu’un objet membre est déplacé ou renommé. |
| groupType | L’attribut groupType est un attribut à valeur unique qui est un entier qui spécifie le type et l’étendue du groupe à l’aide des indicateurs de bits suivants :
Les trois premiers indicateurs spécifient l’étendue du groupe. L’indicateur ADS_GROUP_TYPE_SECURITY_ENABLED indique le type de groupe. Si cet indicateur est défini, le groupe est un groupe de sécurité. Si cet indicateur n’est pas défini, le groupe est un groupe de distribution. Pour plus d’informations, consultez Types de groupes. |
| memberOf |
L’attribut memberOf est un attribut à valeurs multiples qui contient la liste des noms uniques des groupes qui contiennent le groupe en tant que membre. Cet attribut répertorie les groupes sous lesquels le groupe est directement imbriqué, il ne contient pas la liste récursive des prédécesseurs imbriqués. Par exemple, si le groupe D était imbriqué dans le groupe C et que le groupe B et le groupe B étaient imbriqués dans le groupe A, l’attribut memberOf du groupe D répertorierait le groupe C et le groupe B, mais pas le groupe A. |
| Objectguid | L’attribut objectGUID est un attribut à valeur unique qui est l’identificateur unique de l’objet. Cet attribut est un identificateur global unique (GUID). Lorsqu’un objet est créé dans le répertoire, le serveur Active Directory génère un GUID et l’affecte à l’attribut objectGUID de l’objet. Le GUID est unique au sein de l’entreprise et partout ailleurs. ObjectGUID est une structure GUID 128 bits stockée en tant qu’OctetString. |
| objectSid | L’attribut objectSid est un attribut à valeur unique qui spécifie l’identificateur de sécurité (SID) du groupe. Le SID est une valeur unique utilisée pour identifier le groupe en tant que principal de sécurité. Il s’agit d’une valeur binaire que le système définit lors de la création du groupe. Chaque groupe a un SID unique que le domaine Windows NT/Windows 2000 Server émet, qui est stocké dans l’attribut objectSid de l’objet de groupe dans le répertoire. Chaque fois qu’un utilisateur se connecte, le système récupère le SID pour les groupes dont l’utilisateur est membre et le place dans le jeton d’accès de l’utilisateur. Le système utilise les SID dans le jeton d’accès de l’utilisateur pour identifier l’utilisateur et ses appartenances au groupe dans toutes les interactions suivantes avec la sécurité Windows NT/Windows 2000. Lorsqu’un SID a été utilisé comme identificateur unique d’un utilisateur ou d’un groupe, il ne peut plus jamais être utilisé pour identifier un autre utilisateur ou groupe. |
| Samaccountname |
L’attribut sAMAccountName est un attribut à valeur unique qui est le nom d’ouverture de session utilisé pour prendre en charge les clients et les serveurs d’une version précédente (Windows 95, Windows 98 et GESTIONNAIRE LAN). Le sAMAccountName doit comporter moins de 20 caractères pour prendre en charge les clients et les serveurs d’une version précédente. Le sAMAccountName doit être unique parmi tous les objets principaux de sécurité au sein d’un domaine. |
Types de groupe
Il existe deux types de groupes définis par services de domaine Active Directory : groupes de sécurité et groupes de distribution.
Un groupe de sécurité fournit un regroupement logique d’objets et le groupe lui-même peut être utilisé comme principal de sécurité dans une liste de Access Control (ACL). Lorsqu’un groupe de sécurité reçoit l’accès à un objet, tous les membres du groupe de sécurité reçoivent automatiquement le même accès à l’objet. Les groupes de sécurité ayant une étendue universelle peuvent également être utilisés en tant qu’entité de messagerie. L’envoi d’un e-mail à un groupe de sécurité universel envoie le message à tous les membres du groupe.
Un groupe de distribution fournit également un regroupement logique d’objets, mais ne peut pas fournir de privilèges d’accès. Les groupes de distribution ne sont pas activés pour la sécurité et ne peuvent pas être utilisés comme principal de sécurité dans une liste de contrôle d’accès. Les groupes de distribution sont utilisés uniquement à des fins de regroupement. Par exemple, les listes de distribution peuvent être utilisées avec des applications de messagerie, telles qu’Exchange, pour envoyer des e-mails à une collection d’utilisateurs.
Pour plus d’informations sur les types de groupes dans services de domaine Active Directory, consultez la rubrique Types de groupes sur Microsoft TechNet.
Étendue du groupe
Il existe trois étendues de groupe qui sont définies par services de domaine Active Directory: Universal, Global et Domain Local. L’étendue du groupe définit les types d’objet pouvant appartenir au groupe, les types de groupes dont le groupe peut être membre et l’étendue des objets auxquels les groupes de sécurité peuvent avoir accès. Lorsque le niveau fonctionnel du domaine est défini sur le mode mixte Windows 2000, les groupes de sécurité d’étendue universelle ne peuvent pas être créés.
Le tableau suivant répertorie les trois étendues de groupe et plus d’informations sur chaque étendue d’un groupe de sécurité.
| Étendue | Membres possibles | Conversion d’étendue | Peut accorder des autorisations | Membre possible de |
|---|---|---|---|---|
| Universal |
Comptes de n’importe quel domaine dans la même forêt. Groupes globaux de n’importe quel domaine de la même forêt. Autres groupes universels de n’importe quel domaine dans la même forêt. |
Peut être converti en étendue locale de domaine. Peut être converti en étendue globale tant que le groupe ne contient aucun autre groupe universel. |
Sur n’importe quel domaine de la même forêt ou forêt d’approbation. |
Autres groupes universels dans la même forêt. Groupes locaux de domaine dans la même forêt ou forêts d’approbation. Groupes locaux sur les machines dans la même forêt ou forêts d’approbation. |
| Global |
Comptes du même domaine. Autres groupes globaux du même domaine. |
Peut être converti en étendue universelle tant que le groupe n’est membre d’aucun autre groupe global. |
Sur n’importe quel domaine de la même forêt ou de domaines ou forêts d’approbation. |
Groupes universels de n’importe quel domaine dans la même forêt. Autres groupes globaux du même domaine. Groupes locaux de domaine à partir d’un domaine dans la même forêt ou d’un domaine d’approbation. |
| Domaine local |
Comptes à partir d’un domaine ou d’un domaine approuvé. Groupes globaux à partir d’un domaine ou d’un domaine approuvé. Groupes universels de n’importe quel domaine dans la même forêt. Autres groupes locaux de domaine du même domaine. |
Peut être converti en étendue universelle tant que le groupe ne contient pas d’autres groupes locaux de domaine. |
Dans le même domaine. |
Autres groupes locaux de domaine du même domaine. Groupes locaux sur les machines du même domaine, à l’exclusion des groupes intégrés qui ont des SID connus. |