Objek Grup

Grup direpresentasikan sebagai objek grup di Active Directory Domain Services. Tabel berikut mencantumkan atribut penting objek grup .

Atribut Deskripsi
Cn cn (atau Common-Name) adalah atribut nilai tunggal yang merupakan nama pembeda relatif objek. cn adalah nama grup di Active Directory Domain Services. Seperti semua objek lainnya, cn grup harus unik di antara objek saudara dalam kontainer yang berisi grup.
Anggota Atribut anggota adalah atribut multinilai yang berisi daftar nama khusus untuk pengguna, grup, dan objek kontak yang merupakan anggota grup. Setiap item dalam daftar adalah referensi tertaut ke objek yang mewakili anggota; oleh karena itu, server Direktori Aktif secara otomatis memperbarui nama khusus di properti anggota saat objek anggota dipindahkan atau diganti namanya.
groupType Atribut groupType adalah atribut nilai tunggal yang merupakan bilangan bulat yang menentukan jenis grup dan cakupan menggunakan bendera bit berikut:
  • ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
  • ADS_GROUP_TYPE_GLOBAL_GROUP
  • ADS_GROUP_TYPE_UNIVERSAL_GROUP
  • ADS_GROUP_TYPE_SECURITY_ENABLED

Tiga bendera pertama menentukan cakupan grup. Bendera ADS_GROUP_TYPE_SECURITY_ENABLED menunjukkan jenis grup. Jika bendera ini diatur, grup adalah grup keamanan. Jika bendera ini tidak diatur, grup adalah grup distribusi. Untuk informasi selengkapnya, lihat Jenis Grup.
memberOf Atribut memberOf adalah atribut multinilai yang berisi daftar nama khusus untuk grup yang berisi grup sebagai anggota. Atribut ini mencantumkan grup di bawahnya yang disarangkan secara langsung grup tidak berisi daftar rekursif pendahulu berlapis. Misalnya, jika grup D ditumpuk dalam grup C dan grup B dan grup B ditumpuk di grup A, atribut memberOf grup D akan mencantumkan grup C dan grup B, tetapi bukan grup A.
objectGUID Atribut objectGUID adalah atribut nilai tunggal yang merupakan pengidentifikasi unik untuk objek. Atribut ini adalah Pengidentifikasi Unik Global (GUID). Saat objek dibuat di direktori, server Direktori Aktif menghasilkan GUID dan menetapkannya ke atribut objectGUID objek. GUID unik di seluruh perusahaan dan di tempat lain.
ObjectGUID adalah struktur GUID 128-bit yang disimpan sebagai OctetString.
objectSid Atribut objectSid adalah atribut nilai tunggal yang menentukan pengidentifikasi keamanan (SID) grup. SID adalah nilai unik yang digunakan untuk mengidentifikasi grup sebagai prinsip keamanan. Ini adalah nilai biner yang ditetapkan sistem saat grup dibuat.
Setiap grup memiliki SID unik yang masalah domain Windows NT/Windows 2000 Server yang disimpan dalam atribut objectSid objek grup di direktori. Setiap kali pengguna masuk, sistem mengambil SID untuk grup di mana pengguna adalah anggota dan menempatkannya dalam token akses pengguna. Sistem ini menggunakan SID dalam token akses pengguna untuk mengidentifikasi pengguna dan keanggotaan grupnya di semua interaksi berikutnya dengan keamanan Windows NT/Windows 2000.
Ketika SID telah digunakan sebagai pengidentifikasi unik untuk pengguna atau grup, SID tidak dapat digunakan lagi untuk mengidentifikasi pengguna atau grup lain.
sAMAccountName Atribut sAMAccountName adalah atribut nilai tunggal yang merupakan nama masuk yang digunakan untuk mendukung klien dan server dari versi sebelumnya (Windows 95, Windows 98, dan LAN Manager). sAMAccountName harus kurang dari 20 karakter untuk mendukung klien dan server dari versi sebelumnya.
sAMAccountName harus unik di antara semua objek utama keamanan dalam domain.

Jenis Grup

Ada dua jenis grup yang ditentukan oleh Active Directory Domain Services, Grup Keamanan, dan Grup Distribusi.

Grup keamanan menyediakan pengelompokan objek logis dan grup itu sendiri dapat digunakan sebagai prinsip keamanan dalam Daftar Kontrol Akses (ACL). Saat grup keamanan diberikan akses ke objek, semua anggota grup keamanan secara otomatis menerima akses yang sama ke objek. Grup keamanan dengan cakupan Universal juga dapat digunakan sebagai entitas email. Mengirim pesan email ke grup keamanan universal mengirimkan pesan ke semua anggota grup.

Grup distribusi juga menyediakan pengelompokan objek logis, tetapi tidak dapat memberikan hak istimewa akses apa pun. Grup distribusi tidak diaktifkan keamanan dan tidak dapat digunakan sebagai prinsip keamanan dalam ACL. Grup distribusi hanya digunakan untuk tujuan pengelompokan. Misalnya, daftar distribusi dapat digunakan dengan aplikasi email, seperti Exchange, untuk mengirim email ke kumpulan pengguna.

Untuk informasi selengkapnya tentang jenis grup di Active Directory Domain Services, lihat topik Jenis grup di Microsoft TechNet.

Cakupan Grup

Ada tiga cakupan grup yang ditentukan oleh Active Directory Domain Services, Universal, Global dan Domain Local. Cakupan grup menentukan jenis objek apa yang dapat dimiliki oleh grup, jenis grup apa yang dapat menjadi anggota grup dan cakupan objek yang dapat diakses oleh kelompok keamanan. Ketika tingkat fungsional domain diatur ke mode campuran Windows 2000, grup keamanan dengan cakupan universal tidak dapat dibuat.

Tabel berikut mencantumkan tiga cakupan grup dan informasi selengkapnya tentang setiap cakupan untuk grup keamanan.

Cakupan Kemungkinan anggota Konversi cakupan Dapat memberikan izin Kemungkinan anggota dari
Universal
Akun dari domain apa pun di forest yang sama.
Grup global dari domain apa pun di forest yang sama.
Grup universal lainnya dari domain apa pun di forest yang sama.
Dapat dikonversi ke cakupan lokal domain.
Dapat dikonversi ke cakupan global selama grup tidak berisi grup universal lainnya.
Pada domain apa pun di forest yang sama atau hutan kepercayaan.
Kelompok universal lainnya di hutan yang sama.
Grup lokal domain di forest yang sama atau hutan kepercayaan.
Grup lokal pada mesin di hutan yang sama atau hutan kepercayaan.
Global
Akun dari domain yang sama.
Grup global lainnya dari domain yang sama.
Dapat dikonversi ke cakupan universal selama grup tersebut bukan anggota grup global lainnya.
Pada domain apa pun di forest atau domain atau forest tepercaya yang sama.
Grup universal dari domain apa pun di forest yang sama.
Grup global lainnya dari domain yang sama.
Grup lokal domain dari domain apa pun di forest yang sama atau dari domain tepercaya apa pun.
Domain Lokal
Akun dari domain apa pun atau domain tepercaya apa pun.
Grup global dari domain apa pun atau domain tepercaya apa pun.
Grup universal dari domain apa pun di forest yang sama.
Grup lokal domain lain dari domain yang sama.
Dapat dikonversi ke cakupan universal selama grup tidak berisi grup lokal domain lainnya.
Dalam domain yang sama.
Grup lokal domain lain dari domain yang sama.
Grup lokal pada komputer di domain yang sama, tidak termasuk grup bawaan yang memiliki SID terkenal.