ドメイン内のグループの作成

グループオブジェクトは、新しいグループが格納されるドメインコンテナーのActive Directory Domain Servicesに作成されます。 グループは、ドメインのルート、組織単位内、またはコンテナー内に作成できます。 グループオブジェクトを作成するには、IADsContainer :: CreateまたはIDirectoryObject :: CreateDSObjectメソッドを使用します。

グループオブジェクトをActive DirectoryサーバーとWindowsセキュリティシステムが認識する有効なグループにするには、次の属性が必要です。

cn

ディレクトリ内のグループオブジェクトの名前を指定します。 これは、グループが作成されるコンテナー内のオブジェクトの相対識別名になります。

groupType

グループの種類とスコープを指定する整数を格納します。 ADS_GROUP_TYPE_ENUM列挙体は、groupType属性に使用できる値を定義します。

次の一覧は、この属性の一般的なグループの種類と値を定義します。

ドメインローカル分散

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP

ドメインローカルセキュリティ

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED

グローバル分散

ADS_GROUP_TYPE_GLOBAL_GROUP

グローバルセキュリティ

ADS_GROUP_TYPE_GLOBAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED

ディレクトリオブジェクトに対するアクセス制御を設定するためのグループの場合は、グローバルセキュリティグループまたはユニバーサルセキュリティグループにする必要があります。

ADS_GROUP_TYPE_UNIVERSAL_GROUP

ユニバーサルセキュリティ

ADS_GROUP_TYPE_UNIVERSAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED

グループの目的がディレクトリオブジェクトに対するアクセス制御の設定である場合、グループはグローバルセキュリティグループまたはユニバーサルセキュリティグループである必要があります。

ユニバーサルセキュリティグループは、ネイティブモードで実行されているWindows 2000ドメインでのみ作成できることに注意してください。 混合モードとネイティブモードの検出の詳細については、 「ドメインの操作モードの検出」 を参照してください。

sAMAccountName

以前のバージョンのクライアントとサーバーをサポートするために使用される名前の文字列を格納します。 以前のバージョンのWindowsのクライアントをサポートするには、sAMAccountNameを20文字未満にする必要があります。

sAMAccountNameは、ドメイン内のすべてのセキュリティプリンシパルオブジェクト間で一意である必要があります。 ドメインに対してクエリを実行して、sAMAccountNameがドメイン内で一意であることを確認する必要があります。

グループのメンバーは、IDirectoryObject :: CreateDSObjectメソッドを使用して作成時に追加できます。 必要に応じて、IADsGroup :: Addメソッドを使用して、作成後にメンバーをグループに追加できます。 グループにメンバーを追加する方法の詳細については、 「ドメイン内のグループへのメンバーの追加」 を参照してください。