그룹 개체

그룹은 Active Directory Domain Services 그룹 개체로 표시됩니다. 다음 표에서는 그룹 개체의 중요한 특성을 나열합니다.

attribute Description
cn cn(또는 Common-Name)은 개체의 상대적 고유 이름인 단일 값 특성입니다. cn은 Active Directory Domain Services 그룹의 이름입니다. 다른 모든 개체와 마찬가지로 그룹의 cn 은 그룹을 포함하는 컨테이너의 형제 개체 간에 고유해야 합니다.
멤버 멤버 특성은 그룹의 구성원인 사용자, 그룹 및 연락처 개체의 고유 이름 목록을 포함하는 다중 값 특성입니다. 목록의 각 항목은 멤버를 나타내는 개체에 대한 연결된 참조입니다. 따라서 Active Directory 서버는 멤버 개체를 이동하거나 이름을 바꿀 때 멤버 속성의 고유 이름을 자동으로 업데이트합니다.
groupType groupType 특성은 다음 비트 플래그를 사용하여 그룹 형식 및 scope 지정하는 정수인 단일 값 특성입니다.
  • ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
  • ADS_GROUP_TYPE_GLOBAL_GROUP
  • ADS_GROUP_TYPE_UNIVERSAL_GROUP
  • ADS_GROUP_TYPE_SECURITY_ENABLED

처음 세 개의 플래그는 그룹 scope 지정합니다. ADS_GROUP_TYPE_SECURITY_ENABLED 플래그는 그룹 유형을 나타냅니다. 이 플래그가 설정되면 그룹은 보안 그룹입니다. 이 플래그가 설정되지 않은 경우 그룹은 메일 그룹입니다. 자세한 내용은 그룹 유형을 참조하세요.
memberOf memberOf 특성은 그룹을 멤버로 포함하는 그룹의 고유 이름 목록을 포함하는 다중 값 특성입니다. 이 특성은 그룹이 직접 중첩된 그룹 아래에 중첩된 선행 작업의 재귀 목록을 포함하지 않는 그룹을 나열합니다. 예를 들어 그룹 D가 그룹 C에 중첩되고 그룹 B와 그룹 B가 그룹 A에 중첩된 경우 그룹 D의 memberOf 특성은 그룹 C 및 그룹 B를 나열하지만 그룹 A는 나열하지 않습니다.
objectGUID objectGUID 특성은 개체의 고유 식별자인 단일 값 특성입니다. 이 특성은 GUID(Globally Unique Identifier)입니다. 개체가 디렉터리에 만들어지면 Active Directory 서버는 GUID를 생성하고 개체의 objectGUID 특성에 할당합니다. GUID는 엔터프라이즈 및 다른 모든 곳에서 고유합니다.
objectGUID는 OctetString으로 저장된 128비트 GUID 구조체입니다.
objectSid objectSid 특성은 그룹의 SID(보안 식별자)를 지정하는 단일 값 특성입니다. SID는 그룹을 보안 주체로 식별하는 데 사용되는 고유한 값입니다. 그룹을 만들 때 시스템에서 설정하는 이진 값입니다.
각 그룹에는 Windows NT/Windows 2000 Server 도메인이 디렉터리에 있는 그룹 개체의 objectSid 특성에 저장된 문제가 있는 고유한 SID가 있습니다. 사용자가 로그온할 때마다 시스템은 사용자가 멤버인 그룹의 SID를 검색하여 사용자의 액세스 토큰에 배치합니다. 시스템은 사용자의 액세스 토큰에서 SID를 사용하여 Windows NT/Windows 2000 보안과의 모든 후속 상호 작용에서 사용자 및 해당 그룹 멤버 자격을 식별합니다.
SID가 사용자 또는 그룹의 고유 식별자로 사용된 경우 다른 사용자 또는 그룹을 식별하는 데 다시 사용할 수 없습니다.
sAMAccountName sAMAccountName 특성은 이전 버전(Windows 95, Windows 98 및 LAN 관리자)의 클라이언트 및 서버를 지원하는 데 사용되는 로그온 이름인 단일 값 특성입니다. 이전 버전의 클라이언트 및 서버를 지원하려면 sAMAccountName 이 20자 미만이어야 합니다.
sAMAccountName은 도메인 내의 모든 보안 주체 개체에서 고유해야 합니다.

그룹 유형

Active Directory Domain Services 보안 그룹 및 배포 그룹으로 정의된 두 가지 유형의 그룹이 있습니다.

보안 그룹은 개체의 논리적 그룹화 기능을 제공하며 그룹 자체는 ACL(Access Control List)에서 보안 주체로 사용할 수 있습니다. 보안 그룹에 개체에 대한 액세스 권한이 부여되면 보안 그룹의 모든 멤버는 개체에 대한 동일한 액세스 권한을 자동으로 받습니다. 유니버설 scope 있는 보안 그룹을 전자 메일 엔터티로 사용할 수도 있습니다. 범용 보안 그룹에 전자 메일 메시지를 보내면 그룹의 모든 구성원에게 메시지를 보냅니다.

메일 그룹은 개체의 논리적 그룹화도 제공하지만 액세스 권한을 제공할 수는 없습니다. 배포 그룹은 보안을 사용할 수 없으며 ACL에서 보안 주체로 사용할 수 없습니다. 메일 그룹은 그룹화 목적으로만 사용됩니다. 예를 들어 메일 그룹을 Exchange와 같은 전자 메일 애플리케이션과 함께 사용하여 사용자 컬렉션에 전자 메일을 보낼 수 있습니다.

Active Directory Domain Services 그룹 유형에 대한 자세한 내용은 Microsoft TechNet그룹 형식 항목을 참조하세요.

그룹 범위

Active Directory Domain Services, 유니버설, 전역도메인 로컬로 정의된 세 가지 그룹 범위가 있습니다. 그룹의 scope 그룹에 속할 수 있는 개체 유형, 그룹이 구성원이 될 수 있는 그룹 유형 및 보안 그룹에 액세스 권한을 부여할 수 있는 개체의 scope 정의합니다. 도메인 기능 수준이 Windows 2000 혼합 모드로 설정된 경우 범용 scope 있는 보안 그룹을 만들 수 없습니다.

다음 표에는 세 가지 그룹 범위와 보안 그룹의 각 scope 대한 자세한 정보가 나와 있습니다.

Scope 가능한 멤버 범위 변환 사용 권한을 부여할 수 있음 의 가능한 멤버
유니버설
동일한 포리스트에 있는 도메인의 계정입니다.
동일한 포리스트에 있는 모든 도메인의 전역 그룹입니다.
동일한 포리스트에 있는 모든 도메인의 다른 범용 그룹입니다.
도메인 로컬 scope 변환할 수 있습니다.
그룹에 다른 유니버설 그룹이 없는 한 전역 scope 변환할 수 있습니다.
동일한 포리스트 또는 트러스트 포리스트의 모든 도메인에서
동일한 포리스트의 다른 범용 그룹입니다.
동일한 포리스트 또는 트러스트 포리스트의 도메인 로컬 그룹입니다.
동일한 포리스트 또는 트러스트 포리스트에 있는 컴퓨터의 로컬 그룹입니다.
전역
동일한 도메인의 계정.
동일한 도메인의 다른 전역 그룹입니다.
그룹이 다른 전역 그룹의 구성원이 아닌 한 유니버설 scope 변환할 수 있습니다.
동일한 포리스트 또는 트러스트 도메인 또는 포리스트의 모든 도메인에서.
동일한 포리스트에 있는 모든 도메인의 유니버설 그룹입니다.
동일한 도메인의 다른 전역 그룹입니다.
동일한 포리스트의 도메인 또는 신뢰할 수 있는 도메인의 도메인 로컬 그룹입니다.
도메인 로컬
모든 도메인 또는 신뢰할 수 있는 도메인의 계정입니다.
모든 도메인 또는 신뢰할 수 있는 도메인의 전역 그룹입니다.
동일한 포리스트에 있는 모든 도메인의 유니버설 그룹입니다.
동일한 도메인의 다른 도메인 로컬 그룹입니다.
그룹에 다른 도메인 로컬 그룹이 없는 한 범용 scope 변환할 수 있습니다.
동일한 도메인 내에서.
동일한 도메인의 다른 도메인 로컬 그룹입니다.
잘 알려진 SID가 있는 기본 제공 그룹을 제외한 동일한 도메인의 머신에 있는 로컬 그룹입니다.