Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Grupa jest reprezentowana jako obiektgrupyw usługach Active Directory Domain Services. W poniższej tabeli wymieniono ważne atrybuty obiektu grupy.
| Atrybut | Opis |
|---|---|
| cn |
cn (lub Common-Name) jest atrybutem o pojedynczej wartości, który jest względną nazwą wyróżniającą obiektu.
cn jest nazwą grupy w usługach Active Directory Domain Services. Podobnie jak we wszystkich innych obiektach, cn grupy musi być unikatowa wśród obiektów równorzędnych w kontenerze zawierającym grupę. |
| członka | Atrybut elementu członkowskiego jest atrybutem wielowartościowym zawierającym listę nazw wyróżniających użytkowników, grup i obiektów kontaktów, które są członkami grupy. Każdy element na liście jest połączonym odwołaniem do obiektu reprezentującego element członkowski; dlatego serwer usługi Active Directory automatycznie aktualizuje nazwy wyróżniające we właściwości elementu członkowskiego, gdy obiekt członkowski zostanie przeniesiony lub zmieniono jego nazwę. |
| groupType | Atrybut groupType jest atrybutem pojedynczej wartości, który jest liczbą całkowitą określającą typ grupy i zakres przy użyciu następujących flag bitowych:
Pierwsze trzy flagi określają zakres grupy. Flaga ADS_GROUP_TYPE_SECURITY_ENABLED wskazuje typ grupy. Jeśli ta flaga jest ustawiona, grupa jest grupą zabezpieczeń. Jeśli ta flaga nie jest ustawiona, grupa jest grupą dystrybucyjną. Aby uzyskać więcej informacji, zobacz Typy grup. |
| memberOf | Atrybut memberOf jest atrybutem wielowartościowym zawierającym listę nazw wyróżniających grup zawierających grupę jako element członkowski. Ten atrybut zawiera listę grup, pod którymi grupa jest bezpośrednio zagnieżdżona, nie zawiera cyklicznej listy zagnieżdżonych poprzedników. Jeśli na przykład grupa D została zagnieżdżona w grupie C, grupa B i grupa B zostały zagnieżdżone w grupie A, memberOf atrybut grupy D będzie zawierać grupę C i grupę B, ale nie grupę A. |
| objectGUID | Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu. Ten atrybut jest globalnie unikatowym identyfikatorem (GUID). Po utworzeniu obiektu w katalogu serwer usługi Active Directory generuje identyfikator GUID i przypisuje go do atrybutu objectGUID obiektu. Identyfikator GUID jest unikatowy w całym przedsiębiorstwie i gdziekolwiek indziej. objectGUID jest 128-bitową strukturą identyfikatora GUID przechowywaną jako octetString. |
| objectSid | Atrybut objectSid jest atrybutem o pojedynczej wartości, który określa identyfikator zabezpieczeń (SID) grupy. Identyfikator SID jest unikatową wartością używaną do identyfikowania grupy jako podmiotu zabezpieczeń. Jest to wartość binarna ustawiana przez system podczas tworzenia grupy. Każda grupa ma unikatowy identyfikator SID, którego domena systemu Windows NT/Windows 2000 Server jest przechowywana w objectSid atrybutu obiektu grupy w katalogu. Za każdym razem, gdy użytkownik loguje się, system pobiera identyfikator SID dla grup, których użytkownik jest członkiem i umieszcza go w tokenie dostępu użytkownika. System używa identyfikatorów SID w tokenie dostępu użytkownika do identyfikowania użytkownika i jego członkostwa w grupach we wszystkich kolejnych interakcjach z zabezpieczeniami systemu Windows NT/Windows 2000. Gdy identyfikator SID został użyty jako unikatowy identyfikator użytkownika lub grupy, nigdy nie może być używany ponownie do identyfikowania innego użytkownika lub grupy. |
| sAMAccountName | Atrybut sAMAccountName jest atrybutem o pojedynczej wartości, który jest nazwą logowania używaną do obsługi klientów i serwerów z poprzedniej wersji (Windows 95, Windows 98 i LAN Manager).
sAMAccountName powinna być mniejsza niż 20 znaków do obsługi klientów i serwerów z poprzedniej wersji. sAMAccountName musi być unikatowa wśród wszystkich obiektów podmiotów zabezpieczeń w domenie. |
Typy grup
Istnieją dwa typy grup zdefiniowanych przez usługi Active Directory Domain Services, grupy zabezpieczeń i grupy dystrybucyjne .
Grupa zabezpieczeń zapewnia logiczne grupowanie obiektów, a sama grupa może być używana jako podmiot zabezpieczeń na liście kontroli dostępu (ACL). Gdy grupa zabezpieczeń ma dostęp do obiektu, wszyscy członkowie grupy zabezpieczeń automatycznie otrzymają ten sam dostęp do obiektu. Grupy zabezpieczeń z zakresem uniwersalnym mogą być również używane jako jednostka poczty e-mail. Wysłanie wiadomości e-mail do uniwersalnej grupy zabezpieczeń spowoduje wysłanie wiadomości do wszystkich członków grupy.
Grupa dystrybucyjna zapewnia również logiczne grupowanie obiektów, ale nie może zapewnić żadnych uprawnień dostępu. Grupy dystrybucyjne nie są włączone zabezpieczeń i nie można ich używać jako podmiotu zabezpieczeń na liście ACL. Grupy dystrybucyjne są używane tylko do celów grupowania. Na przykład listy dystrybucyjne mogą być używane z aplikacjami poczty e-mail, takimi jak Exchange, do wysyłania wiadomości e-mail do kolekcji użytkowników.
Aby uzyskać więcej informacji na temat typów grup w usługach Active Directory Domain Services, zobacz temat typy grup w witrynie Microsoft TechNet.
Zakres grupy
Istnieją trzy zakresy grup zdefiniowane przez usługi Active Directory Domain Services, universal, globalne i Domena lokalna. Zakres grupy określa, jakie typy obiektów mogą należeć do grupy, jakie typy grup mogą być członkami grupy, oraz zakres obiektów, do których można uzyskać dostęp grup zabezpieczeń. Gdy poziom funkcjonalności domeny jest ustawiony na tryb mieszany systemu Windows 2000, nie można utworzyć grup zabezpieczeń o uniwersalnym zakresie.
W poniższej tabeli wymieniono trzy zakresy grup i więcej informacji o każdym zakresie dla grupy zabezpieczeń.
| Zakres | Możliwe elementy członkowskie | Konwersja zakresu | Może przyznać uprawnienia | Możliwy element członkowski |
|---|---|---|---|---|
| Uniwersalny |
Konta z dowolnej domeny w tym samym lesie. Grupy globalne z dowolnej domeny w tym samym lesie. Inne grupy uniwersalne z dowolnej domeny w tym samym lesie. |
Można przekonwertować na zakres lokalny domeny. Można przekonwertować na zakres globalny, o ile grupa nie zawiera żadnych innych grup uniwersalnych. |
W dowolnej domenie w tym samym lesie lub lasach zaufania. |
Inne grupy uniwersalne w tym samym lesie. Grupy lokalne domeny w tym samym lesie lub lasach zaufania. Grupy lokalne na maszynach w tym samym lesie lub lasach zaufania. |
| Globalny |
Konta z tej samej domeny. Inne grupy globalne z tej samej domeny. |
Można przekonwertować na zakres uniwersalny, o ile grupa nie jest członkiem żadnej innej grupy globalnej. |
W dowolnej domenie w tym samym lesie lub zaufanych domenach lub lasach. |
Grupy uniwersalne z dowolnej domeny w tym samym lesie. Inne grupy globalne z tej samej domeny. Grupy lokalne domeny z dowolnej domeny w tym samym lesie lub z dowolnej domeny zaufania. |
| Domena lokalna |
Konta z dowolnej domeny lub dowolnej zaufanej domeny. Grupy globalne z dowolnej domeny lub dowolnej zaufanej domeny. Grupy uniwersalne z dowolnej domeny w tym samym lesie. Inne grupy lokalne domeny z tej samej domeny. |
Można przekonwertować na zakres uniwersalny, o ile grupa nie zawiera żadnych innych grup lokalnych domeny. |
W tej samej domenie. |
Inne grupy lokalne domeny z tej samej domeny. Grupy lokalne na maszynach w tej samej domenie, z wyłączeniem wbudowanych grup, które mają dobrze znane identyfikatory SID. |