Criando grupos em um domínio
Um objeto de grupo é criado nos Serviços de Domínio Active Directory no contêiner de domínio onde o novo grupo será contido. Os grupos podem ser criados na raiz do domínio, dentro de uma unidade organizacional ou dentro de um contêiner. Para criar um objeto de grupo, use o método IADsContainer::Create ou IDirectoryObject::CreateDSObject.
Os atributos a seguir são necessários para tornar o objeto de grupo um grupo legal que o servidor do Active Directory e o sistema de segurança do Windows reconhecerão:
-
Cn
-
Especifica o nome do objeto de grupo no diretório. Esse será o nome distinto relativo do objeto dentro do contêiner onde o grupo é criado.
-
groupType
-
Contém um inteiro que especifica o tipo de grupo e o escopo. A enumeração ADS_GROUP_TYPE_ENUM define os valores possíveis para o atributo groupType .
A lista a seguir define tipos de grupo e valores comuns para esse atributo.
-
Distribuição local do domínio
-
ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
-
Segurança local do domínio
-
| ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED
-
Distribuição Global
-
ADS_GROUP_TYPE_GLOBAL_GROUP
-
Segurança Global
-
| ADS_GROUP_TYPE_GLOBAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED
-
Distribuição Universal
-
ADS_GROUP_TYPE_UNIVERSAL_GROUP
-
Segurança Universal
-
| ADS_GROUP_TYPE_UNIVERSAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED
Se o grupo se destina a definir o controle de acesso em objetos de diretório, o grupo deve ser um grupo de Segurança Global ou Segurança Universal.
Lembre-se de que os grupos de Segurança Universal só podem ser criados em domínios do Windows 2000 executados no modo nativo. Para obter mais informações sobre como detectar o modo misto e nativo, consulte Detectando o modo de operação de um domínio.
-
-
sAMAccountName
-
Contém uma cadeia de caracteres que é o nome usado para oferecer suporte a clientes e servidores de uma versão anterior. O sAMAccountName deve ter menos de 20 caracteres para oferecer suporte a clientes de uma versão anterior do Windows.
O sAMAccountName deve ser exclusivo entre todos os objetos de entidade de segurança dentro do domínio. Uma consulta deve ser executada no domínio para verificar se o sAMAccountName é exclusivo dentro do domínio.
Os membros do grupo podem ser adicionados no momento da criação usando o método IDirectoryObject::CreateDSObject. Opcionalmente, os membros podem ser adicionados ao grupo após a criação usando o método IADsGroup::Add. Para obter mais informações sobre como adicionar membros a um grupo, consulte Adicionando membros a grupos em um domínio.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de