Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um grupo é representado como um grupo objeto nos Serviços de Domínio Ative Directory. A tabela a seguir lista atributos importantes do grupo objeto.
| Atributo | Descrição |
|---|---|
| cn | O cn (ou Common-Name) é um atributo de valor único que é o nome distinto relativo do objeto. O cn é o nome do grupo nos Serviços de Domínio Ative Directory. Como acontece com todos os outros objetos, o cn de um grupo deve ser exclusivo entre os objetos irmãos no contêiner que contém o grupo. |
| membro | O atributo member é um atributo de vários valores que contém a lista de nomes distintos para os objetos de usuário, grupo e contato que são membros do grupo. Cada item na lista é uma referência vinculada ao objeto que representa o membro; portanto, o servidor do Ative Directory atualiza automaticamente os nomes distintos na propriedade member quando um objeto member é movido ou renomeado. |
| groupType | O atributo groupType é um atributo de valor único que é um inteiro que especifica o tipo de grupo e o escopo usando os seguintes sinalizadores de bits:
Os três primeiros sinalizadores especificam o escopo do grupo. O sinalizador ADS_GROUP_TYPE_SECURITY_ENABLED indica o tipo de grupo. Se esse sinalizador estiver definido, o grupo será um grupo de segurança. Se esse sinalizador não estiver definido, o grupo será um grupo de distribuição. Para obter mais informações, consulte Tipos de grupo. |
| membroOf | O atributo memberOf é um atributo de vários valores que contém a lista de nomes distintos para grupos que contêm o grupo como membro. Este atributo lista os grupos abaixo dos quais o grupo está diretamente aninhado, não contém a lista recursiva de predecessores aninhados. Por exemplo, se o grupo D fosse aninhado no grupo C e o grupo B e o grupo B fossem aninhados no grupo A, o atributo memberOf do grupo D listaria o grupo C e o grupo B, mas não o grupo A. |
| objectGUID | O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto. Este atributo é um GUID (Identificador Globalmente Exclusivo). Quando um objeto é criado no diretório, o servidor do Ative Directory gera um GUID e o atribui ao atributo objectGUID do objeto. O GUID é único em toda a empresa e em qualquer outro lugar. O objectGUID é uma estrutura GUID de 128 bits armazenada como um OctetString. |
| objectSid | O atributo objectSid é um atributo de valor único que especifica o identificador de segurança (SID) do grupo. O SID é um valor exclusivo usado para identificar o grupo como uma entidade de segurança. É um valor binário que o sistema define quando o grupo é criado. Cada grupo tem um SID exclusivo que os problemas de domínio do Windows NT/Windows 2000 Server que é armazenado no objectSid atributo do objeto de grupo no diretório. Cada vez que um usuário faz logon, o sistema recupera o SID para os grupos dos quais o usuário é membro e o coloca no token de acesso do usuário. O sistema usa os SIDs no token de acesso do usuário para identificar o usuário e suas associações de grupo em todas as interações subsequentes com a segurança do Windows NT/Windows 2000. Quando um SID é usado como identificador exclusivo de um usuário ou grupo, ele nunca mais pode ser usado para identificar outro usuário ou grupo. |
| sAMAccountName | O atributo sAMAccountName é um atributo de valor único que é o nome de logon usado para oferecer suporte a clientes e servidores de uma versão anterior (Windows 95, Windows 98 e LAN Manager). O sAMAccountName deve ter menos de 20 caracteres para suportar clientes e servidores de uma versão anterior. O sAMAccountName deve ser exclusivo entre todos os objetos principais de segurança dentro de um domínio. |
Tipos de Grupo
Há dois tipos de grupos definidos pelos Serviços de Domínio Ative Directory, Security Groups e Distribution Groups.
Um grupo de segurança fornece um agrupamento lógico de objetos e o próprio grupo pode ser usado como uma entidade de segurança em uma Lista de Controle de Acesso (ACL). Quando um grupo de segurança recebe acesso a um objeto, todos os membros do grupo de segurança recebem automaticamente o mesmo acesso ao objeto. Os grupos de segurança com escopo Universal também podem ser usados como uma entidade de email. Enviar uma mensagem de email para um grupo de segurança universal envia a mensagem para todos os membros do grupo.
Um grupo de distribuição também fornece um agrupamento lógico de objetos, mas não pode fornecer nenhum privilégio de acesso. Os grupos de distribuição não estão habilitados para segurança e não podem ser usados como uma entidade de segurança em uma ACL. Os grupos de distribuição são usados apenas para fins de agrupamento. Por exemplo, as listas de distribuição podem ser usadas com aplicativos de email, como o Exchange, para enviar emails para uma coleção de usuários.
Para obter mais informações sobre tipos de grupo nos Serviços de Domínio Ative Directory, consulte o tópico Tipos de grupo em Microsoft TechNet.
Âmbito do Grupo
Há três escopos de grupo definidos pelos Serviços de Domínio Ative Directory, Universal, Global e Domain Local. O escopo do grupo define quais tipos de objeto podem pertencer ao grupo, quais tipos de grupos o grupo pode ser membro e o escopo de objetos aos quais os grupos de segurança podem ter acesso. Quando o nível funcional do domínio é definido para o modo misto do Windows 2000, grupos de segurança com escopo universal não podem ser criados.
A tabela a seguir lista os três escopos de grupo e mais informações sobre cada escopo para um grupo de segurança.
| Âmbito de aplicação | Possíveis membros | Conversão de escopo | Pode conceder permissões | Possível membro do |
|---|---|---|---|---|
| Universais |
Contas de qualquer domínio na mesma floresta. Grupos globais de qualquer domínio na mesma floresta. Outros grupos universais de qualquer domínio na mesma floresta. |
Pode ser convertido para o escopo local do domínio. Pode ser convertido em escopo global, desde que o grupo não contenha outros grupos universais. |
Em qualquer domínio na mesma floresta ou florestas confiáveis. |
Outros grupos universais na mesma floresta. Domine grupos locais na mesma floresta ou florestas confiáveis. Grupos locais em máquinas na mesma floresta ou florestas confiáveis. |
| A nível mundial |
Contas do mesmo domínio. Outros grupos globais do mesmo domínio. |
Pode ser convertido em escopo universal desde que o grupo não seja membro de nenhum outro grupo global. |
Em qualquer domínio na mesma floresta ou em domínios ou florestas confiáveis. |
Grupos universais de qualquer domínio na mesma floresta. Outros grupos globais do mesmo domínio. Grupos locais de domínio de qualquer domínio na mesma floresta ou de qualquer domínio confiável. |
| Domínio Local |
Contas de qualquer domínio ou domínio confiável. Grupos globais de qualquer domínio ou domínio confiável. Grupos universais de qualquer domínio na mesma floresta. Outros grupos locais de domínio do mesmo domínio. |
Pode ser convertido em escopo universal, desde que o grupo não contenha nenhum outro grupo local de domínio. |
Dentro do mesmo domínio. |
Outros grupos locais de domínio do mesmo domínio. Grupos locais em máquinas no mesmo domínio, excluindo grupos internos que têm SIDs conhecidos. |