Прочитать на английском

Поделиться через


Объекты группы

Группа представлена как объект группы в службах домен Active Directory. В следующей таблице перечислены важные атрибуты объекта группы .

Атрибут Description
Cn Cn (или Common-Name) — это атрибут с одним значением, который является относительным именем объекта. Cn — это имя группы в службах домен Active Directory. Как и во всех других объектах, cn группы должен быть уникальным среди одноуровневых объектов в контейнере, который содержит группу.
member Атрибут-член — это атрибут с несколькими значениями, который содержит список различающихся имен для пользователей, групп и контактных объектов, входящих в группу. Каждый элемент в списке является связанной ссылкой на объект, представляющий элемент; Поэтому сервер Active Directory автоматически обновляет различающиеся имена в свойстве члена при перемещении или переименовании объекта-члена.
groupType Атрибут groupType — это однозначный атрибут, представляющий целое число, указывающее тип группы и область с помощью следующих битовых флагов:
  • ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
  • ADS_GROUP_TYPE_GLOBAL_GROUP
  • ADS_GROUP_TYPE_UNIVERSAL_GROUP
  • ADS_GROUP_TYPE_SECURITY_ENABLED

Первые три флага указывают группу область. Флаг ADS_GROUP_TYPE_SECURITY_ENABLED указывает тип группы. Если этот флаг задан, группа является группой безопасности. Если этот флаг не задан, группа является группой рассылки. Дополнительные сведения см. в разделе "Типы групп".
Memberof Атрибут memberOf — это атрибут с несколькими значениями, который содержит список различающихся имен для групп, содержащих группу в качестве члена. Этот атрибут перечисляет группы, под которым группа непосредственно вложена, она не содержит рекурсивный список вложенных предшественников. Например, если группа D была вложена в группу C и группу B и группу B, вложена в группу A, атрибут memberOf группы D будет перечислять группу C и группу B, но не группу A.
Objectguid Атрибут objectGUID — это атрибут с одним значением, который является уникальным идентификатором объекта. Этот атрибут является глобальным уникальным идентификатором (GUID). При создании объекта в каталоге сервер Active Directory создает GUID и назначает его атрибуту objectGUID объекта. GUID является уникальным для всей организации и в любом другом месте.
ObjectGUID — это 128-разрядная структура GUID, хранящаяся в виде octetString.
objectSid Атрибут objectSid — это атрибут с одним значением, указывающий идентификатор безопасности группы. Идентификатор безопасности — это уникальное значение, используемое для идентификации группы в качестве субъекта безопасности. Это двоичное значение, которое система задает при создании группы.
Каждая группа имеет уникальный идентификатор безопасности, который возникает в домене Windows NT/Windows 2000 Server, который хранится в атрибуте objectSid объекта группы в каталоге. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности для групп, в которых пользователь является членом, и помещает его в маркер доступа пользователя. Система использует идентификаторы безопасности в маркере доступа пользователя для идентификации пользователя и его членства в группах во всех последующих взаимодействиях с безопасностью Windows NT/Windows 2000.
Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, он никогда не может использоваться повторно для идентификации другого пользователя или группы.
sAMAccountName Атрибут sAMAccountName — это однозначный атрибут, который является именем входа, используемым для поддержки клиентов и серверов из предыдущей версии (Windows 95, Windows 98 и LAN Manager). Значение sAMAccountName должно быть меньше 20 символов для поддержки клиентов и серверов из предыдущей версии.
SAMAccountName должен быть уникальным среди всех объектов субъекта безопасности в домене.

Типы групп

Существует два типа групп, определенных службами домен Active Directory, группами безопасности и группами рассылки.

Группа безопасности предоставляет логическую группу объектов и саму группу можно использовать в качестве субъекта безопасности в списке контроль доступа (ACL). Когда группе безопасности предоставляется доступ к объекту, все члены группы безопасности автоматически получают тот же доступ к объекту. Группы безопасности с универсальной область также можно использовать в качестве сущности электронной почты. Отправка сообщения электронной почты в универсальную группу безопасности отправляет сообщение всем членам группы.

Группа рассылки также предоставляет логическую группу объектов, но не может предоставлять какие-либо привилегии доступа. Группы рассылки не включены в систему безопасности и не могут использоваться в качестве субъекта безопасности в ACL. Группы рассылки используются только для группирования. Например, списки рассылки можно использовать с почтовыми приложениями, такими как Exchange, для отправки электронной почты в коллекцию пользователей.

Дополнительные сведения о типах групп в службах домен Active Directory см. в разделе "Типы групп" в Microsoft TechNet.

Область групп

Существует три группы область, определенных службами домен Active Directory, универсальными, глобальными и доменными локальными. Область группы определяет, какие типы объектов могут принадлежать группе, какие типы групп могут быть членами группы и область объектов, к которым могут быть предоставлены доступ группы безопасности. Если для уровня работы домена задан смешанный режим Windows 2000, группы безопасности с универсальными область не могут быть созданы.

В следующей таблице перечислены три группы область и дополнительные сведения о каждой область для группы безопасности.

Область Возможные члены Преобразование области Может предоставлять разрешения Возможный член
Юниверсал
Учетные записи из любого домена в одном лесу.
Глобальные группы из любого домена в одном лесу.
Другие универсальные группы из любого домена в одном лесу.
Можно преобразовать в локальную область домена.
Можно преобразовать в глобальные область, если группа не содержит других универсальных групп.
В любом домене в одном лесу или доверенных лесах.
Другие универсальные группы в том же лесу.
Локальные группы домена в одном лесу или доверенных лесах.
Локальные группы на компьютерах в одном лесу или доверенных лесах.
Глобальный
Учетные записи из одного домена.
Другие глобальные группы из того же домена.
Можно преобразовать в универсальную область, если группа не является членом какой-либо другой глобальной группы.
В любом домене в одном лесу или доверенных доменах или лесах.
Универсальные группы из любого домена в одном лесу.
Другие глобальные группы из того же домена.
Локальные группы домена из любого домена в одном лесу или из любого доверенного домена.
Локальный домен
Учетные записи из любого домена или любого доверенного домена.
Глобальные группы из любого домена или любого доверенного домена.
Универсальные группы из любого домена в одном лесу.
Другие локальные группы домена из того же домена.
Можно преобразовать в универсальную область, если группа не содержит других локальных групп домена.
В том же домене.
Другие локальные группы домена из того же домена.
Локальные группы на компьютерах в одном домене, за исключением встроенных групп с известными идентификаторами SID.