Объекты группы
Группа представлена как объект группы в службах домен Active Directory. В следующей таблице перечислены важные атрибуты объекта группы .
Атрибут | Description |
---|---|
Cn | Cn (или Common-Name) — это атрибут с одним значением, который является относительным именем объекта. Cn — это имя группы в службах домен Active Directory. Как и во всех других объектах, cn группы должен быть уникальным среди одноуровневых объектов в контейнере, который содержит группу. |
member | Атрибут-член — это атрибут с несколькими значениями, который содержит список различающихся имен для пользователей, групп и контактных объектов, входящих в группу. Каждый элемент в списке является связанной ссылкой на объект, представляющий элемент; Поэтому сервер Active Directory автоматически обновляет различающиеся имена в свойстве члена при перемещении или переименовании объекта-члена. |
groupType | Атрибут groupType — это однозначный атрибут, представляющий целое число, указывающее тип группы и область с помощью следующих битовых флагов:
Первые три флага указывают группу область. Флаг ADS_GROUP_TYPE_SECURITY_ENABLED указывает тип группы. Если этот флаг задан, группа является группой безопасности. Если этот флаг не задан, группа является группой рассылки. Дополнительные сведения см. в разделе "Типы групп". |
Memberof | Атрибут memberOf — это атрибут с несколькими значениями, который содержит список различающихся имен для групп, содержащих группу в качестве члена. Этот атрибут перечисляет группы, под которым группа непосредственно вложена, она не содержит рекурсивный список вложенных предшественников. Например, если группа D была вложена в группу C и группу B и группу B, вложена в группу A, атрибут memberOf группы D будет перечислять группу C и группу B, но не группу A. |
Objectguid | Атрибут objectGUID — это атрибут с одним значением, который является уникальным идентификатором объекта. Этот атрибут является глобальным уникальным идентификатором (GUID). При создании объекта в каталоге сервер Active Directory создает GUID и назначает его атрибуту objectGUID объекта. GUID является уникальным для всей организации и в любом другом месте. ObjectGUID — это 128-разрядная структура GUID, хранящаяся в виде octetString. |
objectSid | Атрибут objectSid — это атрибут с одним значением, указывающий идентификатор безопасности группы. Идентификатор безопасности — это уникальное значение, используемое для идентификации группы в качестве субъекта безопасности. Это двоичное значение, которое система задает при создании группы. Каждая группа имеет уникальный идентификатор безопасности, который возникает в домене Windows NT/Windows 2000 Server, который хранится в атрибуте objectSid объекта группы в каталоге. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности для групп, в которых пользователь является членом, и помещает его в маркер доступа пользователя. Система использует идентификаторы безопасности в маркере доступа пользователя для идентификации пользователя и его членства в группах во всех последующих взаимодействиях с безопасностью Windows NT/Windows 2000. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, он никогда не может использоваться повторно для идентификации другого пользователя или группы. |
sAMAccountName | Атрибут sAMAccountName — это однозначный атрибут, который является именем входа, используемым для поддержки клиентов и серверов из предыдущей версии (Windows 95, Windows 98 и LAN Manager). Значение sAMAccountName должно быть меньше 20 символов для поддержки клиентов и серверов из предыдущей версии. SAMAccountName должен быть уникальным среди всех объектов субъекта безопасности в домене. |
Существует два типа групп, определенных службами домен Active Directory, группами безопасности и группами рассылки.
Группа безопасности предоставляет логическую группу объектов и саму группу можно использовать в качестве субъекта безопасности в списке контроль доступа (ACL). Когда группе безопасности предоставляется доступ к объекту, все члены группы безопасности автоматически получают тот же доступ к объекту. Группы безопасности с универсальной область также можно использовать в качестве сущности электронной почты. Отправка сообщения электронной почты в универсальную группу безопасности отправляет сообщение всем членам группы.
Группа рассылки также предоставляет логическую группу объектов, но не может предоставлять какие-либо привилегии доступа. Группы рассылки не включены в систему безопасности и не могут использоваться в качестве субъекта безопасности в ACL. Группы рассылки используются только для группирования. Например, списки рассылки можно использовать с почтовыми приложениями, такими как Exchange, для отправки электронной почты в коллекцию пользователей.
Дополнительные сведения о типах групп в службах домен Active Directory см. в разделе "Типы групп" в Microsoft TechNet.
Существует три группы область, определенных службами домен Active Directory, универсальными, глобальными и доменными локальными. Область группы определяет, какие типы объектов могут принадлежать группе, какие типы групп могут быть членами группы и область объектов, к которым могут быть предоставлены доступ группы безопасности. Если для уровня работы домена задан смешанный режим Windows 2000, группы безопасности с универсальными область не могут быть созданы.
В следующей таблице перечислены три группы область и дополнительные сведения о каждой область для группы безопасности.
Область | Возможные члены | Преобразование области | Может предоставлять разрешения | Возможный член |
---|---|---|---|---|
Юниверсал |
Учетные записи из любого домена в одном лесу. Глобальные группы из любого домена в одном лесу. Другие универсальные группы из любого домена в одном лесу. |
Можно преобразовать в локальную область домена. Можно преобразовать в глобальные область, если группа не содержит других универсальных групп. |
В любом домене в одном лесу или доверенных лесах. |
Другие универсальные группы в том же лесу. Локальные группы домена в одном лесу или доверенных лесах. Локальные группы на компьютерах в одном лесу или доверенных лесах. |
Глобальный |
Учетные записи из одного домена. Другие глобальные группы из того же домена. |
Можно преобразовать в универсальную область, если группа не является членом какой-либо другой глобальной группы. |
В любом домене в одном лесу или доверенных доменах или лесах. |
Универсальные группы из любого домена в одном лесу. Другие глобальные группы из того же домена. Локальные группы домена из любого домена в одном лесу или из любого доверенного домена. |
Локальный домен |
Учетные записи из любого домена или любого доверенного домена. Глобальные группы из любого домена или любого доверенного домена. Универсальные группы из любого домена в одном лесу. Другие локальные группы домена из того же домена. |
Можно преобразовать в универсальную область, если группа не содержит других локальных групп домена. |
В том же домене. |
Другие локальные группы домена из того же домена. Локальные группы на компьютерах в одном домене, за исключением встроенных групп с известными идентификаторами SID. |