Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Группа представлена как объект группы в доменных службах Active Directory. В следующей таблице перечислены важные атрибуты объекта группы.
| Атрибут | Описание |
|---|---|
| cn |
cn (или Common-Name) — это атрибут с одним значением, который является относительным именем объекта.
cn — это имя группы в доменных службах Active Directory. Как и во всех остальных объектах, cn группы должны быть уникальными среди одноуровневых объектов в контейнере, который содержит группу. |
| члена | Атрибут члена — это атрибут с несколькими значениями, который содержит список различающихся имен для пользователя, группы и контактных объектов, входящих в группу. Каждый элемент в списке является связанной ссылкой на объект, представляющий элемент; Поэтому сервер Active Directory автоматически обновляет различающиеся имена в свойстве члена при перемещении или переименовании объекта-члена. |
| groupType | Атрибут groupType является атрибутом с одним значением, который представляет собой целое число, указывающее тип группы и область с помощью следующих битовых флагов:
Первые три флага указывают область группы. Флаг ADS_GROUP_TYPE_SECURITY_ENABLED указывает тип группы. Если этот флаг задан, группа является группой безопасности. Если этот флаг не задан, группа является группой рассылки. Дополнительные сведения см. в типах групп. |
| член Of | Атрибут memberOf — это атрибут с несколькими значениями, который содержит список различающихся имен для групп, содержащих группу в качестве члена. Этот атрибут перечисляет группы, под которым группа непосредственно вложена, она не содержит рекурсивный список вложенных предшественников. Например, если группа D была вложена в группу C и группу B и группу B, вложена в группу A, атрибут memberOf группы D будет перечислять группу C и группу B, но не группу A. |
| objectGUID | Атрибут objectGUID является атрибутом с одним значением, который является уникальным идентификатором объекта. Этот атрибут является глобальным уникальным идентификатором (GUID). При создании объекта в каталоге сервер Active Directory создает GUID и назначает его атрибуту objectGUID объекта. GUID является уникальным для всей организации и в любом другом месте. objectGUID — это 128-разрядная структура GUID, хранящаяся в виде octetString. |
| objectSid | Атрибут objectSid является атрибутом с одним значением, указывающим идентификатор безопасности группы. Идентификатор безопасности — это уникальное значение, используемое для идентификации группы в качестве субъекта безопасности. Это двоичное значение, которое система задает при создании группы. Каждая группа имеет уникальный идентификатор безопасности, который возникает в домене Windows NT/Windows 2000 Server, который хранится в атрибуте objectSid объекта группы в каталоге. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности для групп, в которых пользователь является членом, и помещает его в маркер доступа пользователя. Система использует идентификаторы безопасности в маркере доступа пользователя для идентификации пользователя и его членства в группах во всех последующих взаимодействиях с безопасностью Windows NT/Windows 2000. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, он никогда не может использоваться повторно для идентификации другого пользователя или группы. |
| sAMAccountName | Атрибут sAMAccountName является атрибутом единого значения, который является именем входа, используемым для поддержки клиентов и серверов из предыдущей версии (Windows 95, Windows 98 и LAN Manager). Значение sAMAccountName должно быть меньше 20 символов для поддержки клиентов и серверов из предыдущей версии. sAMAccountName должны быть уникальными среди всех объектов субъекта безопасности в домене. |
Типы групп
Существует два типа групп, определенных доменными службами Active Directory, группами безопасности и группами распространения .
Группа безопасности предоставляет логическую группу объектов и саму группу можно использовать в качестве субъекта безопасности в списке управления доступом (ACL). Когда группе безопасности предоставляется доступ к объекту, все члены группы безопасности автоматически получают тот же доступ к объекту. Группы безопасности с универсальной областью можно также использовать в качестве сущности электронной почты. Отправка сообщения электронной почты в универсальную группу безопасности отправляет сообщение всем членам группы.
Группа рассылки также предоставляет логическую группу объектов, но не может предоставлять какие-либо привилегии доступа. Группы рассылки не включены в систему безопасности и не могут использоваться в качестве субъекта безопасности в ACL. Группы рассылки используются только для группирования. Например, списки рассылки можно использовать с почтовыми приложениями, такими как Exchange, для отправки электронной почты в коллекцию пользователей.
Дополнительные сведения о типах групп в доменных службах Active Directory см. в разделе о типах групп Microsoft TechNet.
Область группы
Существует три области группы, определенные доменными службами Active Directory, универсальные, глобальные и локальные домена. Область группы определяет, какие типы объектов могут принадлежать группе, какие типы групп могут быть членами группы и областью объектов, к которым можно получить доступ. Если для уровня функциональности домена задан смешанный режим Windows 2000, группы безопасности с универсальной областью нельзя создать.
В следующей таблице перечислены три области группы и дополнительные сведения о каждой области для группы безопасности.
| Размах | Возможные члены | Преобразование области | Может предоставлять разрешения | Возможный член |
|---|---|---|---|---|
| Всеобщий |
Учетные записи из любого домена в одном лесу. Глобальные группы из любого домена в одном лесу. Другие универсальные группы из любого домена в одном лесу. |
Можно преобразовать в локальную область домена. Можно преобразовать в глобальную область, если группа не содержит других универсальных групп. |
В любом домене в одном лесу или доверенных лесах. |
Другие универсальные группы в том же лесу. Локальные группы домена в одном лесу или доверенных лесах. Локальные группы на компьютерах в одном лесу или доверенных лесах. |
| Глобальный |
Учетные записи из одного домена. Другие глобальные группы из того же домена. |
Можно преобразовать в универсальную область, если группа не является членом любой другой глобальной группы. |
В любом домене в одном лесу или доверенных доменах или лесах. |
Универсальные группы из любого домена в одном лесу. Другие глобальные группы из того же домена. Локальные группы домена из любого домена в одном лесу или из любого доверенного домена. |
| Локальный домен |
Учетные записи из любого домена или любого доверенного домена. Глобальные группы из любого домена или любого доверенного домена. Универсальные группы из любого домена в одном лесу. Другие локальные группы домена из того же домена. |
Можно преобразовать в универсальную область, если группа не содержит других локальных групп домена. |
В том же домене. |
Другие локальные группы домена из того же домена. Локальные группы на компьютерах в одном домене, за исключением встроенных групп с известными идентификаторами SID. |