培训
组对象
组表示为Active Directory 域服务中的组对象。 下表列出了组对象的重要属性。
Attribute | 说明 |
---|---|
快递 之 家 | cn(或 Common-Name)是对象的相对可分辨名称的单值属性。 cn 是Active Directory 域服务中的组的名称。 与所有其他对象一样, 组的 cn 在包含该组的容器中的同级对象中必须是唯一的。 |
member | 成员属性是一个多值属性,其中包含作为组成员的用户、组和联系人对象的可分辨名称列表。 列表中的每个项都是对表示成员的对象的链接引用;因此,当移动或重命名成员对象时,Active Directory 服务器会自动更新成员属性中的可分辨名称。 |
groupType | groupType 属性是一个单值属性,它是一个整数,它使用以下位标志指定组类型和范围:
前三个标志指定组范围。 ADS_GROUP_TYPE_标准版CURITY_ENABLED标志指示组类型。 如果设置了此标志,则组是安全组。 如果未设置此标志,则组是通讯组。 有关详细信息,请参阅 组类型。 |
memberOf | memberOf 属性是一个多值属性,其中包含包含组作为成员的组的可分辨名称列表。 此属性列出该组直接嵌套的组,它不包含嵌套前置任务的递归列表。 例如,如果组 D 嵌套在组 C 中,组 B 和组 B 嵌套在组 A 中, 组 D 的 memberOf 属性将列出组 C 和组 B,而不是组 A。 |
objectGUID | objectGUID 属性是一个单值属性,它是该对象的唯一标识符。 此属性是全局唯一标识符(GUID)。 在目录中创建对象时,Active Directory 服务器将生成 GUID 并将其分配给对象的 objectGUID 属性。 GUID 在整个企业和其他地方都是独一无二的。 objectGUID 是存储为 OctetString 的 128 位 GUID 结构。 |
objectSid | objectSid 属性是一个单值属性,用于指定组的安全标识符(SID)。 SID 是用于将组标识为安全主体的唯一值。 这是系统在创建组时设置的二进制值。 每个组都有一个唯一的 SID,Windows NT/Windows 2000 Server 域问题存储在 目录中组对象的 objectSid 属性中。 每次用户登录时,系统都会检索用户所属组的 SID,并将其置于用户的访问令牌中。 系统使用用户访问令牌中的 SID 在与 Windows NT/Windows 2000 安全的所有后续交互中标识用户及其组成员身份。 当 SID 用作用户或组的唯一标识符时,它再也不能用于标识另一个用户或组。 |
sAMAccountName | sAMAccountName 属性是一个单值属性,它是用于支持以前版本(Windows 95、Windows 98 和 LAN 管理器)中的客户端和服务器的登录名。 sAMAccountName 应小于 20 个字符,以支持以前版本中的客户端和服务器。 sAMAccountName 在域中的所有安全主体对象中必须是唯一的。 |
Active Directory 域服务、安全组和通讯组定义了两种类型的组。
安全组提供对象的逻辑分组,组本身可用作访问控制列表(ACL)中的安全主体。 向安全组授予对对象的访问权限时,安全组的所有成员会自动接收对该对象的相同访问权限。 具有通用范围的安全组也可以用作电子邮件实体。 向通用安全组发送电子邮件会将该消息发送到该组的所有成员。
通讯组还提供对象的逻辑分组,但不能提供任何访问权限。 通讯组未启用安全性,不能用作 ACL 中的安全主体。 通讯组仅用于分组目的。 例如,通讯组列表可与电子邮件应用程序(如 Exchange)一起使用,以向用户集合发送电子邮件。
有关Active Directory 域服务中的组类型的详细信息,请参阅 Microsoft TechNet 上的组类型主题。
有三个组范围由Active Directory 域服务、通用、全局和域本地定义。 组的范围定义对象可以属于该组的类型、组可以是成员的组类型以及安全组可以访问的对象范围。 当域功能级别设置为 Windows 2000 混合模式时,无法创建具有通用范围的安全组。
下表列出了三个组范围,以及有关安全组的每个作用域的详细信息。
范围 | 可能的成员 | 范围转换 | 可以授予权限 | 可能的成员 |
---|---|---|---|---|
通用 |
来自同一林中任何域的帐户。 来自同一林中任何域的全局组。 同一林中任何域中的其他通用组。 |
可以转换为域本地范围。 只要组不包含任何其他通用组,就可以转换为全局范围。 |
在同一林或信任林中的任何域中。 |
同一林中的其他通用组。 同一林或信任林中的域本地组。 同一林或信任林中的计算机上的本地组。 |
全局 |
同一域中的帐户。 同一域中的其他全局组。 |
只要组不是任何其他全局组的成员,就可以转换为通用范围。 |
在同一林或信任域或林中的任何域中。 |
来自同一林中任何域的通用组。 同一域中的其他全局组。 来自同一林中的任何域或任何信任域的域本地组。 |
本地域 |
来自任何域或任何受信任域的帐户。 来自任何域或任何受信任域的全局组。 来自同一林中任何域的通用组。 同一域中的其他域本地组。 |
只要组不包含任何其他域本地组,就可以转换为通用范围。 |
在同一域中。 |
同一域中的其他域本地组。 同一域中计算机的本地组,不包括具有已知 SID 的内置组。 |