创建新组
企业管理员 Joe Worden 必须创建新组。 他希望根据此组的成员身份保护某些资源,例如文件、Active Directory 对象或其他对象。 下面的代码示例演示如何创建新组。
Set ou = GetObject("LDAP://OU=Sales,DC=Fabrikam,DC=COM")
Set grp = ou.Create("group", "CN=Management")
grp.Put "samAccountName", "mgmt"
grp.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP Or ADS_GROUP_TYPE_SECURITY_ENABLED
grp.SetInfo
此组管理将在 Sales 组织单位中创建。 首先,Joe 必须为 Sales 组织单位创建 ADSI 对象。 其次,他必须对此对象设置 samAccountName 属性,因为它是向后兼容性的必需属性。 对于此示例,设置 samAccountName 时,Windows NT 4.0 工具(如 User Manager)将属性视为 mgmt 而不是 Management。
第三,Joe 必须指定组的类型。 在 Windows 2000 域中,有三种类型的组:全局、域本地和通用。 此外,该组还具有其安全特征。 组可以是启用安全或非安全组。 实质上,启用了安全功能的组是可以授予或拒绝对资源的访问权限(类似于用户)的组。 例如,授予组对文件共享的访问权限意味着该组的所有成员都可以访问文件共享。 通讯组列表不能以类似的方式使用—例如,不能向通讯组列表授予访问文件共享的权限。 在升级期间,Windows NT 4.0 组迁移为启用了安全功能的组。 Active Directory 中的非安全组类似于Exchange中的通讯组列表。 因此,在 2000 Windows中创建组或通讯组列表是类似的操作。 在 Windows 2000 本机模式 (本机模式中,表示域中所有域控制器都是运行 Windows 2000 Server) 的计算机,组可以嵌套到任何级别。
相关主题