Introduction to Active Directory Administrative Center Enhancements (Level 100)
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
Windows Server 中的 Active Directory 管理中心包含下列各項的管理功能:
Active Directory 資源回收筒
意外刪除 Active Directory 物件是 Active Directory 網域服務 (AD DS) 與 Active Directory 輕量型目錄服務 (AD LDS) 的使用者經常會發生的狀況。 在 Windows Server 2008 R2 之前的舊版 Windows Server 中,使用者可以復原在 Active Directory 中意外刪除的物件,但此解決方案有其缺點。
在 Windows Server 2008 中,您可以使用 Windows Server Backup 功能與 ntdsutil 權威還原命令將物件標示為權威,以確保還原的資料會複寫整個網域。 權威還原解決方案的缺點是必須在目錄服務還原模式 (DSRM) 中執行。 在 DSRM 期間,所還原的網域控制站必須保持離線。 因此,無法為用戶端要求提供服務。
在 Windows Server 2003 Active Directory 與 Windows Server 2008 AD DS 中,您可以透過重新引發標記來復原刪除的 Active Directory 物件。 不過,實際上已移除的重新引發物件的連結值屬性 (例如,使用者帳戶的群組成員資格) 和已清除的非連結值屬性並無法復原。 因此,系統管理員無法以重新引發標記做為意外刪除物件的根本解決方案。 如需重新引發標記的詳細資訊,請參閱 重新引發 Active Directory 標記物件。
從 Windows Server 2008 R2 開始,提供的 Active Directory 資源回收筒是建立在現有的標記重新引發基礎結構上,可以增強保存和復原意外刪除 Active Directory 物件的能力。
啟用 Active Directory 資源回收筒時,會保留已刪除之 Active Directory 物件的所有連結值與非連結值屬性,並將物件完整還原為與刪除之前相同的邏輯狀態。 例如,還原的使用者帳戶會自動重新取得它們在刪除之前,在網域內外擁有的所有群組成員資格和對應的存取權限。 Active Directory 資源回收筒可在 AD DS 與 AD LDS 環境中運作。 如需 Active Directory 資源回收筒的詳細說明,請參閱 AD DS 的新功能:Active Directory 資源回收筒。
新功能 在 Windows Server 2012 和更新版本中,Active Directory 資源回收筒的增強功能提供新的圖形化使用者介面,可供使用者管理和還原刪除的物件。 使用者現在可以看到已刪除物件的清單,並將它們還原到原始位置或您想要的位置。
如果您打算在 Windows Server 中啟用 Active Directory 資源回收筒,請考慮以下事項:
Active Directory 資源回收筒預設為停用。 若要將它啟用,必須先將 AD DS 或 AD LDS 環境的樹系功能等級提高至 Windows Server 2008 R2 或更高版本。 這樣的話,樹系中的所有網域控制站或裝載 AD LDS 組態集執行個體的所有伺服器都必須執行 Windows Server 2008 R2 或更高版本。
啟用 Active Directory 資源回收筒的程序是無法還原的。 當您在環境中啟用 Active Directory 資源回收筒之後,就無法將它停用。
若要透過使用者介面管理資源回收筒功能,您必須在 Windows Server 2012 中安裝 Active Directory 管理中心版本。
注意
您可以使用 [伺服器管理員] 安裝遠端伺服器管理工具 (RSAT),以利用正確的 Active Directory 管理中心版本的使用者介面來管理資源回收筒。
如需安裝 RSAT 的相關資訊,請參閱遠端伺服器管理工具一文。
Active Directory 資源回收筒逐步說明
在下列步驟中,您將在 Windows Server 2012 中使用 ADAC 來執行下列 Active Directory 資源回收筒工作:
注意
若要執行下列步驟,需要 Enterprise Admins 群組的成員資格或同等權限。
步驟 1:提高樹系功能等級
在這個步驟中,您將提高樹系功能等級。 目標樹系的功能等級至少必須提高到 Windows Server 2008 R2,才能啟用 Active Directory 資源回收筒。
提高目標樹系的功能等級
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
在左瀏覽窗格中按一下目標網域,然後在 [工作] 窗格中按一下 [提高樹系功能等級] 。 選取至少是 Windows Server 2008 R2 或更高版本的樹系功能等級,然後按一下 [確定]。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false
針對 –Identity 引數,指定完整 DNS 網域名稱。
步驟 2:啟用資源回收筒
在這個步驟中,您將啟用資源回收筒,以還原在 AD DS 中刪除的物件。
在目標網域的 ADAC 中啟用 Active Directory 資源回收筒
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
在 [工作] 窗格中,按一下 [工作] 窗格中的 [啟用資源回收筒...] ,按一下警告訊息方塊上的 [確定] ,再按一下 [確定] 以重新整理 ADAC 訊息。
按 F5 重新整理 ADAC。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
如果您遇到錯誤,您可以嘗試將架構主機和網域命名主機角色移至根網域中的相同網域控制站。 然後從該網域控制站執行 Cmdlet。
Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'
步驟 3:建立測試使用者、群組及組織單位
在下列程序中,您將建立兩個測試使用者。 接著建立一個測試群組,並將測試使用者新增到該群組。 此外,您也將建立組織單位。
建立測試使用者
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
在 [工作] 窗格中,依序按一下 [新增] 和 [使用者] 。
在 [帳戶] 下方輸入下列資訊,然後按一下 [確定]:
- 全名:test1
- 使用者 SamAccountName 登入:test1
- 密碼:p@ssword1
- 確認密碼:p@ssword1
重複上述步驟建立第二個使用者 test2。
建立測試群組,並將使用者新增到該群組。
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
在 [工作] 窗格中,依序按一下 [新增] 和 [群組] 。
在 [群組] 下方輸入下列資訊,然後按一下 [確定] :
- 群組名稱:group1
按一下 [group1] ,然後按一下 [工作] 窗格下方的 [內容] 。
依序按一下 [成員] 、[新增] ,輸入 test1;test2,然後按一下 [確定] 。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Add-ADGroupMember -Identity group1 -Member test1
建立組織單位
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理]、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定]
在 [工作] 窗格中,依序按一下 [新增] 和 [組織單位] 。
在 [組織單位] 下方輸入下列資訊,然後按一下 [確定] :
- NameOU1
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"
步驟 4:還原刪除的物件
在下列程序中,您要將 [Deleted Objects] 容器中的刪除物件還原到其原始位置和其他位置。
將刪除的物件還原到其原始位置
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
選取使用者 test1 與 test2,按一下 [工作] 窗格中的 [刪除] ,然後按一下 [是] 確認刪除。
Windows PowerShell 對應的命令下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false瀏覽至 [Deleted Objects] 容器,選取 test2 與 test1 ,然後按一下 [工作] 窗格中的 [還原] 。
為確認物件已還原到其原始位置,瀏覽至目標網域,確認使用者帳戶已經列出。
注意
如果您瀏覽至使用者帳戶 test1 與 test2 的 [內容] 並按一下 [成員隸屬] ,您會看到它們的群組成員資格也已還原。
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Windows PowerShell 對應的命令
Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject
將刪除的物件還原到其他位置
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
選取使用者 test1 與 test2,按一下 [工作] 窗格中的 [刪除] ,然後按一下 [是] 確認刪除。
瀏覽至 [Deleted Objects] 容器,選取 test2 與 test1 ,然後按一下 [工作] 窗格中的 [還原到] 。
選取 [OU1] ,然後按一下 [確定] 。
為確認物件已還原到 [OU1] ,瀏覽至目標網域,按兩下 [OU1] ,確認使用者帳戶已經列出。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"
更細緻的密碼原則
Windows Server 2008 作業系統可以讓組織為網域中的不同使用者集合定義不同的密碼和帳戶鎖定原則。 在 Windows Server 2008 以前的 Active Directory 網域中,網域中的所有使用者只能套用一個密碼原則和帳戶鎖定原則。 這些原則是在網域的 "Default Domain Policy" 中指定。 因此,需針對不同使用者集合設定不同密碼和帳戶鎖定設定的組織,就必須建立密碼篩選器或部署多個網域。 這兩種方法都是相當耗費成本的選項。
您可以使用更細緻的密碼原則在單一網域內指定多個密碼原則,然後將密碼和帳戶鎖定原則的不同限制套用到網域中的不同使用者集合。 例如,您可以將較嚴格的設定套用到權限帳戶,然後將較不嚴格的設定套用到其他使用者的帳戶。 在其他狀況下,您可能想為密碼與其他資料來源同步的帳戶套用特殊的密碼原則。 如需更細緻的密碼原則的詳細說明,請參閱 AD DS:更細緻的密碼原則
新功能
在 Windows Server 2012 和更新版本中,AD DS 系統管理員可以利用 ADAC 的使用者介面來管理更細緻的密碼原則管理,因此使用上更容易,而且更一目了然。 系統管理員現在可以檢視指定使用者的結果原則、檢視與排序指定網域中的所有密碼原則,並以視覺化方式管理個別的密碼原則。
如果您打算在 Windows Server 2012 中使用更細緻的密碼原則,請考慮以下事項:
更細緻的密碼原則只會套用到全域安全性群組和使用者物件 (或 inetOrgPerson 物件,如果使用它們代替使用者物件的話)。 根據預設,只有 Domain Admins 群組的成員可以設定更細緻的密碼原則。 不過,您也可以將設定這些原則的能力委派給其他使用者。 網域功能等級必須是 Windows Server 2008 或更高。
您必須使用 Windows Server 2012 和更新版本的 Active Directory 管理中心,透過圖形化使用者介面來管理更細緻的密碼原則。
注意
您可以使用 [伺服器管理員] 安裝遠端伺服器管理工具 (RSAT),以利用正確的 Active Directory 管理中心版本的使用者介面來管理資源回收筒。
如需安裝 RSAT 的相關資訊,請參閱遠端伺服器管理工具一文。
更細緻的密碼原則逐步說明
在下列步驟中,您將使用 ADAC 來執行下列更細緻的密碼原則工作:
- 步驟 1:提高網域功能等級
- 步驟 2:建立測試使用者、群組及組織單位
- 步驟 3:建立更細緻的新密碼原則
- 步驟 4:檢視使用者的原則結果組
- 步驟 5:編輯更細緻的密碼原則
- 步驟 6:刪除更細緻的密碼原則
注意
若要執行下列步驟,需要 Domain Admins 群組的成員資格或同等權限。
步驟 1:提高網域功能等級
在下列程序中,您會將目標網域的網域功能等級提高至 Windows Server 2008 或更高版本。 若要啟用更細緻的密碼原則,需要 Windows Server 2008 或更高版本的網域功能等級。
提高網域功能等級
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
在左瀏覽窗格中按一下目標網域,然後在 [工作] 窗格中按一下 [提高網域功能等級] 。 選取至少是 Windows Server 2008 或更高版本的樹系功能等級,然後按一下 [確定]。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Set-ADDomainMode -Identity contoso.com -DomainMode 3
步驟 2:建立測試使用者、群組及組織單位
若要建立這個步驟需要的測試使用者與群組,請依照步驟 3:建立測試使用者、群組及組織單位中的程序進行 (您不需要建立組織單位,就可以示範更細緻的密碼原則)。
步驟 3:建立更細緻的新密碼原則
在下列程序中,您將使用 ADAC 的 UI 來建立更細緻的密碼原則。
建立新的更細緻的密碼原則
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
在 ADAC [瀏覽窗格] 中,開啟 [System] 容器,然後按一下 [Password Settings Container] 。
在 [工作] 窗格中,依序按一下 [新增] 和 [密碼設定] 。
填入或編輯內容頁面的欄位,以建立新的 [密碼設定] 物件。 [名稱] 和 [優先順序] 欄位是必要欄位。
按一下 [直接套用至] 下方的 [新增],輸入 group1,然後按一下 [確定]。
這樣會將密碼原則物件與您為測試環境建立的全域群組成員關聯。
按一下 [確定] 以提交建立。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1
步驟 4:檢視使用者的原則結果組
在下列程序中,您將檢視使用者的結果密碼設定,該使用者是您在 Step 3: Create a new fine-grained password policy中為其指派更細緻的密碼原則之群組的成員。
檢視使用者的原則結果組
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
選取使用者 test1 ,該使用者隸屬於您將之與 Step 3: Create a new fine-grained password policy 中更細緻密碼原則相關聯的群組 - group1。
按一下 [工作] 窗格中的 [檢視結果原則設定] 。
檢查密碼設定原則,然後按一下 [取消] 。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Get-ADUserResultantPasswordPolicy test1
步驟 5:編輯更細緻的密碼原則
在下列程序中,您將編輯在 Step 3: Create a new fine-grained password policy中建立的更細緻的密碼原則。
編輯更細緻的密碼原則
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
在 ADAC [瀏覽窗格] 中,展開 [System] ,然後按一下 [Password Settings Container] 。
選取您在 Step 3: Create a new fine-grained password policy 中建立的更細緻的密碼原則,然後按一下 [工作] 窗格中的 [內容] 。
在 [強制密碼歷程記錄] 下方,將 [記住的密碼數目] 值變更為 [30] 。
按一下 [確定]。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"
步驟 6:刪除更細緻的密碼原則
刪除更細緻的密碼原則
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
在 ADAC [瀏覽窗格] 中,展開 [System] ,然後按一下 [Password Settings Container] 。
選取您在 Step 3: Create a new fine-grained password policy 中建立的更細緻的密碼原則,然後按一下 [工作] 窗格中的 [內容] 。
清除 [保護以防止被意外刪除] 核取方塊,然後按一下 [確定] 。
選取更細緻的密碼原則,然後在 [工作] 窗格按一下 [刪除] 。
按一下確認對話方塊中的 [確定] 。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm
Windows PowerShell 歷程記錄檢視器
ADAC 是建立在 Windows PowerShell 之上的使用者介面工具。 在 Windows Server 2012 和更新版本中,IT 系統管理員可以在 ADAC 中使用 Windows PowerShell 歷程記錄檢視器,了解 Active Directory cmdlets 適用的 Windows PowerShell。 當使用者在使用者介面執行動作時,可以在 Windows PowerShell 歷程記錄檢視器中看到對等的 Windows PowerShell 命令。 這樣能讓系統管理員建立自動化的指令碼並減少重複性的工作,因此可以提升 IT 產能。 此外,這個功能也可以減少了解 Active Directory 適用的 Windows PowerShell 所需的時間,增加使用者對於自動化指令碼正確性的信心。
在 Windows Server 2012 或更新版本中使用 Windows PowerShell 歷程記錄檢視器時,請考慮下列事項:
若要使用 Windows PowerShell 指令碼檢視器,必須使用 Windows Server 2012 或更新版本的 ADAC
注意
您可以使用 [伺服器管理員] 安裝遠端伺服器管理工具 (RSAT),以利用正確的 Active Directory 管理中心版本的使用者介面來管理資源回收筒。
如需安裝 RSAT 的相關資訊,請參閱遠端伺服器管理工具一文。
具備 Windows PowerShell 的基本知識。 例如,您必須了解 Windows PowerShell 中的管線輸送如何運作。 如需 Windows PowerShell 中管線輸送的詳細資訊,請參閱 Windows PowerShell 中的管線輸送與管線。
Windows PowerShell 歷程記錄檢視器逐步說明
在下列程序中,您將在 ADAC 中使用 Windows PowerShell 歷程記錄檢視器來建構 Windows PowerShell 指令碼。 開始這個程序之前,請從 group1 群組中移除使用者 test1。
使用 PowerShell 歷程記錄檢視器建構指令碼
用滑鼠右鍵按一下 Windows PowerShell 圖示,按一下 [以系統管理員身分執行],輸入 dsac.exe 以開啟 ADAC。
依序按一下 [管理] 、[新增瀏覽節點] ,在 [新增瀏覽節點] 對話方塊中選取適當的目標網域,然後按一下 [確定] 。
展開 ADAC 畫面下方的 [Windows PowerShell 歷程記錄] 窗格。
選取使用者 test1。
在 [工作] 窗格中按一下 [加入群組…]。
瀏覽至 [group1] ,按一下對話方塊中的 [確定] 。
瀏覽至 [Windows PowerShell 歷程記錄] 窗格,尋找剛才產生的命令。
複製命令並貼到您使用的編輯器,以建構您的指令碼。
例如,您可以修改命令以將其他使用者新增到 group1,或將 test1 新增到其他群組。