Freigeben über


Erstellen von Gruppen in einer Domäne

Ein Gruppenobjekt wird in Active Directory Domain Services im Domänencontainer erstellt, in dem die neue Gruppe enthalten sein wird. Gruppen können am Stamm der Domäne, innerhalb einer Organisationseinheit oder in einem Container erstellt werden. Verwenden Sie zum Erstellen eines Gruppenobjekts die Methode IADsContainer::Create oder die IDirectoryObject::CreateDSObject-Methode .

Die folgenden Attribute sind erforderlich, um das Gruppenobjekt zu einer rechtlichen Gruppe zu machen, die vom Active Directory-Server und dem Windows-Sicherheitssystem erkannt wird:

Cn

Gibt den Namen des Gruppenobjekts im Verzeichnis an. Dies ist der relative distinguished Name des Objekts innerhalb des Containers, in dem die Gruppe erstellt wird.

Grouptype

Enthält eine ganze Zahl, die den Gruppentyp und den Bereich angibt. Die ADS_GROUP_TYPE_ENUM-Enumeration definiert die möglichen Werte für das groupType-Attribut .

In der folgenden Liste werden allgemeine Gruppentypen und Werte für dieses Attribut definiert.

Lokale Domänenverteilung

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP

Lokale Domänensicherheit

| ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Globale Verteilung

ADS_GROUP_TYPE_GLOBAL_GROUP

Globale Sicherheit

| ADS_GROUP_TYPE_GLOBAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Universelle Verteilung

ADS_GROUP_TYPE_UNIVERSAL_GROUP

Universelle Sicherheit

| ADS_GROUP_TYPE_UNIVERSAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Wenn die Gruppe zum Festlegen der Zugriffssteuerung für Verzeichnisobjekte vorgesehen ist, sollte die Gruppe eine Globale Sicherheit oder universelle Sicherheitsgruppe sein.

Beachten Sie, dass Universelle Sicherheitsgruppen nur unter Windows 2000-Domänen erstellt werden können, die im einheitlichen Modus ausgeführt werden. Weitere Informationen zum Erkennen des gemischten und einheitlichen Modus finden Sie unter Erkennen des Betriebsmodus einer Domäne.

Samaccountname

Enthält eine Zeichenfolge mit dem Namen, der zum Unterstützen von Clients und Servern aus einer früheren Version verwendet wird. Der sAMAccountName sollte weniger als 20 Zeichen lang sein, um Clients einer früheren Windows-Version zu unterstützen.

Der sAMAccountName muss für alle Sicherheitsprinzipalobjekte innerhalb der Domäne eindeutig sein. Es sollte eine Abfrage für die Domäne durchgeführt werden, um zu überprüfen, ob der sAMAccountName innerhalb der Domäne eindeutig ist.

Die Mitglieder der Gruppe können zur Erstellungszeit mit der IDirectoryObject::CreateDSObject-Methode hinzugefügt werden. Optional können Mitglieder nach der Erstellung mithilfe der IADsGroup::Add-Methode zur Gruppe hinzugefügt werden. Weitere Informationen zum Hinzufügen von Mitgliedern zu einer Gruppe finden Sie unter Hinzufügen von Mitgliedern zu Gruppen in einer Domäne.