Compartir a través de

Crear grupos en un dominio

  • Artículo

Se crea un objeto de grupo en Servicios de dominio de Active Directory en el contenedor de dominios donde se incluirá el nuevo grupo. Los grupos se pueden crear en la raíz del dominio, dentro de una unidad organizativa o dentro de un contenedor. Para crear un objeto de grupo, use el MÉTODO IADsContainer::Create o IDirectoryObject::CreateDSObject .

Se requieren los siguientes atributos para convertir el objeto de grupo en un grupo legal que reconocerá el servidor de Active Directory y el sistema de seguridad de Windows:

Cn

Especifica el nombre del objeto de grupo en el directorio. Este será el nombre distintivo relativo del objeto dentro del contenedor donde se crea el grupo.

groupType

Contiene un entero que especifica el tipo de grupo y el ámbito. La enumeración ADS_GROUP_TYPE_ENUM define los valores posibles para el atributo groupType .

En la lista siguiente se definen los tipos de grupo comunes y los valores de este atributo.

Distribución local de dominio

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP

Seguridad local de dominio

| ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Distribución global

ADS_GROUP_TYPE_GLOBAL_GROUP

Seguridad global

| ADS_GROUP_TYPE_GLOBAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Distribución universal

ADS_GROUP_TYPE_UNIVERSAL_GROUP

Seguridad universal

| ADS_GROUP_TYPE_UNIVERSAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Si el grupo está pensado para establecer el control de acceso en objetos de directorio, el grupo debe ser un grupo de seguridad global o de seguridad universal.

Tenga en cuenta que los grupos de seguridad universal solo se pueden crear en dominios de Windows 2000 que se ejecutan en modo nativo. Para obtener más información sobre cómo detectar el modo mixto y nativo, consulte Detección del modo de operación de un dominio.

Samaccountname

Contiene una cadena que es el nombre que se usa para admitir clientes y servidores de una versión anterior. SAMAccountName debe tener menos de 20 caracteres para admitir clientes de una versión anterior de Windows.

SAMAccountName debe ser único entre todos los objetos de entidad de seguridad del dominio. Se debe realizar una consulta en el dominio para comprobar que sAMAccountName es único dentro del dominio.

Los miembros del grupo se pueden agregar en tiempo de creación mediante el método IDirectoryObject::CreateDSObject . Opcionalmente, los miembros se pueden agregar al grupo después de la creación mediante el método IADsGroup::Add . Para obtener más información sobre cómo agregar miembros a un grupo, vea Agregar miembros a grupos en un dominio.