Création de groupes dans un domaine
Un objet de groupe est créé dans services de domaine Active Directory dans le conteneur de domaine dans lequel le nouveau groupe sera contenu. Les groupes peuvent être créés à la racine du domaine, dans une unité organisationnelle ou dans un conteneur. Pour créer un objet de groupe, utilisez la méthode IADsContainer::Create ou IDirectoryObject::CreateDSObject .
Les attributs suivants sont requis pour faire de l’objet de groupe un groupe juridique que le serveur Active Directory et le système de sécurité Windows reconnaîtront :
-
Cn
-
Spécifie le nom de l’objet de groupe dans le répertoire. Il s’agit du nom unique relatif de l’objet dans le conteneur où le groupe est créé.
-
groupType
-
Contient un entier qui spécifie le type et l’étendue du groupe. L’énumération ADS_GROUP_TYPE_ENUM définit les valeurs possibles pour l’attribut groupType.
La liste suivante définit des types de groupes et des valeurs courants pour cet attribut.
-
Distribution locale du domaine
-
ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
-
Sécurité locale du domaine
-
| ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED
-
Distribution globale
-
ADS_GROUP_TYPE_GLOBAL_GROUP
-
Sécurité globale
-
| ADS_GROUP_TYPE_GLOBAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED
-
Distribution universelle
-
ADS_GROUP_TYPE_UNIVERSAL_GROUP
-
Sécurité universelle
-
| ADS_GROUP_TYPE_UNIVERSAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED
Si le groupe est destiné à définir le contrôle d’accès sur les objets d’annuaire, le groupe doit être un groupe Sécurité globale ou Sécurité universelle.
N’oubliez pas que les groupes de sécurité universelle ne peuvent être créés que sur les domaines Windows 2000 s’exécutant en mode natif. Pour plus d’informations sur la détection du mode mixte et natif, consultez Détection du mode d’opération d’un domaine.
-
-
Samaccountname
-
Contient une chaîne qui est le nom utilisé pour prendre en charge les clients et les serveurs d’une version précédente. SAMAccountName doit comporter moins de 20 caractères pour prendre en charge les clients d’une version précédente de Windows.
Le sAMAccountName doit être unique parmi tous les objets principaux de sécurité au sein du domaine. Une requête doit être effectuée sur le domaine pour vérifier que sAMAccountName est unique au sein du domaine.
Les membres du groupe peuvent être ajoutés au moment de la création à l’aide de la méthode IDirectoryObject::CreateDSObject . Vous pouvez éventuellement ajouter des membres au groupe après sa création à l’aide de la méthode IADsGroup::Add . Pour plus d’informations sur l’ajout de membres à un groupe, consultez Ajout de membres à des groupes dans un domaine.