Creazione di gruppi in un dominio
Un oggetto gruppo viene creato in Active Directory Domain Services nel contenitore di dominio in cui sarà contenuto il nuovo gruppo. I gruppi possono essere creati nella radice del dominio, all'interno di un'unità organizzativa o all'interno di un contenitore. Per creare un oggetto gruppo, utilizzare il metodo IADsContainer::Create o il metodo IDirectoryObject::CreateDSObject.
Per rendere l'oggetto gruppo un gruppo valido riconosciuto dal server Active Directory e dal sistema di sicurezza di Windows, sono necessari gli attributi seguenti:
-
cn
-
Specifica il nome dell'oggetto di gruppo nella directory. Si tratta del nome distinto relativo dell'oggetto all'interno del contenitore in cui viene creato il gruppo.
-
tipoGruppo
-
Contiene un numero intero che specifica il tipo di gruppo e l'ambito. L'enumerazione ADS_GROUP_TYPE_ENUM definisce i valori possibili per l'attributo groupType.
L'elenco seguente definisce i tipi e i valori di gruppo comuni per questo attributo.
-
distribuzione locale del dominio
-
ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
-
sicurezza locale del dominio
-
ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED
-
distribuzione globale
-
ADS_GROUP_TYPE_GLOBAL_GROUP
-
sicurezza globale
-
TIPO_GRUPPO_ADS_GRUPPO_GLOBALE | TIPO_GRUPPO_ADS_ABILITATO_SICUREZZA
-
distribuzione universale
-
ADS_GROUP_TYPE_UNIVERSAL_GROUP
-
la sicurezza universale
-
ADS_GROUP_TYPE_UNIVERSAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED
Se il gruppo è destinato all'impostazione del controllo di accesso sugli oggetti directory, il gruppo deve essere un gruppo sicurezza globale o di sicurezza universale.
Tenere presente che i gruppi di sicurezza universale possono essere creati solo nei domini di Windows 2000 in esecuzione in modalità nativa. Per altre informazioni sul rilevamento della modalità mista e nativa, vedere Rilevamento della modalità operativa di un dominio.
-
-
sAMAccountName
-
Contiene una stringa che corrisponde al nome usato per supportare client e server di una versione precedente. Il sAMAccountName deve contenere meno di 20 caratteri per supportare i client di una versione precedente di Windows.
Il sAMAccountName deve essere univoco tra tutti gli oggetti dell'entità di sicurezza all'interno del dominio. È necessario eseguire una query sul dominio per verificare che il sAMAccountName sia univoco all'interno del dominio.
I membri del gruppo possono essere aggiunti in fase di creazione usando il metodo IDirectoryObject::CreateDSObject. Facoltativamente, i membri possono essere aggiunti al gruppo dopo la creazione usando il metodo IADsGroup::Add. Per altre informazioni sull'aggiunta di membri a un gruppo, vedere Aggiunta di membri a gruppi in un dominio.