Condividi tramite

Creazione di gruppi in un dominio

  • Articolo

Un oggetto gruppo viene creato in Active Directory Domain Services nel contenitore di dominio in cui sarà contenuto il nuovo gruppo. I gruppi possono essere creati nella radice del dominio, all'interno di un'unità organizzativa o all'interno di un contenitore. Per creare un oggetto gruppo, utilizzare il metodo IADsContainer::Create o il metodo IDirectoryObject::CreateDSObject.

Per rendere l'oggetto gruppo un gruppo valido riconosciuto dal server Active Directory e dal sistema di sicurezza di Windows, sono necessari gli attributi seguenti:

cn

Specifica il nome dell'oggetto di gruppo nella directory. Si tratta del nome distinto relativo dell'oggetto all'interno del contenitore in cui viene creato il gruppo.

tipoGruppo

Contiene un numero intero che specifica il tipo di gruppo e l'ambito. L'enumerazione ADS_GROUP_TYPE_ENUM definisce i valori possibili per l'attributo groupType.

L'elenco seguente definisce i tipi e i valori di gruppo comuni per questo attributo.

distribuzione locale del dominio

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP

sicurezza locale del dominio

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED

distribuzione globale

ADS_GROUP_TYPE_GLOBAL_GROUP

sicurezza globale

TIPO_GRUPPO_ADS_GRUPPO_GLOBALE | TIPO_GRUPPO_ADS_ABILITATO_SICUREZZA

distribuzione universale

ADS_GROUP_TYPE_UNIVERSAL_GROUP

la sicurezza universale

ADS_GROUP_TYPE_UNIVERSAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED

Se il gruppo è destinato all'impostazione del controllo di accesso sugli oggetti directory, il gruppo deve essere un gruppo sicurezza globale o di sicurezza universale.

Tenere presente che i gruppi di sicurezza universale possono essere creati solo nei domini di Windows 2000 in esecuzione in modalità nativa. Per altre informazioni sul rilevamento della modalità mista e nativa, vedere Rilevamento della modalità operativa di un dominio.

sAMAccountName

Contiene una stringa che corrisponde al nome usato per supportare client e server di una versione precedente. Il sAMAccountName deve contenere meno di 20 caratteri per supportare i client di una versione precedente di Windows.

Il sAMAccountName deve essere univoco tra tutti gli oggetti dell'entità di sicurezza all'interno del dominio. È necessario eseguire una query sul dominio per verificare che il sAMAccountName sia univoco all'interno del dominio.

I membri del gruppo possono essere aggiunti in fase di creazione usando il metodo IDirectoryObject::CreateDSObject. Facoltativamente, i membri possono essere aggiunti al gruppo dopo la creazione usando il metodo IADsGroup::Add. Per altre informazioni sull'aggiunta di membri a un gruppo, vedere Aggiunta di membri a gruppi in un dominio.