Raggruppare oggetti
Un gruppo è rappresentato come oggetto gruppo in Dominio di Active Directory Services. Nella tabella seguente sono elencati gli attributi importanti dell'oggetto gruppo .
| Attributo | Descrizione |
|---|---|
| Cn | Cn (o Common-Name) è un attributo a valore singolo che corrisponde al nome distinto relativo dell'oggetto. Cn è il nome del gruppo in Dominio di Active Directory Services. Come per tutti gli altri oggetti, il cn di un gruppo deve essere univoco tra gli oggetti di pari livello nel contenitore che contiene il gruppo. |
| membro | L'attributo membro è un attributo multivalore che contiene l'elenco di nomi distinti per gli oggetti utente, gruppo e contatto membri del gruppo. Ogni elemento nell'elenco è un riferimento collegato all'oggetto che rappresenta il membro; pertanto, il server Active Directory aggiorna automaticamente i nomi distinti nella proprietà membro quando un oggetto membro viene spostato o rinominato. |
| groupType | L'attributo groupType è un attributo a valore singolo che è un numero intero che specifica il tipo di gruppo e l'ambito usando i flag di bit seguenti:
I primi tre flag specificano l'ambito del gruppo. Il flag ADS_GROUP_TYPE_edizione StandardCURITY_ENABLED indica il tipo di gruppo. Se questo flag è impostato, il gruppo è un gruppo di sicurezza. Se questo flag non è impostato, il gruppo è un gruppo di distribuzione. Per altre informazioni, vedere Tipi di gruppo. |
| Memberof | L'attributo memberOf è un attributo a più valori che contiene l'elenco di nomi distinti per i gruppi che contengono il gruppo come membro. Questo attributo elenca i gruppi sotto i quali il gruppo è annidato direttamente non contiene l'elenco ricorsivo di predecessori annidati. Ad esempio, se il gruppo D è stato annidato nel gruppo C e il gruppo B e il gruppo B sono annidati nel gruppo A, l'attributo memberOf del gruppo D elenca il gruppo C e il gruppo B, ma non il gruppo A. |
| Objectguid | L'attributo objectGUID è un attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto. Questo attributo è un identificatore univoco globale (GUID). Quando viene creato un oggetto nella directory, il server Active Directory genera un GUID e lo assegna all'attributo objectGUID dell'oggetto. Il GUID è univoco in tutta l'azienda e in qualsiasi altra posizione. ObjectGUID è una struttura GUID a 128 bit archiviata come OctetString. |
| objectSid | L'attributo objectSid è un attributo a valore singolo che specifica l'identificatore di sicurezza (SID) del gruppo. Il SID è un valore univoco usato per identificare il gruppo come entità di sicurezza. Si tratta di un valore binario impostato dal sistema al momento della creazione del gruppo. Ogni gruppo ha un SID univoco che il dominio di Windows NT/Windows 2000 Server viene archiviato nell'attributo objectSid dell'oggetto gruppo nella directory. Ogni volta che un utente accede, il sistema recupera il SID per i gruppi di cui l'utente è membro e lo inserisce nel token di accesso dell'utente. Il sistema usa i SID nel token di accesso dell'utente per identificare l'utente e le appartenenze ai gruppi in tutte le interazioni successive con la sicurezza di Windows NT/Windows 2000. Quando un SID è stato usato come identificatore univoco per un utente o un gruppo, non può mai essere usato di nuovo per identificare un altro utente o gruppo. |
| sAMAccountName | L'attributo sAMAccountName è un attributo a valore singolo, ovvero il nome di accesso usato per supportare client e server da una versione precedente (Windows 95, Windows 98 e LAN Manager). SAMAccountName deve contenere meno di 20 caratteri per supportare client e server di una versione precedente. SAMAccountName deve essere univoco tra tutti gli oggetti entità di sicurezza all'interno di un dominio. |
Tipi di gruppo
Esistono due tipi di gruppi definiti da Dominio di Active Directory Services, gruppi di sicurezza e gruppi di distribuzione.
Un gruppo di sicurezza fornisce un raggruppamento logico di oggetti e il gruppo stesso può essere usato come entità di sicurezza in un elenco di Controllo di accesso . Quando a un gruppo di sicurezza viene concesso l'accesso a un oggetto, tutti i membri del gruppo di sicurezza ricevono automaticamente lo stesso accesso all'oggetto. I gruppi di sicurezza con ambito universale possono essere usati anche come entità di posta elettronica. L'invio di un messaggio di posta elettronica a un gruppo di sicurezza universale invia il messaggio a tutti i membri del gruppo.
Un gruppo di distribuzione fornisce anche un raggruppamento logico di oggetti, ma non può fornire privilegi di accesso. I gruppi di distribuzione non sono abilitati per la sicurezza e non possono essere usati come entità di sicurezza in un elenco di controllo di accesso. I gruppi di distribuzione vengono usati solo a scopo di raggruppamento. Ad esempio, le liste di distribuzione possono essere usate con applicazioni di posta elettronica, ad esempio Exchange, per inviare messaggi di posta elettronica a una raccolta di utenti.
Per altre informazioni sui tipi di gruppo in Dominio di Active Directory Services, vedere l'argomento Tipi di gruppo in Microsoft TechNet.
Ambito gruppo
Esistono tre ambiti di gruppo definiti da Dominio di Active Directory Services, Universal, Global e Domain Local. L'ambito del gruppo definisce i tipi di oggetto a cui può appartenere il gruppo, i tipi di gruppi a cui il gruppo può essere membro e l'ambito degli oggetti a cui è possibile accedere i gruppi di sicurezza. Quando il livello di funzionalità del dominio è impostato sulla modalità mista Windows 2000, non è possibile creare gruppi di sicurezza con ambito universale.
Nella tabella seguente sono elencati i tre ambiti di gruppo e altre informazioni su ogni ambito per un gruppo di sicurezza.
| Ambito | Membri possibili | Conversione dell'ambito | Può concedere autorizzazioni | Possibile membro di |
|---|---|---|---|---|
| Universale |
Account di qualsiasi dominio nella stessa foresta. Gruppi globali di qualsiasi dominio nella stessa foresta. Altri gruppi universali di qualsiasi dominio nella stessa foresta. |
Può essere convertito nell'ambito locale del dominio. Può essere convertito nell'ambito globale purché il gruppo non contenga altri gruppi universali. |
In qualsiasi dominio nella stessa foresta o foreste attendibili. |
Altri gruppi universali nella stessa foresta. Gruppi locali di dominio nella stessa foresta o foreste attendibili. Gruppi locali nei computer nella stessa foresta o foreste attendibili. |
| Generale |
Account dello stesso dominio. Altri gruppi globali dello stesso dominio. |
Può essere convertito nell'ambito universale purché il gruppo non sia membro di un altro gruppo globale. |
In qualsiasi dominio nella stessa foresta o domini o foreste attendibili. |
Gruppi universali di qualsiasi dominio nella stessa foresta. Altri gruppi globali dello stesso dominio. Gruppi locali di dominio da qualsiasi dominio nella stessa foresta o da qualsiasi dominio attendibile. |
| Locale di dominio |
Account di qualsiasi dominio o di qualsiasi dominio attendibile. Gruppi globali da qualsiasi dominio o dominio attendibile. Gruppi universali di qualsiasi dominio nella stessa foresta. Altri gruppi locali di dominio dello stesso dominio. |
Può essere convertito nell'ambito universale purché il gruppo non contenga altri gruppi locali di dominio. |
All'interno dello stesso dominio. |
Altri gruppi locali di dominio dello stesso dominio. Gruppi locali nei computer nello stesso dominio, esclusi i gruppi predefiniti con SID noti. |