Objetos de grupo
Um grupo é representado como um objeto de grupo nos Serviços de Domínio Active Directory. A tabela a seguir lista atributos importantes do objeto de grupo .
| Atributo | Descrição |
|---|---|
| Cn | O cn (ou Common-Name) é um atributo de valor único que é o nome distinto relativo do objeto. O cn é o nome do grupo nos Serviços de Domínio Active Directory. Como acontece com todos os outros objetos, o cn de um grupo deve ser exclusivo entre os objetos irmãos no contêiner que contém o grupo. |
| member | O atributo member é um atributo de vários valores que contém a lista de nomes distintos para os objetos de usuário, grupo e contato que são membros do grupo. Cada item na lista é uma referência vinculada ao objeto que representa o membro; portanto, o servidor do Active Directory atualiza automaticamente os nomes distintos na propriedade de membro quando um objeto de membro é movido ou renomeado. |
| groupType | O atributo groupType é um atributo de valor único que é um inteiro que especifica o tipo de grupo e o escopo usando os seguintes sinalizadores de bits:
Os três primeiros sinalizadores especificam o escopo do grupo. O sinalizador ADS_GROUP_TYPE_SECURITY_ENABLED indica o tipo de grupo. Se esse sinalizador estiver definido, o grupo será um grupo de segurança. Se esse sinalizador não estiver definido, o grupo será um grupo de distribuição. Para obter mais informações, consulte Tipos de grupo. |
| membroDe | O atributo memberOf é um atributo de vários valores que contém a lista de nomes distintos para grupos que contêm o grupo como membro. Esse atributo lista os grupos abaixo dos quais o grupo está aninhado diretamente, ele não contém a lista recursiva de predecessores aninhados. Por exemplo, se o grupo D estivesse aninhado no grupo C e o grupo B e o grupo B estivessem aninhados no grupo A, o atributo memberOf do grupo D listaria o grupo C e o grupo B, mas não o grupo A. |
| objectGUID | O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto. Esse atributo é um GUID (Identificador Globalmente Exclusivo). Quando um objeto é criado no diretório, o servidor do Active Directory gera um GUID e o atribui ao atributo objectGUID do objeto. O GUID é exclusivo em toda a empresa e em qualquer outro lugar. O objectGUID é uma estrutura GUID de 128 bits armazenada como OctetString. |
| objetoSid | O atributo objectSid é um atributo de valor único que especifica o identificador de segurança (SID) do grupo. O SID é um valor exclusivo usado para identificar o grupo como uma entidade de segurança. É um valor binário que o sistema define quando o grupo é criado. Cada grupo tem um SID exclusivo que o domínio do Windows NT/Windows 2000 Server emite que é armazenado no atributo objectSid do objeto de grupo no diretório. Cada vez que um usuário faz logon, o sistema recupera o SID para os grupos dos quais o usuário é membro e o coloca no token de acesso do usuário. O sistema usa os SIDs no token de acesso do usuário para identificar o usuário e suas associações de grupo em todas as interações subsequentes com a segurança do Windows NT/Windows 2000. Quando um SID foi usado como o identificador exclusivo para um usuário ou grupo, ele nunca mais poderá ser usado para identificar outro usuário ou grupo. |
| sAMAccountName | O atributo sAMAccountName é um atributo de valor único que é o nome de logon usado para oferecer suporte a clientes e servidores de uma versão anterior (Windows 95, Windows 98 e LAN Manager). O sAMAccountName deve ter menos de 20 caracteres para oferecer suporte a clientes e servidores de uma versão anterior. O sAMAccountName deve ser exclusivo entre todos os objetos de entidade de segurança em um domínio. |
Tipos de grupo
Há dois tipos de grupos definidos pelos Serviços de Domínio Active Directory, Grupos de Segurança e Grupos de Distribuição.
Um grupo de segurança fornece um agrupamento lógico de objetos e o próprio grupo pode ser usado como uma entidade de segurança em uma lista de controle de acesso (ACL). Quando um grupo de segurança recebe acesso a um objeto, todos os membros do grupo de segurança recebem automaticamente o mesmo acesso ao objeto. Os grupos de segurança com escopo Universal também podem ser usados como uma entidade de email. O envio de uma mensagem de email para um grupo de segurança universal envia a mensagem para todos os membros do grupo.
Um grupo de distribuição também fornece um agrupamento lógico de objetos, mas não pode fornecer privilégios de acesso. Os grupos de distribuição não estão habilitados para segurança e não podem ser usados como uma entidade de segurança em uma ACL. Os grupos de distribuição são usados apenas para fins de agrupamento. Por exemplo, as listas de distribuição podem ser usadas com aplicativos de email, como o Exchange, para enviar emails a uma coleção de usuários.
Para obter mais informações sobre tipos de grupo nos Serviços de Domínio Active Directory, consulte o tópico Tipos de grupo no Microsoft TechNet.
Escopo do Grupo
Há três escopos de grupo definidos pelos Serviços de Domínio Active Directory, Universal, Global e Local de Domínio. O escopo do grupo define quais tipos de objeto podem pertencer ao grupo, de quais tipos de grupos o grupo pode ser membro e o escopo de objetos aos quais os grupos de segurança podem ter acesso. Quando o nível funcional do domínio é definido para o modo misto do Windows 2000, grupos de segurança com escopo universal não podem ser criados.
A tabela a seguir lista os três escopos de grupo e mais informações sobre cada escopo de um grupo de segurança.
| Escopo | Possíveis membros | Conversão de escopo | Pode conceder permissões | Possível membro de |
|---|---|---|---|---|
| Universal |
Contas de qualquer domínio na mesma floresta. Grupos globais de qualquer domínio na mesma floresta. Outros grupos universais de qualquer domínio na mesma floresta. |
Pode ser convertido em escopo local de domínio. Pode ser convertido em escopo global, desde que o grupo não contenha outros grupos universais. |
Em qualquer domínio na mesma floresta ou florestas confiáveis. |
Outros grupos universais na mesma floresta. Grupos locais de domínio na mesma floresta ou florestas confiáveis. Grupos locais em máquinas na mesma floresta ou em florestas confiáveis. |
| Global |
Contas do mesmo domínio. Outros grupos globais do mesmo domínio. |
Pode ser convertido em escopo universal, desde que o grupo não seja membro de nenhum outro grupo global. |
Em qualquer domínio na mesma floresta ou em domínios ou florestas confiáveis. |
Grupos universais de qualquer domínio na mesma floresta. Outros grupos globais do mesmo domínio. Grupos locais de domínio de qualquer domínio na mesma floresta ou de qualquer domínio confiável. |
| Local de Domínio |
Contas de qualquer domínio ou domínio confiável. Grupos globais de qualquer domínio ou domínio confiável. Grupos universais de qualquer domínio na mesma floresta. Outros grupos locais de domínio do mesmo domínio. |
Pode ser convertido em escopo universal, desde que o grupo não contenha nenhum outro grupo local de domínio. |
Dentro do mesmo domínio. |
Outros grupos locais de domínio do mesmo domínio. Grupos locais em computadores no mesmo domínio, excluindo grupos internos que têm SIDs conhecidos. |