Поделиться через

Создание групп в домене

  • Статья

Объект группы создается в домен Active Directory Services в контейнере домена, где будет содержаться новая группа. Группы можно создавать в корне домена, в пределах подразделения или в контейнере. Чтобы создать объект группы, используйте метод IADsContainer::Create или IDirectoryObject::CreateDSObject.

Следующие атрибуты необходимы для создания объекта группы юридической группы, распознаваемой сервером Active Directory и системой безопасности Windows:

Cn

Указывает имя объекта группы в каталоге. Это будет относительное имя объекта в контейнере, где создается группа.

groupType

Содержит целое число, указывающее тип группы и область. Перечисление ADS_GROUP_TYPE_ENUM определяет возможные значения атрибута groupType .

В следующем списке определены распространенные типы и значения групп для этого атрибута.

Локальное распределение домена

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP

Локальная безопасность домена

| ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Глобальное распределение

ADS_GROUP_TYPE_GLOBAL_GROUP

Глобальная безопасность

| ADS_GROUP_TYPE_GLOBAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Универсальное распределение

ADS_GROUP_TYPE_UNIVERSAL_GROUP

Универсальная безопасность

| ADS_GROUP_TYPE_UNIVERSAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Если группа предназначена для настройки управления доступом к объектам каталога, группа должна быть глобальной или универсальной группой безопасности.

Помните, что группы универсальной безопасности можно создавать только в доменах Windows 2000, работающих в собственном режиме. Дополнительные сведения об обнаружении смешанного и собственного режима см. в разделе "Обнаружение режима работы домена".

sAMAccountName

Содержит строку, которая является именем, используемой для поддержки клиентов и серверов из предыдущей версии. Значение sAMAccountName должно быть меньше 20 символов для поддержки клиентов предыдущей версии Windows.

SAMAccountName должен быть уникальным среди всех объектов субъекта безопасности в домене. Запрос должен выполняться в домене, чтобы убедиться, что имя sAMAccountName уникально в домене.

Члены группы можно добавлять во время создания с помощью метода IDirectoryObject::CreateDSObject. При необходимости члены можно добавить в группу после создания с помощью метода IADsGroup::Add . Дополнительные сведения о добавлении участников в группу см. в разделе "Добавление участников в группы" в домене.