组对象

组表示为Active Directory 域服务中的组对象。 下表列出了组对象的重要属性

Attribute 说明
快递 之 家 cn(或 Common-Name)是对象的相对可分辨名称的单值属性。 cn 是Active Directory 域服务中的组的名称。 与所有其他对象一样, 组的 cn 在包含该组的容器中的同级对象中必须是唯一的。
member 成员属性是一个多值属性,其中包含作为组成员的用户、组和联系人对象的可分辨名称列表。 列表中的每个项都是对表示成员的对象的链接引用;因此,当移动或重命名成员对象时,Active Directory 服务器会自动更新成员属性中的可分辨名称。
groupType groupType 属性是一个单值属性,它是一个整数,它使用以下位标志指定组类型和范围:
  • ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
  • ADS_GROUP_TYPE_GLOBAL_GROUP
  • ADS_GROUP_TYPE_UNIVERSAL_GROUP
  • ADS_GROUP_TYPE_标准版CURITY_ENABLED

前三个标志指定组范围。 ADS_GROUP_TYPE_标准版CURITY_ENABLED标志指示组类型。 如果设置了此标志,则组是安全组。 如果未设置此标志,则组是通讯组。 有关详细信息,请参阅 组类型
memberOf memberOf 属性是一个多值属性,其中包含包含组作为成员的组的可分辨名称列表。 此属性列出该组直接嵌套的组,它不包含嵌套前置任务的递归列表。 例如,如果组 D 嵌套在组 C 中,组 B 和组 B 嵌套在组 A 中, 组 D 的 memberOf 属性将列出组 C 和组 B,而不是组 A。
objectGUID objectGUID 属性是一个单值属性,它是该对象的唯一标识符。 此属性是全局唯一标识符(GUID)。 在目录中创建对象时,Active Directory 服务器将生成 GUID 并将其分配给对象的 objectGUID 属性。 GUID 在整个企业和其他地方都是独一无二的。
objectGUID 是存储为 OctetString 的 128 位 GUID 结构。
objectSid objectSid 属性是一个单值属性,用于指定组的安全标识符(SID)。 SID 是用于将组标识为安全主体的唯一值。 这是系统在创建组时设置的二进制值。
每个组都有一个唯一的 SID,Windows NT/Windows 2000 Server 域问题存储在 目录中组对象的 objectSid 属性中。 每次用户登录时,系统都会检索用户所属组的 SID,并将其置于用户的访问令牌中。 系统使用用户访问令牌中的 SID 在与 Windows NT/Windows 2000 安全的所有后续交互中标识用户及其组成员身份。
当 SID 用作用户或组的唯一标识符时,它再也不能用于标识另一个用户或组。
sAMAccountName sAMAccountName 属性是一个单值属性,它是用于支持以前版本(Windows 95、Windows 98 和 LAN 管理器)中的客户端和服务器的登录名。 sAMAccountName 应小于 20 个字符,以支持以前版本中的客户端和服务器。
sAMAccountName 在域中的所有安全主体对象中必须是唯一的。

组类型

Active Directory 域服务、安全组通讯组定义了两种类型的组

安全组提供对象的逻辑分组,组本身可用作访问控制列表(ACL)中的安全主体。 向安全组授予对对象的访问权限时,安全组的所有成员会自动接收对该对象的相同访问权限。 具有通用范围的安全组也可以用作电子邮件实体。 向通用安全组发送电子邮件会将该消息发送到该组的所有成员。

通讯组还提供对象的逻辑分组,但不能提供任何访问权限。 通讯组未启用安全性,不能用作 ACL 中的安全主体。 通讯组仅用于分组目的。 例如,通讯组列表可与电子邮件应用程序(如 Exchange)一起使用,以向用户集合发送电子邮件。

有关Active Directory 域服务中的组类型的详细信息,请参阅 Microsoft TechNet 上的组类型主题。

组作用域

有三个组范围由Active Directory 域服务、通用、全局域本地定义。 组的范围定义对象可以属于该组的类型、组可以是成员的组类型以及安全组可以访问的对象范围。 当域功能级别设置为 Windows 2000 混合模式时,无法创建具有通用范围的安全组。

下表列出了三个组范围,以及有关安全组的每个作用域的详细信息。

范围 可能的成员 范围转换 可以授予权限 可能的成员
通用
来自同一林中任何域的帐户。
来自同一林中任何域的全局组。
同一林中任何域中的其他通用组。
可以转换为域本地范围。
只要组不包含任何其他通用组,就可以转换为全局范围。
在同一林或信任林中的任何域中。
同一林中的其他通用组。
同一林或信任林中的域本地组。
同一林或信任林中的计算机上的本地组。
全局
同一域中的帐户。
同一域中的其他全局组。
只要组不是任何其他全局组的成员,就可以转换为通用范围。
在同一林或信任域或林中的任何域中。
来自同一林中任何域的通用组。
同一域中的其他全局组。
来自同一林中的任何域或任何信任域的域本地组。
本地域
来自任何域或任何受信任域的帐户。
来自任何域或任何受信任域的全局组。
来自同一林中任何域的通用组。
同一域中的其他域本地组。
只要组不包含任何其他域本地组,就可以转换为通用范围。
在同一域中。
同一域中的其他域本地组。
同一域中计算机的本地组,不包括具有已知 SID 的内置组。