Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un groupe est représenté sous la forme d’un groupe objet dans les services de domaine Active Directory. Le tableau suivant répertorie les attributs importants du groupe objet.
| Attribut | Description |
|---|---|
| cn | Le cn (ou Common-Name) est un attribut à valeur unique qui correspond au nom unique relatif de l’objet. Le cn est le nom du groupe dans les services de domaine Active Directory. Comme pour tous les autres objets, le cn d’un groupe doit être unique parmi les objets frères du conteneur qui contient le groupe. |
| membre | L’attribut membre est un attribut à valeurs multiples qui contient la liste des noms uniques pour l’utilisateur, le groupe et les objets contact qui sont membres du groupe. Chaque élément de la liste est une référence liée à l’objet qui représente le membre ; par conséquent, le serveur Active Directory met automatiquement à jour les noms uniques dans la propriété membre lorsqu’un objet membre est déplacé ou renommé. |
| groupType | L’attribut groupType est un attribut à valeur unique qui est un entier qui spécifie le type de groupe et l’étendue à l’aide des indicateurs de bits suivants :
Les trois premiers indicateurs spécifient l’étendue du groupe. L’indicateur ADS_GROUP_TYPE_SECURITY_ENABLED indique le type de groupe. Si cet indicateur est défini, le groupe est un groupe de sécurité. Si cet indicateur n’est pas défini, le groupe est un groupe de distribution. Pour plus d’informations, consultez types de groupes. |
| memberOf | L’attribut memberOf est un attribut à valeurs multiples qui contient la liste des noms uniques pour les groupes qui contiennent le groupe en tant que membre. Cet attribut répertorie les groupes sous lesquels le groupe est directement imbriqué, il ne contient pas la liste récursive des prédécesseurs imbriqués. Par exemple, si le groupe D était imbriqué dans le groupe C et le groupe B et que le groupe B étaient imbriqués dans le groupe A, l’attribut memberOf du groupe D listerait le groupe C et le groupe B, mais pas le groupe A. |
| objectGUID | L’attribut objectGUID est un attribut à valeur unique qui est l’identificateur unique de l’objet. Cet attribut est un identificateur global unique (GUID). Lorsqu’un objet est créé dans le répertoire, le serveur Active Directory génère un GUID et l’affecte à l’attribut objectGUID de l’objet. Le GUID est unique dans l’entreprise et partout ailleurs. Le objectGUID est une structure GUID 128 bits stockée sous forme d’OctetString. |
| objectSid | L’attribut objectSid est un attribut à valeur unique qui spécifie l’identificateur de sécurité (SID) du groupe. Le SID est une valeur unique utilisée pour identifier le groupe en tant que principal de sécurité. Il s’agit d’une valeur binaire définie par le système lors de la création du groupe. Chaque groupe a un SID unique que les problèmes de domaine Windows NT/Windows 2000 Server stockés dans l’objet objectSid de l’objet de groupe dans le répertoire. Chaque fois qu’un utilisateur se connecte, le système récupère le SID pour les groupes dont l’utilisateur est membre et le place dans le jeton d’accès de l’utilisateur. Le système utilise les SID dans le jeton d’accès de l’utilisateur pour identifier l’utilisateur et ses appartenances au groupe dans toutes les interactions suivantes avec la sécurité Windows NT/Windows 2000. Lorsqu’un SID a été utilisé comme identificateur unique pour un utilisateur ou un groupe, il ne peut jamais être utilisé à nouveau pour identifier un autre utilisateur ou groupe. |
| sAMAccountName | L’attribut sAMAccountName est un attribut à valeur unique qui est le nom d’ouverture de session utilisé pour prendre en charge les clients et les serveurs à partir d’une version précédente (Windows 95, Windows 98 et Gestionnaire de réseau local). Le sAMAccountName doit comporter moins de 20 caractères pour prendre en charge les clients et les serveurs d’une version précédente. L'sAMAccountName doit être unique parmi tous les objets principaux de sécurité au sein d’un domaine. |
Types de groupes
Il existe deux types de groupes définis par les services de domaine Active Directory, groupes de sécurité et les groupes de distribution .
Un groupe de sécurité fournit un regroupement logique d’objets et le groupe lui-même peut être utilisé comme principal de sécurité dans une liste de contrôle d’accès (ACL). Lorsqu’un groupe de sécurité reçoit l’accès à un objet, tous les membres du groupe de sécurité reçoivent automatiquement le même accès à l’objet. Les groupes de sécurité avec étendue universelle peuvent également être utilisés comme entité de messagerie. L’envoi d’un message électronique à un groupe de sécurité universel envoie le message à tous les membres du groupe.
Un groupe de distribution fournit également un regroupement logique d’objets, mais ne peut pas fournir de privilèges d’accès. Les groupes de distribution ne sont pas activés pour la sécurité et ne peuvent pas être utilisés comme principal de sécurité dans une liste de contrôle d’accès. Les groupes de distribution sont utilisés uniquement à des fins de regroupement. Par exemple, les listes de distribution peuvent être utilisées avec des applications de messagerie, telles qu’Exchange, pour envoyer des e-mails à une collection d’utilisateurs.
Pour plus d’informations sur les types de groupes dans les services de domaine Active Directory, consultez la rubrique types de groupe sur Microsoft TechNet.
Étendue du groupe
Il existe trois étendues de groupe définies par les services de domaine Active Directory, universelle, global et domaine local. L’étendue du groupe définit les types d’objets qui peuvent appartenir au groupe, les types de groupes auxquels le groupe peut être membre et l’étendue des objets auxquels les groupes de sécurité peuvent avoir accès. Lorsque le niveau fonctionnel du domaine est défini sur le mode mixte Windows 2000, les groupes de sécurité avec étendue universelle ne peuvent pas être créés.
Le tableau suivant répertorie les trois étendues de groupe et plus d’informations sur chaque étendue d’un groupe de sécurité.
| Portée | Membres possibles | Conversion d’étendue | Peut accorder des autorisations | Membre possible de |
|---|---|---|---|---|
| Universel |
Comptes de n’importe quel domaine dans la même forêt. Groupes globaux de n’importe quel domaine dans la même forêt. Autres groupes universels de n’importe quel domaine dans la même forêt. |
Peut être converti en étendue locale de domaine. Peut être converti en étendue globale tant que le groupe ne contient pas d’autres groupes universels. |
Sur n’importe quel domaine dans la même forêt ou dans les forêts d’approbation. |
Autres groupes universels dans la même forêt. Groupes locaux de domaine dans la même forêt ou forêts d’approbation. Groupes locaux sur les machines dans la même forêt ou les forêts d’approbation. |
| Global |
Comptes du même domaine. Autres groupes globaux du même domaine. |
Peut être converti en étendue universelle tant que le groupe n’est pas membre d’un autre groupe global. |
Sur n’importe quel domaine dans la même forêt ou les mêmes domaines ou forêts d’approbation. |
Groupes universels de n’importe quel domaine dans la même forêt. Autres groupes globaux du même domaine. Groupes locaux de domaine de n’importe quel domaine dans la même forêt ou à partir d’un domaine d’approbation. |
| Domaine local |
Comptes de n’importe quel domaine ou domaine approuvé. Groupes globaux de n’importe quel domaine ou domaine approuvé. Groupes universels de n’importe quel domaine dans la même forêt. Autres groupes locaux de domaine du même domaine. |
Peut être converti en étendue universelle tant que le groupe ne contient aucun autre groupe local de domaine. |
Dans le même domaine. |
Autres groupes locaux de domaine du même domaine. Groupes locaux sur les machines du même domaine, à l’exclusion des groupes intégrés qui ont des SID connus. |