Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um grupo é representado como um grupo objeto no Active Directory Domain Services. A tabela a seguir lista atributos importantes do grupo objeto.
| Atributo | Descrição |
|---|---|
| cn | O cn (ou Common-Name) é um atributo de valor único que é o nome diferenciado relativo do objeto. O cn é o nome do grupo no Active Directory Domain Services. Assim como acontece com todos os outros objetos, o cn de um grupo deve ser exclusivo entre os objetos irmãos no contêiner que contém o grupo. |
| membro | O membro atributo é um atributo de vários valores que contém a lista de nomes diferenciados para o usuário, grupo e objetos de contato que são membros do grupo. Cada item na lista é uma referência vinculada ao objeto que representa o membro; portanto, o servidor do Active Directory atualiza automaticamente os nomes diferenciados na propriedade membro quando um objeto membro é movido ou renomeado. |
| groupType | O atributo groupType é um atributo de valor único que é um inteiro que especifica o tipo de grupo e o escopo usando os seguintes sinalizadores de bit:
Os três primeiros sinalizadores especificam o escopo do grupo. O sinalizador ADS_GROUP_TYPE_SECURITY_ENABLED indica o tipo de grupo. Se esse sinalizador estiver definido, o grupo será um grupo de segurança. Se esse sinalizador não estiver definido, o grupo será um grupo de distribuição. Para obter mais informações, consulte Tipos de Grupo. |
| memberOf | O atributo memberOf é um atributo de vários valores que contém a lista de nomes diferenciados para grupos que contêm o grupo como membro. Esse atributo lista os grupos abaixo dos quais o grupo está diretamente aninhado, ele não contém a lista recursiva de predecessores aninhados. Por exemplo, se o grupo D estivesse aninhado no grupo C e os grupos B e B estivessem aninhados no grupo A, o memberOf atributo do grupo D listaria o grupo C e o grupo B, mas não o grupo A. |
| objectGUID | O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto. Esse atributo é um GUID (Identificador Global exclusivo). Quando um objeto é criado no diretório, o servidor do Active Directory gera um GUID e o atribui ao atributo objectGUID do objeto. O GUID é exclusivo em toda a empresa e em qualquer outro lugar. O objectGUID é uma estrutura GUID de 128 bits armazenada como um OctetString. |
| objectSid | O atributo objectSid é um atributo de valor único que especifica o SID (identificador de segurança) do grupo. O SID é um valor exclusivo usado para identificar o grupo como uma entidade de segurança. É um valor binário que o sistema define quando o grupo é criado. Cada grupo tem um SID exclusivo que o domínio do Windows NT/Windows 2000 Server emite armazenado no atributo objectSid do objeto de grupo no diretório. Sempre que um usuário faz logon, o sistema recupera o SID para os grupos dos quais o usuário é membro e o coloca no token de acesso do usuário. O sistema usa os SIDs no token de acesso do usuário para identificar o usuário e suas associações de grupo em todas as interações subsequentes com a segurança do Windows NT/Windows 2000. Quando um SID tiver sido usado como o identificador exclusivo de um usuário ou grupo, ele não poderá ser usado novamente para identificar outro usuário ou grupo. |
| sAMAccountName | O atributo sAMAccountName é um atributo de valor único que é o nome de logon usado para dar suporte a clientes e servidores de uma versão anterior (Windows 95, Windows 98 e LAN Manager). O sAMAccountName deve ter menos de 20 caracteres para dar suporte a clientes e servidores de uma versão anterior. O sAMAccountName deve ser exclusivo entre todos os objetos de entidade de segurança dentro de um domínio. |
Tipos de grupo
Há dois tipos de grupos definidos pelos Serviços de Domínio do Active Directory, grupos de segurança e grupos de distribuição .
Um grupo de segurança fornece um agrupamento lógico de objetos e o próprio grupo pode ser usado como uma entidade de segurança em uma ACL (Lista de Controle de Acesso). Quando um grupo de segurança recebe acesso a um objeto, todos os membros do grupo de segurança recebem automaticamente o mesmo acesso ao objeto. Grupos de segurança com escopo universal também podem ser usados como uma entidade de email. Enviar uma mensagem de email para um grupo de segurança universal envia a mensagem a todos os membros do grupo.
Um grupo de distribuição também fornece um agrupamento lógico de objetos, mas não pode fornecer privilégios de acesso. Os grupos de distribuição não estão habilitados para segurança e não podem ser usados como uma entidade de segurança em uma ACL. Os grupos de distribuição são usados apenas para fins de agrupamento. Por exemplo, as listas de distribuição podem ser usadas com aplicativos de email, como o Exchange, para enviar emails para uma coleção de usuários.
Para obter mais informações sobre tipos de grupo no Active Directory Domain Services, consulte o tópico tipos de grupo sobre Microsoft TechNet.
Escopo do Grupo
Há três escopos de grupo definidos pelo Active Directory Domain Services, Universal, Global e Domain Local. O escopo do grupo define quais tipos de objeto podem pertencer ao grupo, a quais tipos de grupos o grupo pode ser membro e o escopo de objetos aos quais os grupos de segurança podem ter acesso. Quando o nível funcional do domínio é definido como modo misto do Windows 2000, grupos de segurança com escopo universal não podem ser criados.
A tabela a seguir lista os três escopos de grupo e mais informações sobre cada escopo de um grupo de segurança.
| Âmbito | Membros possíveis | Conversão de escopo | Pode conceder permissões | Possível membro do |
|---|---|---|---|---|
| Universal |
Contas de qualquer domínio na mesma floresta. Grupos globais de qualquer domínio na mesma floresta. Outros grupos universais de qualquer domínio na mesma floresta. |
Pode ser convertido no escopo local do domínio. Pode ser convertido em escopo global, desde que o grupo não contenha outros grupos universais. |
Em qualquer domínio na mesma floresta ou florestas confiáveis. |
Outros grupos universais na mesma floresta. Domínio grupos locais na mesma floresta ou florestas confiáveis. Grupos locais em computadores na mesma floresta ou florestas confiáveis. |
| Global |
Contas do mesmo domínio. Outros grupos globais do mesmo domínio. |
Pode ser convertido em escopo universal, desde que o grupo não seja membro de nenhum outro grupo global. |
Em qualquer domínio na mesma floresta ou domínios ou florestas confiáveis. |
Grupos universais de qualquer domínio na mesma floresta. Outros grupos globais do mesmo domínio. Domínio de grupos locais de qualquer domínio na mesma floresta ou de qualquer domínio confiável. |
| Local do Domínio |
Contas de qualquer domínio ou domínio confiável. Grupos globais de qualquer domínio ou domínio confiável. Grupos universais de qualquer domínio na mesma floresta. Outros grupos locais de domínio do mesmo domínio. |
Pode ser convertido em escopo universal, desde que o grupo não contenha outros grupos locais de domínio. |
Dentro do mesmo domínio. |
Outros grupos locais de domínio do mesmo domínio. Grupos locais em computadores no mesmo domínio, excluindo grupos internos que têm SIDs conhecidos. |