群組會以 Active Directory Domain Services 中的 群組 物件表示。 下表列出 群組 物件的重要屬性。
| 屬性 | 描述 |
|---|---|
| cn |
cn (或 Common-Name) 是對象相對辨別名稱的單一值屬性。
cn 是 Active Directory 網域服務中的組名。 和所有其他對象一樣,群組的 cn 在包含群組的容器中同層級對象中必須是唯一的。 |
| 成員 |
成員 屬性是多重值屬性,其中包含屬於群組成員之使用者、群組和聯繫人對象的辨別名稱清單。 清單中的每個專案都是代表成員之 對象的連結參考;因此,當成員物件移動或重新命名時,Active Directory 伺服器會自動更新成員屬性中的辨別名稱。 |
| groupType |
groupType 屬性是單一值屬性,它是使用下列位旗標指定群組類型和範圍的整數:
前三個旗標會指定群組範圍。 ADS_GROUP_TYPE_SECURITY_ENABLED 旗標表示群組類型。 如果已設定此旗標,則群組為安全組。 如果未設定此旗標,群組就是通訊群組。 如需詳細資訊,請參閱 群組類型。 |
| memberOf |
memberOf 屬性是多重值屬性,其中包含包含群組做為成員之群組的辨別名稱清單。 此屬性會列出群組直接巢狀的群組,其不包含巢狀前置詞的遞歸清單。 例如,如果群組 D 巢狀於 C 群組中,且群組 B 和群組 B 巢狀於群組 A 中,則群組 D 的 memberOf 屬性會列出群組 C 和群組 B,而不是群組 A。 |
| objectGUID |
objectGUID 屬性是物件的唯一標識碼的單一值屬性。 此屬性是全域唯一標識碼 (GUID)。 在目錄中建立物件時,Active Directory 伺服器會產生 GUID,並將它指派給物件的 objectGUID 屬性。 GUID 在整個企業和其他地方都是獨一無二的。 objectGUID 是儲存為 OctetString 的 128 位 GUID 結構。 |
| objectSid |
objectSid 屬性是單一值屬性,指定群組的安全性標識碼 (SID)。 SID 是用來將群組識別為安全性主體的唯一值。 這是系統在建立群組時所設定的二進位值。 每個群組都有唯一的 SID,Windows NT/Windows 2000 Server 網域問題會儲存在目錄中群組物件的 objectSid 屬性中。 每次使用者登入時,系統會擷取使用者所屬群組的SID,並將它放在使用者的存取令牌中。 系統會使用使用者存取令牌中的 SID,在與 Windows NT/Windows 2000 安全性的所有後續互動中識別使用者及其群組成員資格。 當 SID 當做使用者或群組的唯一識別碼使用時,就無法再次使用它來識別另一個使用者或群組。 |
| sAMAccountName |
sAMAccountName 屬性是單一值屬性,這是用來支援舊版用戶端和伺服器的登入名稱(Windows 95、Windows 98 和 LAN Manager)。
sAMAccountName 應該小於 20 個字元,以支援來自舊版的用戶端和伺服器。 sAMAccountName 在網域內的所有安全性主體對象中必須是唯一的。 |
群組類型
Active Directory Domain Services 定義了兩種類型的群組,安全組 和 通訊群組。
安全組提供對象的邏輯群組,而且群組本身可作為訪問控制清單 (ACL) 中的安全性主體。 當安全組獲得物件的存取權時,安全組的所有成員都會自動收到對物件的相同存取權。 具有通用範圍的安全組也可以作為電子郵件實體使用。 將電子郵件訊息傳送至通用安全組,會將訊息傳送給群組的所有成員。
通訊群組也提供對象的邏輯群組,但無法提供任何訪問許可權。 通訊群組未啟用安全性,且無法當做 ACL 中的安全性主體使用。 通訊群組僅用於群組用途。 例如,通訊組清單可以與 Exchange 之類的電子郵件應用程式搭配使用,以將電子郵件傳送給使用者集合。
如需 Active Directory 網域服務中群組類型的詳細資訊,請參閱 Microsoft TechNet主題中的 群組類型 主題。
群組範圍
Active Directory Domain Services、Universal、Global 和 Domain Local定義三個群組範圍。 群組的範圍會定義哪些物件類型可以屬於群組、群組可以是成員的群組類型,以及安全組可以授與存取的物件範圍。 當網域功能等級設定為 Windows 2000 混合模式時,無法建立具有通用範圍的安全組。
下表列出三個群組範圍,以及安全組每個範圍的詳細資訊。
| 範圍 | 可能的成員 | 範圍轉換 | 可以授與許可權 | 的可能成員 |
|---|---|---|---|---|
| 普遍 |
來自相同樹系中任何網域的帳戶。 來自相同樹系中任何網域的全域群組。 相同樹系中任何網域的其他通用群組。 |
可以轉換成網域本機範圍。 只要群組不包含任何其他通用群組,就可以轉換成全域範圍。 |
在相同樹系或信任樹系中的任何網域上。 |
相同樹系中的其他通用群組。 相同樹系或信任樹系中的網域本地組。 相同樹系或信任樹系中機器上的本地組。 |
| 全球 |
來自相同網域的帳戶。 來自相同網域的其他全域群組。 |
只要群組不是任何其他全域群組的成員,就可以轉換成通用範圍。 |
在相同樹系或信任網域或樹系中的任何網域上。 |
來自相同樹系中任何網域的通用群組。 來自相同網域的其他全域群組。 來自相同樹系中任何網域,或來自任何信任網域的網域本地組。 |
| 網域本機 |
來自任何網域或任何受信任網域的帳戶。 來自任何網域或任何受信任網域的全域群組。 來自相同樹系中任何網域的通用群組。 來自相同網域的其他網域本地組。 |
只要群組不包含任何其他網域本地組,就可以轉換成通用範圍。 |
在同一個網域內。 |
來自相同網域的其他網域本地組。 相同網域中機器上的本地組,不包括具有已知 SID 的內建群組。 |