在網域中建立群組
群組物件會在網域容器的網域容器中建立 Active Directory 網域服務,其中會包含新的群組。 群組可以在網域的根目錄、組織單位或容器內建立。 若要建立群組物件,請使用 IADsContainer::Create 或 IDirectoryObject::CreateDSObject 方法。
需要下列屬性,才能讓群組對象成為 Active Directory 伺服器和 Windows 安全性系統將辨識的法律群組:
-
快遞 之 家
-
指定目錄中的群組物件名稱。 這會是建立群組之容器中對象的相對辨別名稱。
-
groupType
-
包含指定群組類型和範圍的整數。 ADS_GROUP_TYPE_ENUM列舉會定義 groupType 屬性的可能值。
下列清單會定義此屬性的通用群組類型和值。
-
網域本機散發
-
ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
-
網域本機安全性
-
ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED
-
全域散發
-
ADS_GROUP_TYPE_GLOBAL_GROUP
-
全域安全性
-
ADS_GROUP_TYPE_GLOBAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED
-
通用散發
-
ADS_GROUP_TYPE_UNIVERSAL_GROUP
-
通用安全性
-
| ADS_GROUP_TYPE_UNIVERSAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED
如果群組是要在目錄對象上設定訪問控制,群組應該是全域安全性或通用安全組。
請注意,通用安全組只能在以原生模式執行的 Windows 2000 網域上建立。 如需偵測混合和原生模式的詳細資訊,請參閱 偵測網域的作業模式。
-
-
sAMAccountName
-
包含字串,此字串是用來支援舊版用戶端和伺服器的名稱。 sAMAccountName 應該小於 20 個字元,以支援舊版 Windows 的用戶端。
sAMAccountName 在網域內的所有安全性主體對象中必須是唯一的。 應該對網域執行查詢,以確認 sAMAccountName 在網域內是唯一的。
您可以使用 IDirectoryObject::CreateDSObject 方法,在建立時新增群組的成員。 您也可以選擇使用 IADsGroup::Add 方法建立之後,將成員新增至群組。 如需將成員新增至群組的詳細資訊,請參閱 將成員新增至網域中的群組。