群組物件

  • 發行項

群組會以群組物件表示 Active Directory 網域服務。 下表列出群組物件的重要屬性

屬性 描述
快遞 之 家 cn (或 Common-Name) 是對象相對辨別名稱的單一值屬性。 cn 是 Active Directory 網域服務 中的組名。 和所有其他對象一樣, 群組的 cn 在包含群組的容器中同層級對象中必須是唯一的。
成員 成員屬性是多重值屬性,其中包含屬於群組成員之使用者、群組和聯繫人對象的辨別名稱清單。 清單中的每個專案都是代表成員之 對象的連結參考;因此,當成員物件移動或重新命名時,Active Directory 伺服器會自動更新成員屬性中的辨別名稱。
groupType groupType 屬性是單一值屬性,它是使用下列位旗標指定群組類型和範圍的整數:
  • ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
  • ADS_GROUP_TYPE_GLOBAL_GROUP
  • ADS_GROUP_TYPE_UNIVERSAL_GROUP
  • ADS_GROUP_TYPE_SECURITY_ENABLED

前三個旗標會指定群組範圍。 ADS_GROUP_TYPE_SECURITY_ENABLED旗標表示群組類型。 如果已設定此旗標,則群組為安全組。 如果未設定此旗標,群組就是通訊群組。 如需詳細資訊,請參閱 群組類型
memberOf memberOf 屬性是一個多重值屬性,其中包含包含群組做為成員之群組的辨別名稱清單。 此屬性會列出群組直接巢狀的群組,其不包含巢狀前置詞的遞歸清單。 例如,如果群組 D 巢狀於 C 群組中,而群組 B 和群組 B 巢狀於群組 A 中, 則群組 D 的 memberOf 屬性會列出群組 C 和群組 B,而不是群組 A。
objectGUID objectGUID 屬性是單一值屬性,它是物件的唯一標識符。 此屬性是全域唯一標識碼 (GUID)。 在目錄中建立物件時,Active Directory 伺服器會產生 GUID,並將它指派給物件的 objectGUID 屬性。 GUID 在整個企業和其他地方都是獨一無二的。
objectGUID 是儲存為 OctetString 的 128 位 GUID 結構。
objectSid objectSid 屬性是單一值屬性,可指定群組的安全性標識碼(SID)。 SID 是用來將群組識別為安全性主體的唯一值。 這是系統在建立群組時所設定的二進位值。
每個群組都有唯一的 SID,Windows NT/Windows 2000 Server 網域問題會儲存在 目錄中群組物件的 objectSid 屬性中。 每次使用者登入時,系統會擷取使用者所屬群組的SID,並將它放在使用者的存取令牌中。 系統會使用使用者存取令牌中的 SID,在與 Windows NT/Windows 2000 安全性的所有後續互動中識別使用者及其群組成員資格。
當 SID 當做使用者或群組的唯一識別碼使用時,就無法再次使用它來識別另一個使用者或群組。
sAMAccountName sAMAccountName 屬性是單一值屬性,這是用來支援舊版用戶端和伺服器的登入名稱(Windows 95、Windows 98 和 LAN Manager)。 sAMAccountName 應該小於 20 個字元,以支援來自舊版的用戶端和伺服器。
sAMAccountName 在網域內的所有安全性主體對象中必須是唯一的。

群組類型

Active Directory 網域服務、安全組通訊群組定義有兩種類型的群組。

安全組提供對象的邏輯群組,而且群組本身可作為 存取控制 清單 (ACL) 中的安全性主體。 當安全組獲得物件的存取權時,安全組的所有成員都會自動收到對物件的相同存取權。 具有通用範圍的安全組也可以作為電子郵件實體使用。 將電子郵件訊息傳送至通用安全組,會將訊息傳送給群組的所有成員。

通訊群組也提供對象的邏輯群組,但無法提供任何訪問許可權。 通訊群組未啟用安全性,且無法當做 ACL 中的安全性主體使用。 通訊群組僅用於群組用途。 例如,通訊組清單可以與 Exchange 之類的電子郵件應用程式搭配使用,以將電子郵件傳送給使用者集合。

如需 Active Directory 網域服務 中群組類型的詳細資訊,請參閱 Microsoft TechNet 上的群組類型主題。

群組領域

Active Directory 網域服務、通用、全域網域本機定義三個群組範圍。 群組的範圍會定義哪些物件類型可以屬於群組、群組可以是成員的群組類型,以及安全組可以授與存取的物件範圍。 當網域功能等級設定為 Windows 2000 混合模式時,無法建立具有通用範圍的安全組。

下表列出三個群組範圍,以及安全組每個範圍的詳細資訊。

範圍 可能的成員 範圍轉換 可以授與權限 可能的成員
環球
 來自相同樹系中任何網域的帳戶。
來自相同樹系中任何網域的全域群組。
相同樹系中任何網域的其他通用群組。
 可以轉換成網域本機範圍。
只要群組不包含任何其他通用群組,就可以轉換成全域範圍。
 在相同樹系或信任樹系中的任何網域上。
 相同樹系中的其他通用群組。
相同樹系或信任樹系中的網域本地組。
相同樹系或信任樹系中機器上的本地組。
全球
 來自相同網域的帳戶。
來自相同網域的其他全域群組。
 只要群組不是任何其他全域群組的成員,就可以轉換成通用範圍。
 在相同樹系或信任網域或樹系中的任何網域上。
 來自相同樹系中任何網域的通用群組。
來自相同網域的其他全域群組。
來自相同樹系中任何網域,或來自任何信任網域的網域本地組。
網域本機
 來自任何網域或任何受信任網域的帳戶。
來自任何網域或任何受信任網域的全域群組。
來自相同樹系中任何網域的通用群組。
來自相同網域的其他網域本地組。
 只要群組不包含任何其他網域本地組,就可以轉換成通用範圍。
 在同一個網域內。
 來自相同網域的其他網域本地組。
相同網域中機器上的本地組,不包括具有已知 SID 的內建群組。