Partilhar via

Criando grupos em um domínio

  • Artigo

Um objeto de grupo é criado nos Serviços de Domínio Active Directory no contêiner de domínio onde o novo grupo será contido. Os grupos podem ser criados na raiz do domínio, dentro de uma unidade organizacional ou dentro de um contêiner. Para criar um objeto de grupo, use o método IADsContainer::Create ou IDirectoryObject::CreateDSObject.

Os atributos a seguir são necessários para tornar o objeto de grupo um grupo legal que o servidor do Active Directory e o sistema de segurança do Windows reconhecerão:

Cn

Especifica o nome do objeto de grupo no diretório. Esse será o nome distinto relativo do objeto dentro do contêiner onde o grupo é criado.

groupType

Contém um inteiro que especifica o tipo de grupo e o escopo. A enumeração ADS_GROUP_TYPE_ENUM define os valores possíveis para o atributo groupType .

A lista a seguir define tipos de grupo e valores comuns para esse atributo.

Distribuição local do domínio

ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP

Segurança local do domínio

| ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Distribuição Global

ADS_GROUP_TYPE_GLOBAL_GROUP

Segurança Global

| ADS_GROUP_TYPE_GLOBAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Distribuição Universal

ADS_GROUP_TYPE_UNIVERSAL_GROUP

Segurança Universal

| ADS_GROUP_TYPE_UNIVERSAL_GROUP ADS_GROUP_TYPE_SECURITY_ENABLED

Se o grupo se destina a definir o controle de acesso em objetos de diretório, o grupo deve ser um grupo de Segurança Global ou Segurança Universal.

Lembre-se de que os grupos de Segurança Universal só podem ser criados em domínios do Windows 2000 executados no modo nativo. Para obter mais informações sobre como detectar o modo misto e nativo, consulte Detectando o modo de operação de um domínio.

sAMAccountName

Contém uma cadeia de caracteres que é o nome usado para oferecer suporte a clientes e servidores de uma versão anterior. O sAMAccountName deve ter menos de 20 caracteres para oferecer suporte a clientes de uma versão anterior do Windows.

O sAMAccountName deve ser exclusivo entre todos os objetos de entidade de segurança dentro do domínio. Uma consulta deve ser executada no domínio para verificar se o sAMAccountName é exclusivo dentro do domínio.

Os membros do grupo podem ser adicionados no momento da criação usando o método IDirectoryObject::CreateDSObject. Opcionalmente, os membros podem ser adicionados ao grupo após a criação usando o método IADsGroup::Add. Para obter mais informações sobre como adicionar membros a um grupo, consulte Adicionando membros a grupos em um domínio.