Gruppenobjekte
Eine Gruppe wird als Gruppenobjekt in der Active Directory Domain Services. In der folgenden Tabelle sind wichtige Attribute des Gruppenobjekts aufgeführt.
| Attribut | BESCHREIBUNG |
|---|---|
| Cn | Der cn (oder Common-Name) ist ein Einzelwertattribut, das den relativen Distinguished Name des Objekts ist. Der cn ist der Name der Gruppe in Active Directory Domain Services. Wie bei allen anderen Objekten muss der cn einer Gruppe unter den gleichgeordneten Objekten im Container, der die Gruppe enthält, eindeutig sein. |
| Member | Das Memberattribut ist ein Mehrwertattribut, das die Liste der Distinguished Names für die Benutzer-, Gruppen- und Kontaktobjekte enthält, die Mitglieder der Gruppe sind. Jedes Element in der Liste ist ein verknüpfter Verweis auf das Objekt, das den Member darstellt. Daher aktualisiert der Active Directory-Server automatisch die Distinguished Names in der Membereigenschaft, wenn ein Memberobjekt verschoben oder umbenannt wird. |
| groupType | Das groupType-Attribut ist ein Einzelwertattribut, das eine ganze Zahl ist, die den Gruppentyp und -bereich mithilfe der folgenden Bitflags angibt:
Die ersten drei Flags geben den Gruppenbereich an. Das ADS_GROUP_TYPE_SECURITY_ENABLED-Flag gibt den Gruppentyp an. Wenn dieses Flag festgelegt ist, ist die Gruppe eine Sicherheitsgruppe. Wenn dieses Flag nicht festgelegt ist, ist die Gruppe eine Verteilergruppe. Weitere Informationen finden Sie unter Gruppentypen. |
| memberOf | Das memberOf-Attribut ist ein Attribut mit mehreren Wert, das die Liste der Distinguished Names für Gruppen enthält, die die Gruppe als Mitglied enthalten. Dieses Attribut listet die Gruppen auf, unter denen die Gruppe direkt geschachtelt ist. Es enthält nicht die rekursive Liste der geschachtelten Vorgänger. Wenn z. B. Gruppe D in Gruppe C geschachtelt und Gruppe B und Gruppe B in Gruppe A geschachtelt wären, würde das memberOf-Attribut von Gruppe D Gruppe C und Gruppe B auflisten, aber nicht Gruppe A. |
| objectGUID | Das objectGUID-Attribut ist ein Einzelwertattribut, das der eindeutige Bezeichner für das Objekt ist. Dieses Attribut ist eine GUID (Globally Unique Identifier). Wenn ein Objekt im Verzeichnis erstellt wird, generiert der Active Directory-Server eine GUID und weist sie dem objectGUID-Attribut des Objekts zu. Die GUID ist unternehmensweit und überall anders eindeutig. ObjectGUID ist eine 128-Bit-GUID-Struktur, die als OctetString gespeichert ist. |
| Objectsid | Das objectSid-Attribut ist ein Einzelwertattribut, das die Sicherheits-ID (SID) der Gruppe angibt. Die SID ist ein eindeutiger Wert, mit dem die Gruppe als Sicherheitsprinzipal identifiziert wird. Dies ist ein Binärwert, den das System beim Erstellen der Gruppe fest legt. Jede Gruppe verfügt über eine eindeutige SID, die von der Windows NT/Windows 2000-Serverdomäne ausgelagert wird, die im objectSid-Attribut des Gruppenobjekts im Verzeichnis gespeichert ist. Jedes Mal, wenn sich ein Benutzer anmeldet, ruft das System die SID für die Gruppen ab, deren Mitglied der Benutzer ist, und platziert sie im Zugriffstoken des Benutzers. Das System verwendet die SIDs im Zugriffstoken des Benutzers, um den Benutzer und seine Gruppenmitgliedschaften in allen nachfolgenden Interaktionen mit Windows NT/Windows 2000-Sicherheit zu identifizieren. Wenn eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann sie niemals erneut verwendet werden, um einen anderen Benutzer oder eine Gruppe zu identifizieren. |
| Samaccountname | Das sAMAccountName-Attribut ist ein Ein-Wert-Attribut, bei dem es sich um den Anmeldenamen handelt, der zur Unterstützung von Clients und Servern aus einer früheren Version (Windows 95, Windows 98 und LAN-Manager) verwendet wird. Der sAMAccountName sollte weniger als 20 Zeichen lang sein, um Clients und Server aus einer früheren Version zu unterstützen. Der sAMAccountName muss für alle Sicherheitsprinzipalobjekte innerhalb einer Domäne eindeutig sein. |
Gruppentypen
Es gibt zwei Typen von Gruppen, die von Active Directory Domain Services definiert werden: Sicherheitsgruppen und Verteilergruppen.
Eine Sicherheitsgruppe bietet eine logische Gruppierung von Objekten, und die Gruppe selbst kann als Sicherheitsprinzipal in einer Access Control List (ACL) verwendet werden. Wenn einer Sicherheitsgruppe Zugriff auf ein Objekt erteilt wird, erhalten alle Mitglieder der Sicherheitsgruppe automatisch denselben Zugriff auf das Objekt. Sicherheitsgruppen mit universellem Gültigkeitsbereich können auch als E-Mail-Entität verwendet werden. Das Senden einer E-Mail-Nachricht an eine universelle Sicherheitsgruppe sendet die Nachricht an alle Mitglieder der Gruppe.
Eine Verteilergruppe bietet auch eine logische Gruppierung von Objekten, kann jedoch keine Zugriffsberechtigungen bereitstellen. Verteilergruppen sind nicht sicherheits aktiviert und können nicht als Sicherheitsprinzipal in einer ACL verwendet werden. Verteilergruppen werden nur zu Gruppierungszwecken verwendet. Verteilerlisten können beispielsweise mit E-Mail-Anwendungen wie Exchange verwendet werden, um E-Mails an eine Sammlung von Benutzern zu senden.
Weitere Informationen zu Gruppentypen in Active Directory Domain Services finden Sie im Thema Gruppentypen auf Microsoft TechNet.
Gruppenbereich
Es gibt drei Gruppenbereich, die durch Active Directory Domain Services definiert werden: Universal, Global und Domain Local. Der Bereich der Gruppe definiert, welche Objekttypen zur Gruppe gehören können, welche Gruppentypen der Gruppe angehören können und auf welche Objekttypen Sicherheitsgruppen Zugriff erhalten können. Wenn die Domänenfunktionsebene auf den gemischten Windows 2000 festgelegt ist, können keine Sicherheitsgruppen mit universellem Gültigkeitsbereich erstellt werden.
In der folgenden Tabelle sind die drei Gruppenbereich und weitere Informationen zu jedem Bereich für eine Sicherheitsgruppe aufgeführt.
| Bereich | Mögliche Member | Bereichskonvertierung | Kann Berechtigungen erteilen | Möglicher Member von |
|---|---|---|---|---|
| Universell |
Konten aus einer beliebigen Domäne in derselben Gesamtstruktur. Globale Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur. Andere universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur. |
Kann in den lokalen Domänenbereich konvertiert werden. Kann in einen globalen Bereich konvertiert werden, solange die Gruppe keine anderen universellen Gruppen enthält. |
Für jede Domäne in derselben Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen. |
Andere universelle Gruppen in derselben Gesamtstruktur. Lokale Domänengruppen in derselben Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen. Lokale Gruppen auf Computern in derselben Gesamtstruktur oder vertrauenswürdigen Gesamtstrukturen. |
| Global |
Konten aus derselben Domäne. Andere globale Gruppen aus derselben Domäne. |
Kann in einen universellen Bereich konvertiert werden, solange die Gruppe kein Mitglied einer anderen globalen Gruppe ist. |
Für jede Domäne in derselben Gesamtstruktur oder vertrauenswürdigen Domänen oder Gesamtstrukturen. |
Universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur. Andere globale Gruppen aus derselben Domäne. Lokale Domänengruppen aus einer beliebigen Domäne in derselben Gesamtstruktur oder einer vertrauenswürdigen Domäne. |
| Lokale Domäne |
Konten aus einer beliebigen Domäne oder einer beliebigen vertrauenswürdigen Domäne. Globale Gruppen aus beliebigen Domänen oder vertrauenswürdigen Domänen. Universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur. Andere lokale Domänengruppen aus derselben Domäne. |
Kann in einen universellen Bereich konvertiert werden, solange die Gruppe keine anderen lokalen Domänengruppen enthält. |
Innerhalb derselben Domäne. |
Andere lokale Domänengruppen aus derselben Domäne. Lokale Gruppen auf Computern in derselben Domäne, ausgenommen integrierte Gruppen mit bekannten SIDs. |