Création de groupes dans un domaine
Un objet de groupe est créé dans Active Directory Domain Services dans le conteneur de domaine où sera contenu le nouveau groupe. Les groupes peuvent être créés à la racine du domaine, au sein d’une unité d’organisation ou au sein d’un conteneur. Pour créer un objet de groupe, utilisez la méthode IADsContainer :: Create ou IDirectoryObject :: CreateDSObject .
Les attributs suivants sont requis pour que l’objet groupe soit un groupe juridique que le serveur Active Directory et le système de sécurité Windows reconnaissent :
-
8525
-
Spécifie le nom de l’objet de groupe dans le répertoire. Il s’agit du nom unique relatif de l’objet dans le conteneur où le groupe est créé.
-
groupType
-
Contient un entier qui spécifie le type de groupe et la portée. L’énumération enum de _ type de groupe _ _ ADS définit les valeurs possibles pour l’attribut GroupType .
La liste suivante définit les types et les valeurs de groupes communs pour cet attribut.
-
Distribution locale de domaine
-
_type de groupe ad _ _ groupe de domaine _ local _
-
Sécurité locale du domaine
-
Annonces _ type de groupe _ _ domaine _ local _ groupe ad groupe de groupes | annonces _ _ _ sécurité _ activée
-
Distribution mondiale
-
_ _ groupe global du type de groupe ADS _ _
-
Sécurité globale
-
Annonces _ type de groupe groupes _ _ globaux _ | ad groupe annonces _ _ _ sécurité _ activée
-
Distribution universelle
-
_ _ groupe universel de type groupe _ ad _
-
Sécurité universelle
-
Annonces _ _type de _ _ groupe annonces de groupe universel sécurité de type de groupe | _ _ _ _ activée
Si le groupe est conçu pour définir le contrôle d’accès sur les objets d’annuaire, le groupe doit être un groupe de sécurité global ou universel.
Sachez que les groupes de sécurité universels ne peuvent être créés que sur des domaines Windows 2000 s’exécutant en mode natif. Pour plus d’informations sur la détection du mode mixte et le mode natif, consultez détection du mode d’opération d’un domaine.
-
-
sAMAccountName
-
Contient une chaîne qui est le nom utilisé pour prendre en charge les clients et les serveurs d’une version précédente. Le sAMAccountName doit comporter moins de 20 caractères pour prendre en charge les clients d’une version précédente de Windows.
SAMAccountName doit être unique parmi tous les objets principaux de sécurité au sein du domaine. Une requête doit être exécutée sur le domaine pour vérifier que le sAMAccountName est unique au sein du domaine.
Les membres du groupe peuvent être ajoutés au moment de la création à l’aide de la méthode IDirectoryObject :: CreateDSObject . Si vous le souhaitez, des membres peuvent être ajoutés au groupe après la création à l’aide de la méthode IADsGroup :: Add . Pour plus d’informations sur l’ajout de membres à un groupe, consultez Ajout de membres à des groupes dans un domaine.