在域中创建组
在包含新组的域容器中的 Active Directory 域服务中创建组对象。 组可以在域根目录、组织单位或容器中创建。 要创建组对象,请使用 IADsContainer::Create 或 IDirectoryObject::CreateDSObject 方法。
要使组对象成为 Active Directory 服务器和 Windows 安全系统认可的合法组,需要具备以下属性:
-
cn
-
指定目录中组对象的名称。 这是对象在创建组的容器中的相对可分辨名称。
-
groupType
-
包含一个整数,用于指定分组类型和范围。 ADS_GROUP_TYPE_ENUM 枚举定义 groupType 属性的可能值。
以下列表定义了此属性的常用组类型和值。
-
域本地分发
-
ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
-
域本地安全性
-
ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED
-
全局分发
-
ADS_GROUP_TYPE_GLOBAL_GROUP
-
全局安全性
-
ADS_GROUP_TYPE_GLOBAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED
-
通用分发
-
ADS_GROUP_TYPE_UNIVERSAL_GROUP
-
通用安全性
-
ADS_GROUP_TYPE_UNIVERSAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED
如果组用于设置目录对象的访问控制,则该组应为全局安全组或通用安全组。
请注意,通用安全组只能在以本机模式运行的 Windows 2000 域上创建。 有关检测混合模式和本机模式的更多信息,请参阅检测域的操作模式。
-
-
sAMAccountName
-
包含一个字符串,它是用于支持以前版本的客户端和服务器的名称。 sAMAccountName 应少于 20 个字符,方可支持以前版本的 Windows 客户端。
sAMAccountName 在域内所有安全主体对象中必须是唯一的。 应针对域执行查询,以验证 sAMAccountName 在域内是唯一的。
组的成员可在创建时使用 IDirectoryObject::CreateDSObject 方法来添加。 也可选择在创建后使用 IADsGroup::Add 方法将成员添加到组中。 有关向组添加成员的详细信息,请参阅将成员添加到域中的组。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈