如何确定一个组是否为安全组？

Question

我需要使用C＃代码检查AD中给出的组是否是AD中的安全组。     我注意到组属性中有一个名为“groupType”的属性，但我不知道该属性的用途。我检查了几个组，发现它的值可以为null，8或-2147483646。它是否与安全组类型相关联？     我还在组的distinguishedName中找到了“OU = Security Group”或“OU = Secuity Group with Mail Lists”blabla。它可以作为确定安全组类型的标准吗？     提前谢谢。

Answer 1

来自http://adsearch-winzero.blogspot.com/2006/04/object-group-attribute-grouptype.html

The groupType attribute returns the type of group. However the returned value is in RAW format.

...

-2147483646 ~ Global Security Group
-2147483644 ~ Local Security Group
-2147483643 ~ BuiltIn Group
-2147483640 ~ Universal Security Group

2 ~ Global Distribution Group
4 ~ Local Distribution Group
8 ~ Universal Distribution Group

Answer 2

您可以使用“安全组”作为查询条件。但根据贵公司的设置方式，它并不那么值得信赖。最好为所有安全组创建一个OU条目，并直接使用该条目。

Answer 3

由于对Matt的尊重，更好的答案应来自Microsoft：

https://msdn.microsoft.com/en-us/library/ms675935(v=vs.85).aspx

值是相同的，但仍应来自创建者。 *安全组源自将安全组值-2147483648添加到*通讯组值。

https://blogs.technet.microsoft.com/heyscriptingguy/2004/12/21/how-can-i-tell-whether-a-group-is-a-security-group-or-a-distribution-group/