Grupos que abarcan dominios con Microsoft Active Directory
Los dominios y los niveles funcionales de bosques de Microsoft Active Directory controlan qué configuraciones están disponibles para su uso. El modo en que configura Microsoft Active Directory afecta al modo en que se determina la pertenencia a grupos en WebSphere® Application Server. El uso de grupos para configurar la instalación de Microsoft Active Directory con el producto permite una gestión flexible.
- Niveles funcionales de dominio
- Nativo
- Soportado por Windows Server 2008 y Windows Server 2008 R2
- Valor predeterminado en Windows 2008
- Nativo
- Niveles funcionales de bosque
- Windows Server 2008 o Windows Server 2008 R2
- Todos los dominios funcionan en el nivel funcional de dominiode Windows Server 2008.
Si el nivel funcional de bosque se establece en Windows Server 2008, esto también hace que el nivel funcional de dominio para todos los dominios sea el nivel nativo de Windows Server 2008, que se añade a las características de anidamiento de grupo y grupos universales a Microsoft Active Directory.
- Todos los dominios funcionan en el nivel funcional de dominiode Windows Server 2008.
- Windows Server 2008 o Windows Server 2008 R2
Grupos de Microsoft Active Directory
- Normalmente, los grupos son un conjunto de cuentas de usuario.
- Los miembros reciben los permisos que se han otorgado a los grupos.
- Los usuarios pueden ser miembros de varios grupos.
- Los grupos pueden ser miembros de otros grupos, que son grupos anidados.
- Grupos de seguridad: Microsoft Active Directory utiliza grupos de seguridad para otorgar permisos para obtener acceso a los recursos.
- Grupos de distribución: las aplicaciones basadas en Windows utilizan los grupos de distribución como listas para funciones no relacionadas con la seguridad. Los grupos de distribución se utilizan para enviar mensajes de correo electrónico a grupos de usuarios. No puede otorgar permisos de Windows a grupos de distribución.
- Grupo local del dominio:
- Uso de Windows: los miembros de este grupo pueden proceder de cualquier dominio, pero sólo pueden acceder a los recursos de Windows en el dominio local. Utilice este ámbito para otorgar permisos a los recursos del dominio que estén ubicados en el mismo dominio en el que creó el grupo local del dominio. Los grupos locales de dominio pueden existir en todos los niveles combinados, nativos y funcionales provisionales de dominios y bosques.
- Restricción: no se puede definir la anidación de grupos en un grupo local de dominio. Un grupo local de dominio no puede ser miembro de otro grupo local de dominio ni de cualquier otro grupo del mismo dominio.
- Uso deWebSphere : Los usuarios normalmente no se colocan en grupos locales de dominio debido a estas restricciones. Los roles de seguridad de WebSphere Application Server normalmente no están enlazados a grupos locales de dominio.
- Grupo global:
- Uso de Windows: los miembros de este grupo se originan en un dominio local, pero pueden acceder a los recursos de Windows en cualquier dominio. El grupo global se utiliza para organizar los usuarios que comparten requisitos de acceso a la red de Windows similares. Puede añadir miembros sólo desde el dominio en que se cree el grupo global. Puede utilizar este grupo para asignar permisos para obtener acceso a los recursos de Windows que se encuentran en cualquier dominio del dominio, árbol o bosque.
Puede agrupar usuarios con una función similar en el ámbito global y otorgar permiso para acceder a un recurso de Windows, como una impresora o una carpeta compartida y archivos, que está disponible en el dominio local o en otro dominio del mismo bosque. Puede utilizar grupos globales para otorgar permiso para obtener acceso a los recursos de Windows que se encuentran en cualquier dominio de un único bosque, ya que sus pertenencias están limitadas. Puede añadir cuentas de usuario y grupos globales sólo desde el dominio en el que se cree el grupo global.
La anidación es posible para los grupos globales dentro de otros grupos, ya que puede añadir un grupo global en otro grupo global de cualquier dominio. Los miembros de un grupo global pueden ser miembros de un grupo local de dominio. Los grupos globales existen en todos los niveles combinados, nativos y funcionales provisionales de dominios y bosques.
Uso deWebSphere Application Server : Los grupos globales son visibles en cada controlador de dominio, pero las pertenencias sólo son visibles para los usuarios locales. Es decir, puede ver las pertenencias a grupo sólo si consulta su controlador de dominio de inicio. Un grupo global debe contener grupos de usuarios. Los grupos globales se han diseñado para que se incluyan en los grupos universales.
- Uso de Windows: los miembros de este grupo se originan en un dominio local, pero pueden acceder a los recursos de Windows en cualquier dominio. El grupo global se utiliza para organizar los usuarios que comparten requisitos de acceso a la red de Windows similares. Puede añadir miembros sólo desde el dominio en que se cree el grupo global. Puede utilizar este grupo para asignar permisos para obtener acceso a los recursos de Windows que se encuentran en cualquier dominio del dominio, árbol o bosque.
- Grupo universal:
- Uso de Windows: Los miembros de este grupo pueden proceder de cualquier dominio y acceder a los recursos de Windows en varios dominios. Las pertenencias a los grupos universales no están limitadas, como ocurre en los grupos globales. Todas las cuentas de usuario y grupos del dominio pueden ser miembros de un grupo universal.
- Restricciones:
- Los grupos universales están disponibles cuando el dominio está en un nivel funcional mixto de Windows.
- Puede resultar caro replicar estos datos a través del bosque. Las definiciones y supresiones de grupo son relativamente inusuales, en comparación con las acciones de usuario equivalentes, y los cambios efectuados en la pertenencia a grupos anidados, por lo general, son inusuales, en comparación con las pertenencias de los usuarios dentro de los grupos.Evite problemas: Consulte la información adecuada de Microsoft Active Directory relativa a las implicaciones de la réplica de datos en los bosques.
- Uso deWebSphere :
- Los grupos universal y sus pertenencias resultan visibles en cada controlador de dominio del bosque.
- Los grupos universales también resultan visibles cuando se utiliza el catálogo global. Para que resulten útiles, todos los objetos de usuario deben encontrarse directamente en el grupo universal.
Directrices de grupo universal- Asignar permisos a grupos universales para recursos de Windows en cualquier dominio de la red.
- Utilice los grupos universales sólo cuando su pertenencia sea estática. Los cambios efectuados en la pertenencia pueden provocar un tráfico de red excesivo entre los controladores de dominio. La pertenencia de los grupos universales se puede replicar a muchos controladores de dominio.
- Añada grupos globales de varios dominios a un grupo universal.
- Asigne permisos para acceder a un recurso de Windows al grupo universal y para que lo utilice la resolución de pertenencia a grupos de WebSphere Application Server en varios dominios.
- Utilice un grupo universal del mismo modo que un grupo local de dominio cuando asigne permisos de recursos.