Grupos que abarcan dominios con Microsoft Active Directory

Los dominios y los niveles funcionales de bosques de Microsoft Active Directory controlan qué configuraciones están disponibles para su uso. El modo en que configura Microsoft Active Directory afecta al modo en que se determina la pertenencia a grupos en WebSphere® Application Server. El uso de grupos para configurar la instalación de Microsoft Active Directory con el producto permite una gestión flexible.

A continuación se muestra un desglose de los niveles funcionales aplicables que se aplican a una instalación de Microsoft Active Directory con el producto.
  • Niveles funcionales de dominio
    • Nativo
      • Soportado por Windows Server 2008 y Windows Server 2008 R2
      • Valor predeterminado en Windows 2008
    Debe utilizar los niveles funcionales de dominio nativos para poder dar soporte a la anidación de grupos y a los grupos universales. Los niveles funcionales del bosque no afectan directamente a la pertenencia a grupos. El sistema operativo Windows 2008 es la excepción.
  • Niveles funcionales de bosque
    • Windows Server 2008 o Windows Server 2008 R2
      • Todos los dominios funcionan en el nivel funcional de dominiode Windows Server 2008.

        Si el nivel funcional de bosque se establece en Windows Server 2008, esto también hace que el nivel funcional de dominio para todos los dominios sea el nivel nativo de Windows Server 2008, que se añade a las características de anidamiento de grupo y grupos universales a Microsoft Active Directory.

Grupos de Microsoft Active Directory

En un dominio, Microsoft Active Directory proporciona soporte para distintos tipos de grupos y ámbitos de grupo. Los grupos de Microsoft Active Directory son contenedores con otros objetos dentro de ellos como miembros. Dichos objetos pueden ser objetos de usuario, otros objetos de grupo, que es anidación de grupos, y otros tipos de objetos, como sistemas. El tipo de grupo determina el tipo de tarea que se puede gestionar con el grupo. El ámbito de grupo determina si el éste puede tener miembros de varios dominios, o un dominio único. En resumen:
  • Normalmente, los grupos son un conjunto de cuentas de usuario.
  • Los miembros reciben los permisos que se han otorgado a los grupos.
  • Los usuarios pueden ser miembros de varios grupos.
  • Los grupos pueden ser miembros de otros grupos, que son grupos anidados.
Evitar problemas: En WebSphere Application Server, los roles de seguridad de la persona, que se correlacionan con permisos o autorizaciones de aplicación, deben estar enlazados a usuarios o grupos durante el despliegue de la aplicación. Desde el punto de vista administrativo, es preferible asignar permisos una vez para un grupo en lugar de asignar permisos, repetidamente, para cada cuenta de usuario. A continuación, la capacidad de actuar en un rol determinado está bajo el control del administrador del directorio, en lugar del administrador de WebSphere . Puesto que el trabajo del administrador del directorio es crear y suprimir usuarios, cambiar la pertenencia a grupos de los usuarios, y demás tareas, este método es, generalmente, la correcta división de las responsabilidades.

Los tipos de grupos determinan cómo se utiliza el grupo. Los tipos de grupo de Microsoft Active Directory son:
  • Grupos de seguridad: Microsoft Active Directory utiliza grupos de seguridad para otorgar permisos para obtener acceso a los recursos.
  • Grupos de distribución: las aplicaciones basadas en Windows utilizan los grupos de distribución como listas para funciones no relacionadas con la seguridad. Los grupos de distribución se utilizan para enviar mensajes de correo electrónico a grupos de usuarios. No puede otorgar permisos de Windows a grupos de distribución.
Aunque WebSphere Application Server puede utilizar cualquier tipo de grupo, los grupos de seguridad suelen estar enlazados a roles de seguridad de WebSphere Application Server .
Los ámbitos de grupo describen qué tipo de objetos se pueden organizar juntos dentro de un grupo. La anidación de grupos se describe cuándo un grupo es un miembro de otros grupos. Los ámbitos de grupo de Microsoft Active Directory son:
  • Grupo local del dominio:
    • Uso de Windows: los miembros de este grupo pueden proceder de cualquier dominio, pero sólo pueden acceder a los recursos de Windows en el dominio local. Utilice este ámbito para otorgar permisos a los recursos del dominio que estén ubicados en el mismo dominio en el que creó el grupo local del dominio. Los grupos locales de dominio pueden existir en todos los niveles combinados, nativos y funcionales provisionales de dominios y bosques.
    • Restricción: no se puede definir la anidación de grupos en un grupo local de dominio. Un grupo local de dominio no puede ser miembro de otro grupo local de dominio ni de cualquier otro grupo del mismo dominio.
    • Uso deWebSphere : Los usuarios normalmente no se colocan en grupos locales de dominio debido a estas restricciones. Los roles de seguridad de WebSphere Application Server normalmente no están enlazados a grupos locales de dominio.
  • Grupo global:
    • Uso de Windows: los miembros de este grupo se originan en un dominio local, pero pueden acceder a los recursos de Windows en cualquier dominio. El grupo global se utiliza para organizar los usuarios que comparten requisitos de acceso a la red de Windows similares. Puede añadir miembros sólo desde el dominio en que se cree el grupo global. Puede utilizar este grupo para asignar permisos para obtener acceso a los recursos de Windows que se encuentran en cualquier dominio del dominio, árbol o bosque.

      Puede agrupar usuarios con una función similar en el ámbito global y otorgar permiso para acceder a un recurso de Windows, como una impresora o una carpeta compartida y archivos, que está disponible en el dominio local o en otro dominio del mismo bosque. Puede utilizar grupos globales para otorgar permiso para obtener acceso a los recursos de Windows que se encuentran en cualquier dominio de un único bosque, ya que sus pertenencias están limitadas. Puede añadir cuentas de usuario y grupos globales sólo desde el dominio en el que se cree el grupo global.

      La anidación es posible para los grupos globales dentro de otros grupos, ya que puede añadir un grupo global en otro grupo global de cualquier dominio. Los miembros de un grupo global pueden ser miembros de un grupo local de dominio. Los grupos globales existen en todos los niveles combinados, nativos y funcionales provisionales de dominios y bosques.

    Uso deWebSphere Application Server : Los grupos globales son visibles en cada controlador de dominio, pero las pertenencias sólo son visibles para los usuarios locales. Es decir, puede ver las pertenencias a grupo sólo si consulta su controlador de dominio de inicio. Un grupo global debe contener grupos de usuarios. Los grupos globales se han diseñado para que se incluyan en los grupos universales.

  • Grupo universal:
    • Uso de Windows: Los miembros de este grupo pueden proceder de cualquier dominio y acceder a los recursos de Windows en varios dominios. Las pertenencias a los grupos universales no están limitadas, como ocurre en los grupos globales. Todas las cuentas de usuario y grupos del dominio pueden ser miembros de un grupo universal.
    • Restricciones:
      • Los grupos universales están disponibles cuando el dominio está en un nivel funcional mixto de Windows.
      • Puede resultar caro replicar estos datos a través del bosque. Las definiciones y supresiones de grupo son relativamente inusuales, en comparación con las acciones de usuario equivalentes, y los cambios efectuados en la pertenencia a grupos anidados, por lo general, son inusuales, en comparación con las pertenencias de los usuarios dentro de los grupos.
        Evite problemas: Consulte la información adecuada de Microsoft Active Directory relativa a las implicaciones de la réplica de datos en los bosques.
    • Uso deWebSphere :
      • Los grupos universal y sus pertenencias resultan visibles en cada controlador de dominio del bosque.
      • Los grupos universales también resultan visibles cuando se utiliza el catálogo global. Para que resulten útiles, todos los objetos de usuario deben encontrarse directamente en el grupo universal.
    Directrices de grupo universal
    1. Asignar permisos a grupos universales para recursos de Windows en cualquier dominio de la red.
    2. Utilice los grupos universales sólo cuando su pertenencia sea estática. Los cambios efectuados en la pertenencia pueden provocar un tráfico de red excesivo entre los controladores de dominio. La pertenencia de los grupos universales se puede replicar a muchos controladores de dominio.
    3. Añada grupos globales de varios dominios a un grupo universal.
    4. Asigne permisos para acceder a un recurso de Windows al grupo universal y para que lo utilice la resolución de pertenencia a grupos de WebSphere Application Server en varios dominios.
    5. Utilice un grupo universal del mismo modo que un grupo local de dominio cuando asigne permisos de recursos.
Evite problemas: Cuando seleccione cualquiera de estos escenarios, consulte la información de Microsoft Active Directory adecuada para comprender completamente las implicaciones que los escenarios pueden tener en la planificación de la configuración.