Domaines s'étendant sur plusieurs groupes avec Microsoft Active Directory
Les niveaux fonctionnels des domaines et des forêts de Microsoft Active Directory contrôlent les configurations pouvant être utilisées. La façon dont vous configurez Microsoft Active Directory affecte la façon dont l'appartenance à un groupe est déterminée dans WebSphere® Application Server. L'utilisation de groupes pour configurer votre installation Microsoft Active Directory avec le produit permet une gestion flexible.
- Niveaux fonctionnels des domaines
- Natif
- Pris en charge par Windows Server 2008 et Windows Server 2008 R2
- Valeur par défaut dans Windows 2008
- Natif
- Niveaux fonctionnels des forêts
- Windows Server 2008 ou Windows Server 2008 R2
- Tous les domaines fonctionnent au niveau fonctionnel de domaineWindows Server 2008.
Si le niveau fonctionnel de forêt est défini sur Windows Server 2008, cela rend également le niveau fonctionnel de domaine pour tous les domaines défini sur le niveau natif de Windows Server 2008, ce qui ajoute les fonctions d'imbrication de groupe et de groupes universels à Microsoft Active Directory.
- Tous les domaines fonctionnent au niveau fonctionnel de domaineWindows Server 2008.
- Windows Server 2008 ou Windows Server 2008 R2
Groupes Microsoft Active Directory
- Les groupes sont généralement une collection de comptes utilisateur.
- Les membres reçoivent les droits accordés aux groupes.
- Les utilisateurs peuvent être membres de plusieurs groupes.
- Les groupes peuvent être membres d'autres groupes, lesquels sont des groupes imbriqués.
- Groupes de sécurité: Microsoft Active Directory utilise des groupes de sécurité pour accorder des droits d'accès aux ressources.
- Groupes de distribution : Les groupes de distribution sont utilisés par les applications Windows en tant que listes pour des fonctions qui ne sont pas liées à la sécurité. Ils sont utilisés pour l'envoi de messages électroniques à des groupes d'utilisateurs. Vous ne pouvez pas accorder de droits Windows à des groupes de distribution.
- Groupe local de domaine :
- Utilisation de Windows: les membres de ce groupe peuvent provenir de n'importe quel domaine, mais peuvent accéder aux ressources Windows uniquement dans le domaine local. Utilisez ce nouveau pour accorder des droits aux ressources de domaine qui sont situées dans le même domaine que celui où vous avez créé le groupe de domaine local. Les groupes locaux de domaine peuvent exister aux niveaux fonctionnels mixte, natif et provisoire des domaines et des forêts.
- Restriction : Vous ne pouvez pas défini_r l'imbrication de groupes dans un groupe local de domaine. Un groupe local de domaine ne peut pas être membre d'un autre groupe local de domaine ou d'un autre groupe du même domaine.
- WebSphere : les utilisateurs ne sont généralement pas placés dans des groupes de domaine local en raison de ces restrictions. Les rôles de sécurité WebSphere Application Server ne sont généralement pas liés à des groupes locaux de domaine.
- Groupe global :
- Utilisation de Windows: les membres de ce groupe proviennent d'un domaine local, mais peuvent accéder aux ressources Windows de n'importe quel domaine. Le groupe global est utilisé pour organiser les utilisateurs qui partagent des exigences d'accès au réseau Windows similaires. Vous pouvez ajouter des membres provenant uniquement du domaine dans lequel le groupe global est créé. Vous pouvez utiliser ce groupe pour affecter des droits d'accès aux ressources Windows qui se trouvent dans n'importe quel domaine du domaine, de l'arborescence ou de la forêt.
Vous pouvez regrouper des utilisateurs ayant des fonctions similaires dans la portée globale et autoriser l'accès à une ressource Windows, telle qu'une imprimante ou un dossier et des fichiers partagés, qui est disponible dans un domaine local ou dans un autre domaine de la même forêt. Vous pouvez utiliser des groupes globaux pour accorder des droits d'accès aux ressources Windows qui se trouvent dans n'importe quel domaine dans une forêt unique car leurs appartenances sont limitées. Vous pouvez ajouter des comptes utilisateurs et des groupes globaux uniquement à partir du domaine dans lequel le groupe global est créé.
L'imbrication est possible pour les groupes globaux au sein d'autres groupes car vous pouvez ajouter un groupe global dans un autre groupe global d'un domaine quelconque. Les membres d'un groupe global peuvent être membres d'un groupe local de domaine. Les groupes globaux existent à tous les niveaux fonctionnels mixte, natif et provisoire des domaines et des forêts.
Utilisation deWebSphere Application Server : les groupes globaux sont visibles sur chaque contrôleur de domaine, mais les appartenances ne sont visibles que pour les utilisateurs locaux. Cela signifie que vous ne pouvez voir votre appartenance au groupe que si vous interrogez votre contrôle de domaine d'accueil. Un groupe global doit contenir des groupes d'utilisateurs. Les groupes globaux sont destinés à être inclus dans des groupes universels.
- Utilisation de Windows: les membres de ce groupe proviennent d'un domaine local, mais peuvent accéder aux ressources Windows de n'importe quel domaine. Le groupe global est utilisé pour organiser les utilisateurs qui partagent des exigences d'accès au réseau Windows similaires. Vous pouvez ajouter des membres provenant uniquement du domaine dans lequel le groupe global est créé. Vous pouvez utiliser ce groupe pour affecter des droits d'accès aux ressources Windows qui se trouvent dans n'importe quel domaine du domaine, de l'arborescence ou de la forêt.
- Groupe universel :
- Utilisation de Windows: les membres de ce groupe peuvent provenir de n'importe quel domaine et accéder aux ressources Windows dans plusieurs domaines. Les appartenances au groupe universel ne sont pas limitées comme les groupes globaux. Tous les comptes et groupes d'utilisateurs peuvent être membres d'un groupe universel.
- Restrictions:
- Les groupes universels sont disponibles lorsque le domaine est à un niveau fonctionnel mixte Windows.
- Il peut être coûteux de répliquer ces données au sein de la forêt. Les définitions et les suppressions de groupe sont relativement rares comparé aux
actions utilisateur équivalentes, et les modifications d'appartenance à un groupe imbriqué sont généralement rares comparé aux appartenances d'utilisateurs au sein de groupes.Evitez les problèmes: Consultez les informations Microsoft Active Directory appropriées concernant les implications de la réplication des données dans les forêts.
- WebSphere :
- Les groupes universels et leurs appartenances à un groupe sont visibles sur chaque contrôleur de domaine de la forêt.
- Les groupes universels sont également visibles lors de l'utilisation du catalogue global. Pour être utiles, les objets utilisateur doivent tous figurer directement dans le groupe universel.
Règles relatives au groupe universel- Affectez des droits aux groupes universels pour les ressources Windows dans n'importe quel domaine du réseau.
- Utilisez les groupes universels uniquement lorsque l'appartenance au groupe est statique. Les modifications de l'appartenance au groupe peuvent entraîner un trafic excessif entre les contrôleurs de domaine. L'appartenance au groupe des groupes universels peut être répliquée sur de nombreux contrôleurs de domaine.
- Ajoutez les groupes globaux de plusieurs domaines à un groupe universel.
- Affectez des droits d'accès à une ressource Windows au groupe universel et à utiliser par la résolution d'appartenance à un groupe WebSphere Application Server sur plusieurs domaines.
- Utilisez un groupe universel de la même manière qu'un groupe local de domaine pour accorder des droits d'accès aux ressources.