Domaines s'étendant sur plusieurs groupes avec Microsoft Active Directory

Les niveaux fonctionnels des domaines et des forêts de Microsoft Active Directory contrôlent les configurations pouvant être utilisées. La façon dont vous configurez Microsoft Active Directory affecte la façon dont l'appartenance à un groupe est déterminée dans WebSphere® Application Server. L'utilisation de groupes pour configurer votre installation Microsoft Active Directory avec le produit permet une gestion flexible.

Une répartition des niveaux fonctionnels applicables s'applique à une installation Microsoft Active Directory avec le produit.
  • Niveaux fonctionnels des domaines
    • Natif
      • Pris en charge par Windows Server 2008 et Windows Server 2008 R2
      • Valeur par défaut dans Windows 2008
    Vous devez utiliser les niveaux fonctionnels natifs pour la prise en charge de l'imbrication de groupes et des groupes universels. Les niveaux fonctionnels de forêt n'affectent pas directement l'appartenance au groupe. Le système d'exploitation Windows 2008 est l'exception.
  • Niveaux fonctionnels des forêts
    • Windows Server 2008 ou Windows Server 2008 R2
      • Tous les domaines fonctionnent au niveau fonctionnel de domaineWindows Server 2008.

        Si le niveau fonctionnel de forêt est défini sur Windows Server 2008, cela rend également le niveau fonctionnel de domaine pour tous les domaines défini sur le niveau natif de Windows Server 2008, ce qui ajoute les fonctions d'imbrication de groupe et de groupes universels à Microsoft Active Directory.

Groupes Microsoft Active Directory

Dans un domaine, Microsoft Active Directory prend en charge différents types de groupes et de portées de groupe. Les groupes de Microsoft Active Directory sont des conteneurs contenant d'autres objets en tant que membres. Ces objets peuvent être des objets utilisateur, d'autres objets de groupe, ce qui correspond à l'imbrication de groupes, et d'autres types d'objets, tels que des ordinateurs. Le type de groupe détermine le type de tâche que vous gérez avec le groupe. Le niveau de groupe détermine si le groupe peut comporter des membres de plusieurs domaines ou d'un seul domaine. En résumé :
  • Les groupes sont généralement une collection de comptes utilisateur.
  • Les membres reçoivent les droits accordés aux groupes.
  • Les utilisateurs peuvent être membres de plusieurs groupes.
  • Les groupes peuvent être membres d'autres groupes, lesquels sont des groupes imbriqués.
Eviter les problèmes: Dans WebSphere Application Server, les rôles de sécurité de l'individu, qui sont mappés à des autorisations ou des droits d'application, doivent être liés à des utilisateurs ou à des groupes lors du déploiement de l'application. D'un point de vue administratif, il est préférable d'accorder des droits une fois pour un groupe au lieu d'accorder des droits de manière répétée pour chaque compte utilisateur. Ensuite, la possibilité d'agir dans un rôle donné est sous le contrôle de l'administrateur d'annuaire, à la place de l'administrateur WebSphere . Etant donné que le travail de l'administrateur Directory consiste à créer et à supprimer des utilisateurs, à modifier des appartenances au groupe pour les utilisateurs, et à exécuter diverses autres tâches, cette approche est généralement celle qui convient le mieux en termes de responsabilités.

Les types de groupe déterminent le mode d'utilisation du groupe. Les types de groupe Active Directory Microsoft sont les suivants:
  • Groupes de sécurité: Microsoft Active Directory utilise des groupes de sécurité pour accorder des droits d'accès aux ressources.
  • Groupes de distribution : Les groupes de distribution sont utilisés par les applications Windows en tant que listes pour des fonctions qui ne sont pas liées à la sécurité. Ils sont utilisés pour l'envoi de messages électroniques à des groupes d'utilisateurs. Vous ne pouvez pas accorder de droits Windows à des groupes de distribution.
Bien que WebSphere Application Server puisse utiliser l'un ou l'autre type de groupe, les groupes de sécurité sont généralement liés à des rôles de sécurité WebSphere Application Server .
Les niveaux de groupe décrivent le type d'objets qui peuvent être organisés au sein d'un groupe. Il y a imbrication de groupes lorsqu'un groupe est membre d'autres groupes. Les portées de groupe Active Directory de Microsoft sont les suivantes:
  • Groupe local de domaine :
    • Utilisation de Windows: les membres de ce groupe peuvent provenir de n'importe quel domaine, mais peuvent accéder aux ressources Windows uniquement dans le domaine local. Utilisez ce nouveau pour accorder des droits aux ressources de domaine qui sont situées dans le même domaine que celui où vous avez créé le groupe de domaine local. Les groupes locaux de domaine peuvent exister aux niveaux fonctionnels mixte, natif et provisoire des domaines et des forêts.
    • Restriction : Vous ne pouvez pas défini_r l'imbrication de groupes dans un groupe local de domaine. Un groupe local de domaine ne peut pas être membre d'un autre groupe local de domaine ou d'un autre groupe du même domaine.
    • WebSphere : les utilisateurs ne sont généralement pas placés dans des groupes de domaine local en raison de ces restrictions. Les rôles de sécurité WebSphere Application Server ne sont généralement pas liés à des groupes locaux de domaine.
  • Groupe global :
    • Utilisation de Windows: les membres de ce groupe proviennent d'un domaine local, mais peuvent accéder aux ressources Windows de n'importe quel domaine. Le groupe global est utilisé pour organiser les utilisateurs qui partagent des exigences d'accès au réseau Windows similaires. Vous pouvez ajouter des membres provenant uniquement du domaine dans lequel le groupe global est créé. Vous pouvez utiliser ce groupe pour affecter des droits d'accès aux ressources Windows qui se trouvent dans n'importe quel domaine du domaine, de l'arborescence ou de la forêt.

      Vous pouvez regrouper des utilisateurs ayant des fonctions similaires dans la portée globale et autoriser l'accès à une ressource Windows, telle qu'une imprimante ou un dossier et des fichiers partagés, qui est disponible dans un domaine local ou dans un autre domaine de la même forêt. Vous pouvez utiliser des groupes globaux pour accorder des droits d'accès aux ressources Windows qui se trouvent dans n'importe quel domaine dans une forêt unique car leurs appartenances sont limitées. Vous pouvez ajouter des comptes utilisateurs et des groupes globaux uniquement à partir du domaine dans lequel le groupe global est créé.

      L'imbrication est possible pour les groupes globaux au sein d'autres groupes car vous pouvez ajouter un groupe global dans un autre groupe global d'un domaine quelconque. Les membres d'un groupe global peuvent être membres d'un groupe local de domaine. Les groupes globaux existent à tous les niveaux fonctionnels mixte, natif et provisoire des domaines et des forêts.

    Utilisation deWebSphere Application Server : les groupes globaux sont visibles sur chaque contrôleur de domaine, mais les appartenances ne sont visibles que pour les utilisateurs locaux. Cela signifie que vous ne pouvez voir votre appartenance au groupe que si vous interrogez votre contrôle de domaine d'accueil. Un groupe global doit contenir des groupes d'utilisateurs. Les groupes globaux sont destinés à être inclus dans des groupes universels.

  • Groupe universel :
    • Utilisation de Windows: les membres de ce groupe peuvent provenir de n'importe quel domaine et accéder aux ressources Windows dans plusieurs domaines. Les appartenances au groupe universel ne sont pas limitées comme les groupes globaux. Tous les comptes et groupes d'utilisateurs peuvent être membres d'un groupe universel.
    • Restrictions:
      • Les groupes universels sont disponibles lorsque le domaine est à un niveau fonctionnel mixte Windows.
      • Il peut être coûteux de répliquer ces données au sein de la forêt. Les définitions et les suppressions de groupe sont relativement rares comparé aux actions utilisateur équivalentes, et les modifications d'appartenance à un groupe imbriqué sont généralement rares comparé aux appartenances d'utilisateurs au sein de groupes.
        Evitez les problèmes: Consultez les informations Microsoft Active Directory appropriées concernant les implications de la réplication des données dans les forêts.
    • WebSphere :
      • Les groupes universels et leurs appartenances à un groupe sont visibles sur chaque contrôleur de domaine de la forêt.
      • Les groupes universels sont également visibles lors de l'utilisation du catalogue global. Pour être utiles, les objets utilisateur doivent tous figurer directement dans le groupe universel.
    Règles relatives au groupe universel
    1. Affectez des droits aux groupes universels pour les ressources Windows dans n'importe quel domaine du réseau.
    2. Utilisez les groupes universels uniquement lorsque l'appartenance au groupe est statique. Les modifications de l'appartenance au groupe peuvent entraîner un trafic excessif entre les contrôleurs de domaine. L'appartenance au groupe des groupes universels peut être répliquée sur de nombreux contrôleurs de domaine.
    3. Ajoutez les groupes globaux de plusieurs domaines à un groupe universel.
    4. Affectez des droits d'accès à une ressource Windows au groupe universel et à utiliser par la résolution d'appartenance à un groupe WebSphere Application Server sur plusieurs domaines.
    5. Utilisez un groupe universel de la même manière qu'un groupe local de domaine pour accorder des droits d'accès aux ressources.
Evitez les problèmes: Lorsque vous sélectionnez l'un de ces scénarios, consultez les informations Microsoft Active Directory appropriées pour comprendre toutes les implications que les scénarios peuvent avoir sur la planification de votre configuration.