Gruppenübergreifende Domänen bei Microsoft Active Directory

Die Funktionsebenen der Domänen und Gesamtstrukturen von Microsoft Active Directory steuern, welche Konfigurationen verfügbar sind. Wie Sie Microsoft Active Directory konfigurieren, hat Auswirkungen darauf, wie die Gruppenzugehörigkeit in WebSphere Application Server bestimmt wird. Die Verwendung von Gruppen zur Konfiguration der Microsoft-Active Directory-Installation mit dem Produkt ermöglicht eine flexible Verwaltung.

Bei der Installation von Microsoft Active Directory mit dem Produkt werden verschiedene Funktionsebenen angewendet.
  • Funktionsebenen der Domäne
    • Nativ
      • Unterstützt von Windows Server 2008 und Windows Server 2008 R2
      • Standardeinstellung in Windows 2008
    Sie müssen Funktionsebenen für native Domänen verwenden, um die Gruppenverschachtelung sowie universelle Gruppen zu unterstützen. Funktionsebenen der Gesamtstruktur beeinträchtigen die Gruppenzugehörigkeit nicht direkt. Das Betriebssystem Windows 2008 bildet hier die Ausnahme.
  • Funktionsebenen der Domäne
    • Windows Server 2008 oder Windows Server 2008 R2
      • Alle Domänen werden auf der für Windows Server 2008 gültigen Funktionsebene der Domäne verwendet.

        Wenn die Funktionsebene der Gesamtstruktur auf Windows Server 2008 eingestellt ist, fungiert die Funktionsebene der Domäne auch als native Ebene von Windows Server 2008. Damit wird Microsoft Active Directory neben der Gruppenverschachtelung und den universellen Gruppen ein weiteres Feature hinzugefügt.

Microsoft Active Directory - Gruppen

In einer Domäne bietet Microsoft Active Directory Unterstützung für verschiedene Typen von Gruppen und Gruppenbereichen. Gruppen in Microsoft Active Directory sind Container, die andere Objekten als Member enthalten. Diese Objekte können Benutzerobjekte, andere Gruppenobjekte (Gruppenverschachtelung) und andere Objekttypen (z. B. Computer) sein. Der Gruppentyp bestimmt den Tasktyp, den Sie mit der Gruppe verwalten. Der Gruppenbereich bestimmt, ob die Gruppe Member aus mehreren Domänen oder einer einzelnen Domäne haben kann. Zusammenfassend lässt sich Folgendes festhalten:
  • Gruppen sind normalerweise Sammlungen von Benutzeraccounts.
  • Member erhalten Berechtigungen, die Gruppen zugewiesen werden.
  • Benutzer können Member mehrerer Gruppen sein.
  • Gruppen können Member anderer, verschachtelter Gruppen sein.
Fehler vermeiden Fehler vermeiden: In WebSphere Application Server müssen Sicherheitsrollen einer Einzelperson, die Anwendungsberechtigungen entsprechen, an Benutzer oder Gruppen zur Anwendungsimplementierungszeit gebunden werden. Vom Standpunkt der Verwaltung betrachtet ist es besser, einmal Berechtigungen für eine Gruppe zuzuordnen, anstatt den Berechtigungsvorgang für jeden Benutzeraccount immer wieder auszuführen. Die Zuweisung einer bestimmten Rolle obliegt dem Verzeichnisadministrator und nicht dem WebSphere-Administrator. Da es die Aufgabe des Verzeichnisadministrators ist, Benutzer zu erstellen und zu löschen sowie die Gruppenzugehörigkeit für Benutzer und andere Tasks zu ändern, werden bei dieser Methode die Zuständigkeiten normalerweise richtig zugewiesen. gotcha

Gruppentypen bestimmen, wie die Gruppe verwendet wird. Die Microsoft-Active Directory-Gruppentypen sind folgende:
  • Sicherheitsgruppen: Microsoft Active Directory verwendet Sicherheitsgruppen, um Berechtigungen für den Zugriff auf Ressourcen zu erteilen.
  • Verteilungsgruppen: Verteilungsgruppen werden von Windows-basierten Anwendungen als Listen für nicht sicherheitsrelevante Funktionen verwendet. Verteilungsgruppen werden verwendet, um E-Mail-Nachrichten an Benutzergruppen zu senden. Sie können Distributionsgruppen keine Windows-Berechtigungen erteilen.
WebSphere Application Server kann zwar jeden Gruppentyp verwenden, Gruppentypen sind aber normalerweise an WebSphere Application Server-Sicherheitsrollen gebunden.
Gruppenbereiche beschreiben, welche Objekttypen in einer Gruppe zusammengefasst werden können. Die Gruppenverschachtelung beschreibt, wann eine Gruppe Member anderer Gruppen ist. Die Microsoft-Active Directory-Gruppenbereiche sind folgende:
  • Lokale Gruppe der Domäne:
    • Hinweise für Windows: Member dieser Gruppe können aus einer beliebigen Domäne stammen, dürfen jedoch nur in der lokalen Domäne auf Windows-Ressourcen zugreifen. Verwenden Sie diesen Bereich, um Domänenressourcen Berechtigungen zu erteilen, die sich in derselben Domäne befinden wie der, in der Sie die lokale Gruppe der Domäne erstellt haben. Lokale Gruppen der Domäne existieren auf allen Funktionsebenen von Domänen und Gesamtstrukturen (heterogen, nativ, temporär).
    • Einschränkung: Sie können keine Gruppenverschachtelung in der lokalen Gruppe einer Domäne definieren. Die lokale Gruppe einer Domäne kann nicht Member einer anderen lokalen Gruppe einer Domäne oder einer anderen Gruppe in derselben Domäne sein.
    • Hinweise für WebSphere: Aufgrund dieser Einschränkungen werden Benutzer normalerweise nicht in lokale Gruppen von Domänen gestellt. Sicherheitsrollen von WebSphere Application Server werden normalerweise nicht an lokale Gruppen von Domänen gebunden.
  • Globale Gruppe:
    • Hinweise für Windows: Member dieser Gruppe stammen aus einer lokalen Domäne, können jedoch in jeder Domäne auf Windows-Ressourcen zugreifen. Die globale Gruppe wird verwendet, um Benutzer mit ähnlichen Voraussetzungen für das Windows-Netzwerk zusammenzufassen. Sie können nur Member aus der Domäne hinzufügen, in der die globale Gruppe erstellt wird. Sie können diese Gruppe verwenden, um die Berechtigungen für den Zugriff auf Windows-Ressourcen zu erteilen, die sich in der Domäne, in der Baumstruktur oder der Gesamtstruktur befinden.

      Sie können Benutzer mit ähnlicher Funktion in einem globalen Bereich zusammenfassen und die Berechtigung für den Zugriff auf eine Windows-Ressource (z. B. ein Drucker, ein freigegebenen Ordner, freigegebene Dateien) erteilen, die in der lokalen oder einer anderen Domäne derselben Gesamtstruktur verfügbar ist. Sie können globale Gruppen verwenden, um die Berechtigung für den Zugriff auf Windows-Ressourcen zu erteilen, die sich in einer Domäne in einer einzelnen Gesamtstruktur befinden, da die Anzahl der Member begrenzt ist. Sie können nur Benutzeraccounts und globale Gruppen nur aus der Domäne hinzufügen, in der die globale Gruppe erstellt wird.

      Die Verschachtelung ist möglich für globale Gruppen innerhalb anderer Gruppen, da Sie eine globale Gruppe zu einer anderen globalen Gruppe einer bestimmten Domäne hinzufügen können. Member einer globalen Gruppe können Member der lokalen Gruppe einer Domäne sein. Globale Gruppen existieren auf allen Funktionsebenen von Domänen und Gesamtstrukturen (heterogen, nativ, temporär).

    Hinweise für WebSphere Application Server: Globale Gruppen sind in jedem Domänencontroller sichtbar, doch Zugehörigkeiten sind nur für lokale Benutzer sichtbar. Das bedeutet, Sie können Ihre Gruppenzugehörigkeit nur anzeigen, wenn Sie Ihren Home-Domänencontroller abfragen. Eine globale Gruppe muss bestimmte Benutzergruppen enthalten. Globale Gruppen sind für den Einschluss in universelle Gruppen vorgesehen.

  • Universelle Gruppe:
    • Hinweise für Windows: Member dieser Gruppe können aus einer beliebigen Domäne stammen und dürfen auf Windows-Ressourcen in mehreren Domänen zugreifen. Die Zugehörigkeit zu universellen Gruppen ist im Gegensatz zur Zugehörigkeit zu globalen Gruppen nicht eingeschränkt. Alle Domänenbenutzeraccounts und -gruppen können Member einer universellen Gruppe sein.
    • Einschränkungen:
      • Universelle Gruppen sind verfügbar, wenn eine Funktionsebene für heterogene Domänen für Windows verwendet wird.
      • Es kann kostenintensiv sein, diese Daten in der Gesamtstruktur zu replizieren. Gruppendefinitionen und -löschungen sind im Vergleich zu den äquivalenten Benutzeraktionen relativ selten. Die Zugehörigkeit zu verschachtelten Gruppen ist im Vergleich zu den verschiedenen Zugehörigkeit von Benutzern zu Gruppen relativ selten.
        Fehler vermeiden Fehler vermeiden: Ziehen Sie entsprechende Informationen zu Microsoft Active Directory, die sich mit den Auswirkungen der Datenreplikation in Gesamtstrukturen befassen, zu Rate. gotcha
    • Verwendung unter WebSphere:
      • Universelle Gruppen und deren Zugehörigkeit sind in jedem Domänencontroller in der Gesamtstruktur sichtbar.
      • Universelle Gruppen sind auch sichtbar, wenn Sie den globalen Katalog verwenden. Alle Benutzerobjekte müssen, um sinnvoll genutzt werden zu können, direkt in derselben universellen Gruppe enthalten sein.
    Richtlinien für universelle Gruppen
    1. Ordnen Sie universellen Gruppen Berechtigungen für den Zugriff auf Windows-Ressourcen in einer Domäne im Netz zu.
    2. Verwenden Sie universelle Gruppen nur, wenn deren Zugehörigkeit statisch ist. Änderungen der Zugehörigkeit können zur Folge haben, dass zwischen Domänencontrollern ein sehr umfangreicher Datenaustausch über das Netz stattfindet. Die Zugehörigkeit zu universellen Gruppen kann in vielen Domänencontrollern repliziert werden.
    3. Fügen Sie globale Gruppen aus verschiedenen Domänen zu einer universellen Gruppe hinzu.
    4. Ordnen Sie der universellen Gruppe Berechtigungen für den Zugriff auf eine Windows-Ressource zu, um sicherzustellen, dass die Berechtigungen in mehreren Domänen in WebSphere Application Server für die Auflösung von Gruppenzugehörigkeiten genutzt werden können.
    5. Verwenden Sie eine universelle Gruppe auf dieselbe Weise wie die lokale Gruppe einer Domäne, um Ressourcenberechtigungen zuzuordnen.
Fehler vermeiden Fehler vermeiden: Wenn Sie eines dieser Szenarien auswählen, ziehen Sie die entsprechenden Informationen zu Microsoft Active Directory zu Rate, um sich mit allen Auswirkungen vertraut zu machen, die diese Szenarien auf Ihre Konfigurationsplanung haben können.gotcha

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_groups
Dateiname:csec_was_groups.html