Gruppenübergreifende Domänen bei Microsoft Active Directory
Die Funktionsebenen der Domänen und Gesamtstrukturen von Microsoft Active Directory steuern, welche Konfigurationen verfügbar sind. Wie Sie Microsoft Active Directory konfigurieren, hat Auswirkungen darauf, wie die Gruppenzugehörigkeit in WebSphere Application Server bestimmt wird. Die Verwendung von Gruppen zur Konfiguration der Microsoft-Active Directory-Installation mit dem Produkt ermöglicht eine flexible Verwaltung.
- Funktionsebenen der Domäne
- Nativ
- Unterstützt von Windows Server 2008 und Windows Server 2008 R2
- Standardeinstellung in Windows 2008
- Nativ
- Funktionsebenen der Domäne
- Windows Server 2008 oder Windows Server 2008 R2
- Alle Domänen werden auf der für Windows Server
2008 gültigen Funktionsebene der Domäne verwendet.
Wenn die Funktionsebene der Gesamtstruktur auf Windows Server 2008 eingestellt ist, fungiert die Funktionsebene der Domäne auch als native Ebene von Windows Server 2008. Damit wird Microsoft Active Directory neben der Gruppenverschachtelung und den universellen Gruppen ein weiteres Feature hinzugefügt.
- Alle Domänen werden auf der für Windows Server
2008 gültigen Funktionsebene der Domäne verwendet.
- Windows Server 2008 oder Windows Server 2008 R2
Microsoft Active Directory - Gruppen
- Gruppen sind normalerweise Sammlungen von Benutzeraccounts.
- Member erhalten Berechtigungen, die Gruppen zugewiesen werden.
- Benutzer können Member mehrerer Gruppen sein.
- Gruppen können Member anderer, verschachtelter Gruppen sein.

- Sicherheitsgruppen: Microsoft Active Directory verwendet Sicherheitsgruppen, um Berechtigungen für den Zugriff auf Ressourcen zu erteilen.
- Verteilungsgruppen: Verteilungsgruppen werden von Windows-basierten Anwendungen als Listen für nicht sicherheitsrelevante Funktionen verwendet. Verteilungsgruppen werden verwendet, um E-Mail-Nachrichten an Benutzergruppen zu senden. Sie können Distributionsgruppen keine Windows-Berechtigungen erteilen.
- Lokale Gruppe der Domäne:
- Hinweise für Windows: Member dieser Gruppe können aus einer beliebigen Domäne stammen, dürfen jedoch nur in der lokalen Domäne auf Windows-Ressourcen zugreifen. Verwenden Sie diesen Bereich, um Domänenressourcen Berechtigungen zu erteilen, die sich in derselben Domäne befinden wie der, in der Sie die lokale Gruppe der Domäne erstellt haben. Lokale Gruppen der Domäne existieren auf allen Funktionsebenen von Domänen und Gesamtstrukturen (heterogen, nativ, temporär).
- Einschränkung: Sie können keine Gruppenverschachtelung in der lokalen Gruppe einer Domäne definieren. Die lokale Gruppe einer Domäne kann nicht Member einer anderen lokalen Gruppe einer Domäne oder einer anderen Gruppe in derselben Domäne sein.
- Hinweise für WebSphere: Aufgrund dieser Einschränkungen werden Benutzer normalerweise nicht in lokale Gruppen von Domänen gestellt. Sicherheitsrollen von WebSphere Application Server werden normalerweise nicht an lokale Gruppen von Domänen gebunden.
- Globale Gruppe:
- Hinweise für Windows: Member dieser Gruppe
stammen aus einer lokalen Domäne, können jedoch in jeder Domäne auf Windows-Ressourcen zugreifen.
Die globale Gruppe wird verwendet, um Benutzer mit ähnlichen Voraussetzungen für das
Windows-Netzwerk zusammenzufassen.
Sie können nur Member aus der Domäne hinzufügen, in der die globale Gruppe erstellt wird. Sie können diese Gruppe verwenden,
um die Berechtigungen für den Zugriff auf
Windows-Ressourcen zu erteilen, die sich in der Domäne, in der Baumstruktur oder der Gesamtstruktur befinden.
Sie können Benutzer mit ähnlicher Funktion in einem globalen Bereich zusammenfassen und die Berechtigung für den Zugriff auf eine Windows-Ressource (z. B. ein Drucker, ein freigegebenen Ordner, freigegebene Dateien) erteilen, die in der lokalen oder einer anderen Domäne derselben Gesamtstruktur verfügbar ist. Sie können globale Gruppen verwenden, um die Berechtigung für den Zugriff auf Windows-Ressourcen zu erteilen, die sich in einer Domäne in einer einzelnen Gesamtstruktur befinden, da die Anzahl der Member begrenzt ist. Sie können nur Benutzeraccounts und globale Gruppen nur aus der Domäne hinzufügen, in der die globale Gruppe erstellt wird.
Die Verschachtelung ist möglich für globale Gruppen innerhalb anderer Gruppen, da Sie eine globale Gruppe zu einer anderen globalen Gruppe einer bestimmten Domäne hinzufügen können. Member einer globalen Gruppe können Member der lokalen Gruppe einer Domäne sein. Globale Gruppen existieren auf allen Funktionsebenen von Domänen und Gesamtstrukturen (heterogen, nativ, temporär).
Hinweise für WebSphere Application Server: Globale Gruppen sind in jedem Domänencontroller sichtbar, doch Zugehörigkeiten sind nur für lokale Benutzer sichtbar. Das bedeutet, Sie können Ihre Gruppenzugehörigkeit nur anzeigen, wenn Sie Ihren Home-Domänencontroller abfragen. Eine globale Gruppe muss bestimmte Benutzergruppen enthalten. Globale Gruppen sind für den Einschluss in universelle Gruppen vorgesehen.
- Hinweise für Windows: Member dieser Gruppe
stammen aus einer lokalen Domäne, können jedoch in jeder Domäne auf Windows-Ressourcen zugreifen.
Die globale Gruppe wird verwendet, um Benutzer mit ähnlichen Voraussetzungen für das
Windows-Netzwerk zusammenzufassen.
Sie können nur Member aus der Domäne hinzufügen, in der die globale Gruppe erstellt wird. Sie können diese Gruppe verwenden,
um die Berechtigungen für den Zugriff auf
Windows-Ressourcen zu erteilen, die sich in der Domäne, in der Baumstruktur oder der Gesamtstruktur befinden.
- Universelle Gruppe:
- Hinweise für Windows: Member dieser Gruppe können aus einer beliebigen Domäne stammen und dürfen auf Windows-Ressourcen in mehreren Domänen zugreifen. Die Zugehörigkeit zu universellen Gruppen ist im Gegensatz zur Zugehörigkeit zu globalen Gruppen nicht eingeschränkt. Alle Domänenbenutzeraccounts und -gruppen können Member einer universellen Gruppe sein.
- Einschränkungen:
- Universelle Gruppen sind verfügbar, wenn eine Funktionsebene für heterogene Domänen für Windows verwendet wird.
- Es kann kostenintensiv sein, diese Daten in der Gesamtstruktur zu replizieren.
Gruppendefinitionen und -löschungen sind im Vergleich zu den äquivalenten Benutzeraktionen relativ selten.
Die Zugehörigkeit zu verschachtelten Gruppen ist im Vergleich zu den verschiedenen Zugehörigkeit von Benutzern zu Gruppen relativ selten.
Fehler vermeiden: Ziehen Sie entsprechende Informationen zu Microsoft Active Directory, die sich mit den Auswirkungen der Datenreplikation in Gesamtstrukturen befassen, zu Rate. gotcha
- Verwendung unter WebSphere:
- Universelle Gruppen und deren Zugehörigkeit sind in jedem Domänencontroller in der Gesamtstruktur sichtbar.
- Universelle Gruppen sind auch sichtbar, wenn Sie den globalen Katalog verwenden. Alle Benutzerobjekte müssen, um sinnvoll genutzt werden zu können, direkt in derselben universellen Gruppe enthalten sein.
Richtlinien für universelle Gruppen- Ordnen Sie universellen Gruppen Berechtigungen für den Zugriff auf Windows-Ressourcen in einer Domäne im Netz zu.
- Verwenden Sie universelle Gruppen nur, wenn deren Zugehörigkeit statisch ist. Änderungen der Zugehörigkeit können zur Folge haben, dass zwischen Domänencontrollern ein sehr umfangreicher Datenaustausch über das Netz stattfindet. Die Zugehörigkeit zu universellen Gruppen kann in vielen Domänencontrollern repliziert werden.
- Fügen Sie globale Gruppen aus verschiedenen Domänen zu einer universellen Gruppe hinzu.
- Ordnen Sie der universellen Gruppe Berechtigungen für den Zugriff auf eine Windows-Ressource zu, um sicherzustellen, dass die Berechtigungen in mehreren Domänen in WebSphere Application Server für die Auflösung von Gruppenzugehörigkeiten genutzt werden können.
- Verwenden Sie eine universelle Gruppe auf dieselbe Weise wie die lokale Gruppe einer Domäne, um Ressourcenberechtigungen zuzuordnen.
