Grupos que abarcan dominios con Microsoft Active Directory
Los niveles funcionales de dominios y bosques de Microsoft Active Directory controlan qué configuraciones están disponibles para su uso. La forma en que configure Microsoft Active Directory afecta a cómo se determinará la pertenencia a grupos dentro de WebSphere Application Server. El uso de grupos para configurar la instalación de Microsoft Active Directory con el producto facilita una gestión flexible.
- Niveles funcionales de dominio
- Nativo
- Admitido por Windows Server 2008 y Windows Server 2008 R2
- Es el valor predeterminado en Windows 2008
- Nativo
- Niveles funcionales de bosque
- Windows Server 2008
o Windows Server 2008 R2
- Todos los dominios operan en el nivel funcional de dominio de
Windows Server 2008.
Si el nivel funcional de bosque se establece en Windows Server 2008, el nivel funcional de dominio de todos los dominios será el nivel nativo deWindows Server 2008, que añade las características de anidamiento de grupo y grupos universales a Microsoft Active Directory.
- Todos los dominios operan en el nivel funcional de dominio de
Windows Server 2008.
- Windows Server 2008
o Windows Server 2008 R2
Grupos de Microsoft Active Directory
- Los grupos suelen ser un conjunto de cuentas de usuario.
- Los miembros reciben el permiso otorgado a los grupos.
- Los usuarios pueden ser miembros de varios grupos.
- Los grupos pueden ser miembros de otros grupos, que son grupos anidados.

- Grupos de seguridad: Microsoft Active Directory utiliza grupos de seguridad para otorgar permisos para acceder a los recursos.
- Grupos de distribución: las aplicaciones basadas en Windows utilizan los grupos de distribución como listas para funciones que no están relacionadas con la seguridad. Los grupos de distribución se utilizan para enviar mensajes de correo electrónico a grupos de usuarios. No puede otorgar los permisos de Windows a los grupos de distribución.
- Grupo local de dominio:
- Uso de Windows: los miembros de este grupo pueden proceder de cualquier dominio, pero sólo pueden acceder a los recursos de Windows en el dominio local. Utilice este ámbito para conceder permisos a los recursos de dominio que se encuentran en el mismo dominio en el que ha creado el grupo local de dominio. Los grupos locales de dominio pueden existir en todos los niveles funcionales mixtos, nativos y temporales de dominios y bosques.
- Restricción: no puede definir anidamiento de grupo en un grupo local de dominio. Un grupo local de dominio no puede ser miembro de otro grupo local de dominio o de cualquier otro grupo del mismo dominio.
- Uso de WebSphere: los usuarios no suelen colocarse en grupos locales de dominio debido a estas restricciones. Los roles de seguridad de WebSphere Application Server no están normalmente enlazados a los grupos locales de dominio.
- Grupo global:
- Uso de Windows: los miembros de este grupo se originan a partir de un dominio local, pero puede
acceder a los recursos de Windows de cualquier dominio.
El grupo global
se utiliza para organizar los usuarios que comparten requisitos similares de acceso a
redes de Windows.
Puede añadir miembros sólo desde el dominio en el que se crea el grupo global. Puede
utilizar este grupo para asignar los permisos para obtener acceso a los recursos de
Windows que están ubicados en cualquier dominio
del dominio, árbol o bosque.
Puede agrupar usuarios con funciones similares bajo un ámbito global y otorgar permisos para acceder a recursos de Windows, como una impresora o carpetas y archivos compartidos, que están disponibles en un dominio local o en otro dominio del mismo bosque. Puede utilizar grupos globales para otorgar permisos para acceder a recursos de Windows ubicados en cualquier dominio de un único bosque ya que la pertenencia es restringida. Puede agregar cuentas de usuario y grupos globales sólo desde el dominio en el que se crea el grupo global.
Es posible el anidamiento para los grupos globales dentro de otros grupos ya que puede añadir un grupo global a otro grupo global desde cualquier dominio. Los miembros de un grupo global pueden ser miembros de un dominio - grupo local. Los grupos locales existen en todos los niveles funcionales mixtos, nativos y temporales de dominios y bosques.
Uso de WebSphere Application Server: los grupos globales están visibles en todos los controladores de dominio, pero la pertenencia sólo está visible para los usuarios locales. Es decir, puede ver las pertenencias al grupo sólo si consulta al controlador de dominio inicial. Un grupo global debe contener grupos de usuarios. Los grupos globales están pensados para que se incluyan en grupos universales.
- Uso de Windows: los miembros de este grupo se originan a partir de un dominio local, pero puede
acceder a los recursos de Windows de cualquier dominio.
El grupo global
se utiliza para organizar los usuarios que comparten requisitos similares de acceso a
redes de Windows.
Puede añadir miembros sólo desde el dominio en el que se crea el grupo global. Puede
utilizar este grupo para asignar los permisos para obtener acceso a los recursos de
Windows que están ubicados en cualquier dominio
del dominio, árbol o bosque.
- Grupo universal:
- Uso de Windows: los miembros de este grupo pueden proceder de cualquier dominio y acceder a los recursos de Windows de diversos dominios. La pertenencia a grupos universales no está limitada como en los grupos globales. Todos las cuentas de usuario y los grupos del dominio pueden ser miembros de un grupo universal.
- Restricciones:
- Los grupos universales están disponibles cuando el dominio está en un nivel funcional mixto de Windows.
- Puede resultar caro replicar estos datos a través del bosque.
Las definiciones y
supresiones de grupo son relativamente poco habituales en comparación con las acciones de
usuario equivalentes, y los cambios de pertenencia de grupos anidados suelen ser poco
frecuentes en comparación con las pertenencias de usuarios dentro de los grupos,
Avoid trouble: Consulte la información correspondiente de Microsoft Active Directory en relación con las implicaciones que se derivan de la replicación de datos a través de los bosques.gotcha
- Uso de WebSphere:
- Los grupos universales y sus miembros están visibles en todos los controladores de dominio del bosque.
- Los grupos universales también están visibles al utilizar el catálogo global. Para que sea de utilidad, todos los objetos de usuario debe estar directamente en el grupo universal.
Directrices del grupo universal- Asigne permisos a los grupos universales para los recursos de Windows en cualquier dominio de la red.
- Utilice grupos universales sólo cuando su pertenencia sea estática. Los cambios en la pertenencia pueden provocar tráfico de red excesivo entre los controladores de dominio. La pertenencia de grupos universales se puede replicar a varios controladores de dominio.
- Añada grupos globales de varios dominios a un grupo universal.
- Asigne permisos para acceder a un recurso de Windows para un grupo universal y para que lo use una resolución de pertenencia a grupo de WebSphere Application Server en varios dominios.
- Utilice un grupo universal de la misma manera que un grupo local de dominio para asignar permisos de recursos.
