Grupos que abarcan dominios con Microsoft Active Directory

Los niveles funcionales de dominios y bosques de Microsoft Active Directory controlan qué configuraciones están disponibles para su uso. La forma en que configure Microsoft Active Directory afecta a cómo se determinará la pertenencia a grupos dentro de WebSphere Application Server. El uso de grupos para configurar la instalación de Microsoft Active Directory con el producto facilita una gestión flexible.

A continuación se muestra un desglose de los niveles funcionales que se aplican a una instalación de Microsoft Active Directory con el producto.
  • Niveles funcionales de dominio
    • Nativo
      • Admitido por Windows Server 2008 y Windows Server 2008 R2
      • Es el valor predeterminado en Windows 2008
    Debe utilizar niveles funcionales para dominios nativos para dar soporte a anidamiento de grupos y grupos universales. Los niveles funcionales de bosque no afectan directamente a la pertenencia a grupos. El sistema operativo Windows 2008 es la excepción.
  • Niveles funcionales de bosque
    • Windows Server 2008 o Windows Server 2008 R2
      • Todos los dominios operan en el nivel funcional de dominio de Windows Server 2008.

        Si el nivel funcional de bosque se establece en Windows Server 2008, el nivel funcional de dominio de todos los dominios será el nivel nativo deWindows Server 2008, que añade las características de anidamiento de grupo y grupos universales a Microsoft Active Directory.

Grupos de Microsoft Active Directory

En un dominio, Microsoft Active Directory proporciona soporte para distintos tipos de grupos y ámbitos de grupo. Los grupos de Microsoft Active Directory son contenedores con otros objetos dentro de ellos como miembros. Estos objetos pueden ser objetos de usuario, otros objetos de grupo, como anidamiento de grupo, y otros tipos de objetos, como sistemas. El tipo de grupo determina el tipo de tarea que gestione con el grupo. El ámbito de grupo determina si el grupo puede tener miembros de varios dominios o de uno solo. En resumen:
  • Los grupos suelen ser un conjunto de cuentas de usuario.
  • Los miembros reciben el permiso otorgado a los grupos.
  • Los usuarios pueden ser miembros de varios grupos.
  • Los grupos pueden ser miembros de otros grupos, que son grupos anidados.
Avoid trouble Avoid trouble: En WebSphere Application Server, los roles de seguridad del individuo, que se correlacionan con los permisos o autorizaciones de la aplicación, debe enlazarse a los usuarios o grupos durante el despliegue de la aplicación. Desde un punto de vista administrativo, es preferible asignar permisos una vez para un grupo en lugar de asignar permisos de forma repetida para cada cuenta de usuario. Así, la capacidad de actuar con un rol específico está bajo el control del administrador del directorio en lugar del administrador de WebSphere. Como el trabajo del administrador del directorio es crear y suprimir usuarios, cambiar los miembros de grupo de usuarios y otras tareas, este enfoque consigue generalmente la división correcta de las responsabilidades.gotcha

Los tipos de grupos determinan cómo se utiliza el grupo. Los tipos de grupos de Microsoft Active Directory son:
  • Grupos de seguridad: Microsoft Active Directory utiliza grupos de seguridad para otorgar permisos para acceder a los recursos.
  • Grupos de distribución: las aplicaciones basadas en Windows utilizan los grupos de distribución como listas para funciones que no están relacionadas con la seguridad. Los grupos de distribución se utilizan para enviar mensajes de correo electrónico a grupos de usuarios. No puede otorgar los permisos de Windows a los grupos de distribución.
Aunque WebSphere Application Server puede utilizar cualquier tipo de grupo, los grupos de seguridad normalmente están enlazados a los roles de seguridad de WebSphere Application Server.
Ámbitos de grupo describe qué tipo de objetos se pueden organizan juntos dentro de un grupo. Anidamiento de grupo describe cuando un grupo es miembro de otros grupos. Los ámbitos de grupo de Microsoft Active Directory son:
  • Grupo local de dominio:
    • Uso de Windows: los miembros de este grupo pueden proceder de cualquier dominio, pero sólo pueden acceder a los recursos de Windows en el dominio local. Utilice este ámbito para conceder permisos a los recursos de dominio que se encuentran en el mismo dominio en el que ha creado el grupo local de dominio. Los grupos locales de dominio pueden existir en todos los niveles funcionales mixtos, nativos y temporales de dominios y bosques.
    • Restricción: no puede definir anidamiento de grupo en un grupo local de dominio. Un grupo local de dominio no puede ser miembro de otro grupo local de dominio o de cualquier otro grupo del mismo dominio.
    • Uso de WebSphere: los usuarios no suelen colocarse en grupos locales de dominio debido a estas restricciones. Los roles de seguridad de WebSphere Application Server no están normalmente enlazados a los grupos locales de dominio.
  • Grupo global:
    • Uso de Windows: los miembros de este grupo se originan a partir de un dominio local, pero puede acceder a los recursos de Windows de cualquier dominio. El grupo global se utiliza para organizar los usuarios que comparten requisitos similares de acceso a redes de Windows. Puede añadir miembros sólo desde el dominio en el que se crea el grupo global. Puede utilizar este grupo para asignar los permisos para obtener acceso a los recursos de Windows que están ubicados en cualquier dominio del dominio, árbol o bosque.

      Puede agrupar usuarios con funciones similares bajo un ámbito global y otorgar permisos para acceder a recursos de Windows, como una impresora o carpetas y archivos compartidos, que están disponibles en un dominio local o en otro dominio del mismo bosque. Puede utilizar grupos globales para otorgar permisos para acceder a recursos de Windows ubicados en cualquier dominio de un único bosque ya que la pertenencia es restringida. Puede agregar cuentas de usuario y grupos globales sólo desde el dominio en el que se crea el grupo global.

      Es posible el anidamiento para los grupos globales dentro de otros grupos ya que puede añadir un grupo global a otro grupo global desde cualquier dominio. Los miembros de un grupo global pueden ser miembros de un dominio - grupo local. Los grupos locales existen en todos los niveles funcionales mixtos, nativos y temporales de dominios y bosques.

    Uso de WebSphere Application Server: los grupos globales están visibles en todos los controladores de dominio, pero la pertenencia sólo está visible para los usuarios locales. Es decir, puede ver las pertenencias al grupo sólo si consulta al controlador de dominio inicial. Un grupo global debe contener grupos de usuarios. Los grupos globales están pensados para que se incluyan en grupos universales.

  • Grupo universal:
    • Uso de Windows: los miembros de este grupo pueden proceder de cualquier dominio y acceder a los recursos de Windows de diversos dominios. La pertenencia a grupos universales no está limitada como en los grupos globales. Todos las cuentas de usuario y los grupos del dominio pueden ser miembros de un grupo universal.
    • Restricciones:
      • Los grupos universales están disponibles cuando el dominio está en un nivel funcional mixto de Windows.
      • Puede resultar caro replicar estos datos a través del bosque. Las definiciones y supresiones de grupo son relativamente poco habituales en comparación con las acciones de usuario equivalentes, y los cambios de pertenencia de grupos anidados suelen ser poco frecuentes en comparación con las pertenencias de usuarios dentro de los grupos,
        Avoid trouble Avoid trouble: Consulte la información correspondiente de Microsoft Active Directory en relación con las implicaciones que se derivan de la replicación de datos a través de los bosques.gotcha
    • Uso de WebSphere:
      • Los grupos universales y sus miembros están visibles en todos los controladores de dominio del bosque.
      • Los grupos universales también están visibles al utilizar el catálogo global. Para que sea de utilidad, todos los objetos de usuario debe estar directamente en el grupo universal.
    Directrices del grupo universal
    1. Asigne permisos a los grupos universales para los recursos de Windows en cualquier dominio de la red.
    2. Utilice grupos universales sólo cuando su pertenencia sea estática. Los cambios en la pertenencia pueden provocar tráfico de red excesivo entre los controladores de dominio. La pertenencia de grupos universales se puede replicar a varios controladores de dominio.
    3. Añada grupos globales de varios dominios a un grupo universal.
    4. Asigne permisos para acceder a un recurso de Windows para un grupo universal y para que lo use una resolución de pertenencia a grupo de WebSphere Application Server en varios dominios.
    5. Utilice un grupo universal de la misma manera que un grupo local de dominio para asignar permisos de recursos.
Avoid trouble Avoid trouble: Antes de seleccionar uno de estos escenarios, consulte la información adecuada de Microsoft Active Directory para comprender las implicaciones de los escenarios en la planificación de la configuración.gotcha

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_groups
File name: csec_was_groups.html