Domaines s'étendant sur plusieurs groupes avec Microsoft Active Directory

Les niveaux fonctionnels des domaines et des forêts de Microsoft Active Directory contrôlent la disponibilité des configurations à utiliser. La manière dont vous configurez Microsoft Active Directory a une incidence sur la façon dont l'appartenance au groupe est déterminée au sein de WebSphere Application Server. L'utilisation de groupes pour configurer votre installation Microsoft Active Directory avec le produit permet une gestion souple.

Voici une analyse des niveaux fonctionnels qui s'appliquent à une installation Microsoft Active Directory avec le produit.
  • Niveaux fonctionnels des domaines
    • Natif
      • Pris en charge par Windows Server 2008 et Windows Server 2008 R2
      • Par défaut dans Windows 2008
    Vous devez utiliser les niveaux fonctionnels natifs pour la prise en charge de l'imbrication de groupes et des groupes universels. Les niveaux fonctionnels de forêt n'affectent pas directement l'appartenance au groupe. Le système d'exploitation Windows 2008 fait exception.
  • Niveaux fonctionnels des forêts
    • Windows Server 2008 ou Windows Server 2008 R2
      • Tous les domaines fonctionnent au niveau fonctionnel de domaine Windows Server 2008 .

        Si le niveau fonctionnel de forêt est défini sur Windows Server 2008, le niveau fonctionnel de tous les domaines est également Windows Server 2008, niveau natif, ce qui ajout les fonctions d'imbrication de groupes et de groupes universel à Microsoft Active Directory.

Groupes Microsoft Active Directory

Dans un domaine, Microsoft Active Directory assure la prise en charge de différent types de groupes et de niveaux de groupes. Les groupes de Microsoft Active Directory sont des conteneurs d'autres objets en tant que membres. Ces objets peuvent être des objets utilisateur, d'autres objets de groupe, ce qui correspond à l'imbrication de groupes, et d'autres types d'objets, tels que des ordinateurs. Le type de groupe détermine le type de tâche que vous gérez avec le groupe. Le niveau de groupe détermine si le groupe peut comporter des membres de plusieurs domaines ou d'un seul domaine. En résumé :
  • Les groupes sont généralement une collection de comptes utilisateur.
  • Les membres reçoivent les droits accordés aux groupes.
  • Les utilisateurs peuvent être membres de plusieurs groupes.
  • Les groupes peuvent être membres d'autres groupes, lesquels sont des groupes imbriqués.
Eviter les incidents Eviter les incidents: Dans WebSphere Application Server, les rôles de sécurité de l'individu, qui mappent aux droits ou aux autorisations d'application, doivent être liés aux utilisateurs ou aux groupes au moment du déploiement des applications. D'un point de vue administratif, il est préférable d'accorder des droits une fois pour un groupe au lieu d'accorder des droits de manière répétée pour chaque compte utilisateur. La possibilité d'agir dans un rôle donné est ainsi sous le contrôle de l'administrateur Directory et non de l'administrateur WebSphere. Etant donné que le travail de l'administrateur Directory consiste à créer et à supprimer des utilisateurs, à modifier des appartenances au groupe pour les utilisateurs, et à exécuter diverses autres tâches, cette approche est généralement celle qui convient le mieux en termes de responsabilités.gotcha

Les types de groupe déterminent le mode d'utilisation du groupe. Les types de groupe Microsoft Active Directory sont les suivants :
  • Groupes de sécurité : Microsoft Active Directory utilise des groupes de sécurité pour accorder des droits d'accès aux ressources.
  • Groupes de distribution : Les groupes de distribution sont utilisés par les applications Windows en tant que listes pour des fonctions qui ne sont pas liées à la sécurité. Ils sont utilisés pour l'envoi de messages électroniques à des groupes d'utilisateurs. Vous ne pouvez pas accorder des droits Windows à des groupes de distribution.
Même si WebSphere Application Server peut utiliser n'importe quel type de groupe, les groupes de sécurité sont généralement liés aux rôles de sécurité WebSphere Application Server.
Les niveaux de groupe décrivent le type d'objets qui peuvent être organisés au sein d'un groupe. Il y a imbrication de groupes lorsqu'un groupe est membre d'autres groupes. Les niveaux de groupeMicrosoft Active Directory sont les suivants :
  • Groupe local de domaine :
    • Utilisation Windows : les membres de ce groupe peuvent venir de n'importe quel domaine, mais ils ne peuvent accéder qu'aux ressources Windows du domaine local. Utilisez ce nouveau pour accorder des droits aux ressources de domaine qui sont situées dans le même domaine que celui où vous avez créé le groupe de domaine local. Les groupes locaux de domaine peuvent exister aux niveaux fonctionnels mixte, natif et provisoire des domaines et des forêts.
    • Restriction : Vous ne pouvez pas défini_r l'imbrication de groupes dans un groupe local de domaine. Un groupe local de domaine ne peut pas être membre d'un autre groupe local de domaine ou d'un autre groupe du même domaine.
    • Utilisation WebSphere : les utilisateurs ne sont généralement pas placés dans des groupes de domaine local en raison de ces restrictions. Les rôles de sécurité WebSphere Application Server ne sont généralement pas liés à des groupes locaux de domaine.
  • Groupe global :
    • Utilisation Windows : les membres de ce groupe proviennent d'un domaine local, mais ils peuvent accéder aux ressources Windows de n'importe quel domaine. Le groupe global est utilisé pour organiser les utilisateurs qui partagent des besoins similaires en termes d'accès au réseau Windows Vous pouvez ajouter des membres provenant uniquement du domaine dans lequel le groupe global est créé. Vous pouvez utiliser ce groupe pour attribuer des droits d'accès aux ressources Windows situées dans un domaine du domaine, de l'arborescence ou de la forêt.

      Vous pouvez regrouper les utilisateurs présentant des fonctions similaires sous un niveau global et leur accorder un droit d'accès à une ressource Windows, par exemple, une imprimante ou un dossier et des fichiers partages, qui est disponible en local ou dans un autre domaine de la même forêt. Vous pouvez utiliser des groupes globaux pour accorder des droits d'accès à des ressources Windows situées dans un domaine d'une forêt unique dans la mesure ou leurs appartenances aux groupes est limitée. Vous pouvez ajouter des comptes utilisateurs et des groupes globaux uniquement à partir du domaine dans lequel le groupe global est créé.

      L'imbrication est possible pour les groupes globaux au sein d'autres groupes car vous pouvez ajouter un groupe global dans un autre groupe global d'un domaine quelconque. Les membres d'un groupe global peuvent être membres d'un groupe local de domaine. Les groupes globaux existent à tous les niveaux fonctionnels mixte, natif et provisoire des domaines et des forêts.

    Utilisation WebSphere Application Server : les groupes globaux sont visibles sur chaque contrôleur de domaine, mais les appartenances au groupe ne sont visibles que pour les utilisateurs locaux. Cela signifie que vous ne pouvez voir votre appartenance au groupe que si vous interrogez votre contrôle de domaine d'accueil. Un groupe global doit contenir des groupes d'utilisateurs. Les groupes globaux sont destinés à être inclus dans des groupes universels.

  • Groupe universel :
    • Utilisation Windows : les membres de ce groupe peuvent prvenir de n'importe quel domaine et accéder aux ressources Windows de plusieurs domaines. Les appartenances au groupe universel ne sont pas limitées comme les groupes globaux. Tous les comptes et groupes d'utilisateurs peuvent être membres d'un groupe universel.
    • Restrictions :
      • Les groupes universels sont disponibles lorsque le domaine est à un niveau fonctionnel mixte Windows.
      • Il peut être coûteux de répliquer ces données au sein de la forêt. Les définitions et les suppressions de groupe sont relativement rares comparé aux actions utilisateur équivalentes, et les modifications d'appartenance à un groupe imbriqué sont généralement rares comparé aux appartenances d'utilisateurs au sein de groupes.
        Eviter les incidents Eviter les incidents: Consultez les informations Microsoft Active Directory appropriées concernant les implications d'une réplication de données au sein de forêts.gotcha
    • Utilisation WebSphere :
      • Les groupes universels et leurs appartenances à un groupe sont visibles sur chaque contrôleur de domaine de la forêt.
      • Les groupes universels sont également visibles lors de l'utilisation du catalogue global. Pour être utiles, les objets utilisateur doivent tous figurer directement dans le groupe universel.
    Règles relatives au groupe universel
    1. Accordez des droits aux groupes universels pour les ressources Windows de n'importe quel domaine du réseau.
    2. Utilisez les groupes universels uniquement lorsque l'appartenance au groupe est statique. Les modifications de l'appartenance au groupe peuvent entraîner un trafic excessif entre les contrôleurs de domaine. L'appartenance au groupe des groupes universels peut être répliquée sur de nombreux contrôleurs de domaine.
    3. Ajoutez les groupes globaux de plusieurs domaines à un groupe universel.
    4. Accordez au groupe universel des droits d'accès à une ressource Windows qui doit être utilisée par la résolution d'appartenance au groupe WebSphere Application Server au sein de plusieurs domaines.
    5. Utilisez un groupe universel de la même manière qu'un groupe local de domaine pour accorder des droits d'accès aux ressources.
Eviter les incidents Eviter les incidents: Lorsque vous choisissez l'un de ces scénarios, consultez les informations Microsoft Active Directory appropriées pour bien comprendre les implications de ces scénarios sur votre planning de configuration.gotcha

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_groups
Nom du fichier : csec_was_groups.html