Domaines s'étendant sur plusieurs groupes avec Microsoft Active Directory
Les niveaux fonctionnels des domaines et des forêts de Microsoft Active Directory contrôlent la disponibilité des configurations à utiliser. La manière dont vous configurez Microsoft Active Directory a une incidence sur la façon dont l'appartenance au groupe est déterminée au sein de WebSphere Application Server. L'utilisation de groupes pour configurer votre installation Microsoft Active Directory avec le produit permet une gestion souple.
- Niveaux fonctionnels des domaines
- Natif
- Pris en charge par Windows Server 2008 et Windows Server 2008 R2
- Par défaut dans Windows 2008
- Natif
- Niveaux fonctionnels des forêts
- Windows Server 2008
ou Windows Server 2008 R2
- Tous les domaines fonctionnent au niveau fonctionnel de domaine Windows Server
2008 .
Si le niveau fonctionnel de forêt est défini sur Windows Server 2008, le niveau fonctionnel de tous les domaines est également Windows Server 2008, niveau natif, ce qui ajout les fonctions d'imbrication de groupes et de groupes universel à Microsoft Active Directory.
- Tous les domaines fonctionnent au niveau fonctionnel de domaine Windows Server
2008 .
- Windows Server 2008
ou Windows Server 2008 R2
Groupes Microsoft Active Directory
- Les groupes sont généralement une collection de comptes utilisateur.
- Les membres reçoivent les droits accordés aux groupes.
- Les utilisateurs peuvent être membres de plusieurs groupes.
- Les groupes peuvent être membres d'autres groupes, lesquels sont des groupes imbriqués.

- Groupes de sécurité : Microsoft Active Directory utilise des groupes de sécurité pour accorder des droits d'accès aux ressources.
- Groupes de distribution : Les groupes de distribution sont utilisés par les applications Windows en tant que listes pour des fonctions qui ne sont pas liées à la sécurité. Ils sont utilisés pour l'envoi de messages électroniques à des groupes d'utilisateurs. Vous ne pouvez pas accorder des droits Windows à des groupes de distribution.
- Groupe local de domaine :
- Utilisation Windows : les membres de ce groupe peuvent venir de n'importe quel domaine, mais ils ne peuvent accéder qu'aux ressources Windows du domaine local. Utilisez ce nouveau pour accorder des droits aux ressources de domaine qui sont situées dans le même domaine que celui où vous avez créé le groupe de domaine local. Les groupes locaux de domaine peuvent exister aux niveaux fonctionnels mixte, natif et provisoire des domaines et des forêts.
- Restriction : Vous ne pouvez pas défini_r l'imbrication de groupes dans un groupe local de domaine. Un groupe local de domaine ne peut pas être membre d'un autre groupe local de domaine ou d'un autre groupe du même domaine.
- Utilisation WebSphere : les utilisateurs ne sont généralement pas placés dans des groupes de domaine local en raison de ces restrictions. Les rôles de sécurité WebSphere Application Server ne sont généralement pas liés à des groupes locaux de domaine.
- Groupe global :
- Utilisation Windows : les membres de ce
groupe proviennent d'un domaine local, mais ils peuvent accéder aux ressources Windows de n'importe quel domaine.
Le groupe global est utilisé pour organiser les utilisateurs qui partagent des besoins similaires en termes d'accès au réseau Windows
Vous pouvez ajouter des membres provenant uniquement du domaine dans lequel le groupe global est créé. Vous pouvez utiliser ce groupe pour attribuer des droits
d'accès aux ressources Windows situées dans un domaine du domaine, de l'arborescence ou de la forêt.
Vous pouvez regrouper les utilisateurs présentant des fonctions similaires sous un niveau global et leur accorder un droit d'accès à une ressource Windows, par exemple, une imprimante ou un dossier et des fichiers partages, qui est disponible en local ou dans un autre domaine de la même forêt. Vous pouvez utiliser des groupes globaux pour accorder des droits d'accès à des ressources Windows situées dans un domaine d'une forêt unique dans la mesure ou leurs appartenances aux groupes est limitée. Vous pouvez ajouter des comptes utilisateurs et des groupes globaux uniquement à partir du domaine dans lequel le groupe global est créé.
L'imbrication est possible pour les groupes globaux au sein d'autres groupes car vous pouvez ajouter un groupe global dans un autre groupe global d'un domaine quelconque. Les membres d'un groupe global peuvent être membres d'un groupe local de domaine. Les groupes globaux existent à tous les niveaux fonctionnels mixte, natif et provisoire des domaines et des forêts.
Utilisation WebSphere Application Server : les groupes globaux sont visibles sur chaque contrôleur de domaine, mais les appartenances au groupe ne sont visibles que pour les utilisateurs locaux. Cela signifie que vous ne pouvez voir votre appartenance au groupe que si vous interrogez votre contrôle de domaine d'accueil. Un groupe global doit contenir des groupes d'utilisateurs. Les groupes globaux sont destinés à être inclus dans des groupes universels.
- Utilisation Windows : les membres de ce
groupe proviennent d'un domaine local, mais ils peuvent accéder aux ressources Windows de n'importe quel domaine.
Le groupe global est utilisé pour organiser les utilisateurs qui partagent des besoins similaires en termes d'accès au réseau Windows
Vous pouvez ajouter des membres provenant uniquement du domaine dans lequel le groupe global est créé. Vous pouvez utiliser ce groupe pour attribuer des droits
d'accès aux ressources Windows situées dans un domaine du domaine, de l'arborescence ou de la forêt.
- Groupe universel :
- Utilisation Windows : les membres de ce groupe peuvent prvenir de n'importe quel domaine et accéder aux ressources Windows de plusieurs domaines. Les appartenances au groupe universel ne sont pas limitées comme les groupes globaux. Tous les comptes et groupes d'utilisateurs peuvent être membres d'un groupe universel.
- Restrictions :
- Les groupes universels sont disponibles lorsque le domaine est à un niveau fonctionnel mixte Windows.
- Il peut être coûteux de répliquer ces données au sein de la forêt.
Les définitions et les suppressions de groupe sont relativement rares comparé aux
actions utilisateur équivalentes, et les modifications d'appartenance à un groupe imbriqué sont généralement rares comparé aux appartenances d'utilisateurs au sein de groupes.
Eviter les incidents: Consultez les informations Microsoft Active Directory appropriées concernant les implications d'une réplication de données au sein de forêts.gotcha
- Utilisation WebSphere :
- Les groupes universels et leurs appartenances à un groupe sont visibles sur chaque contrôleur de domaine de la forêt.
- Les groupes universels sont également visibles lors de l'utilisation du catalogue global. Pour être utiles, les objets utilisateur doivent tous figurer directement dans le groupe universel.
Règles relatives au groupe universel- Accordez des droits aux groupes universels pour les ressources Windows de n'importe quel domaine du réseau.
- Utilisez les groupes universels uniquement lorsque l'appartenance au groupe est statique. Les modifications de l'appartenance au groupe peuvent entraîner un trafic excessif entre les contrôleurs de domaine. L'appartenance au groupe des groupes universels peut être répliquée sur de nombreux contrôleurs de domaine.
- Ajoutez les groupes globaux de plusieurs domaines à un groupe universel.
- Accordez au groupe universel des droits d'accès à une ressource Windows qui doit être utilisée par la résolution d'appartenance au groupe WebSphere Application Server au sein de plusieurs domaines.
- Utilisez un groupe universel de la même manière qu'un groupe local de domaine pour accorder des droits d'accès aux ressources.
