Microsoft Active Directory の複数ドメインにわたるグループ
Microsoft Active Directory の ドメインおよびフォレストの機能レベルは、使用可能な構成を制御します。Microsoft Active Directory の構成方法は、 WebSphere® Application Server 内のグループ・メンバーシップ の決定方法に影響を与えます。製品によりインストールされた Microsoft Active Directory をグループを使用して構成することにより、柔軟な管理が行えます。
- ドメインの機能レベル
- ネイティブ
- Windows Server 2008 および Windows Server 2008 R2 によってサポートされます。
- デフォルトは Windows 2008 です。
- ネイティブ
- フォレストの機能レベル
- Windows Server 2008
または Windows Server 2008 R2
- すべてのドメインは、Windows Server
2008 ドメインの機能レベルで作動します。
フォレストの機能レベル を Windows Server 2008 に設定すると、すべてのドメインのドメイン機能レベルも Windows Server 2008 ネイティブ・レベルになります。 これにより、グループ・ネスティングおよびユニバーサル・グループ機能が Microsoft Active Directory に追加されます。
- すべてのドメインは、Windows Server
2008 ドメインの機能レベルで作動します。
- Windows Server 2008
または Windows Server 2008 R2
Microsoft Active Directory のグループ
- グループは、通常、ユーザー・アカウントのコレクションです。
- メンバーは、グループに付与された許可を受け入れます。
- ユーザーは、複数のグループのメンバーになることができます。
- グループは、他のグループのメンバーになることができます。この場合、ネストされたグループになります。

- セキュリティー・グループ: Microsoft Active Directory は、リソースへのアクセス権を付与する際にセキュリティー・グループを使用します。
- 配布グループ: 配布グループは、Windows ベースのアプリケーション によって、セキュリティーに関係しない機能のリストとして使用されます。配布グループは、 E メール・メッセージをユーザー・グループに送信する際に使用されます。Windows の許可を配布グループに付与することはできません。
- ドメイン・ローカル・グループ:
- Windows での使用: 任意のドメインから このグループのメンバーになることができます。このグループのメンバーは、ローカル・ドメイン内の Windows リソースにしかアクセスできません。 この範囲を使用して、ユーザーが作成したドメイン・ローカル・グループと同じドメイン内にある ドメイン・リソースへのアクセス権を付与します。ドメイン・ローカル・グループは、 ドメインおよびフォレストの混在、ネイティブ、中間のすべての機能レベルに存在することができます。
- 制約事項: ドメイン・ローカル・グループでグループ・ネスティングを定義することはできません。 ドメイン・ローカル・グループは、他のドメイン・ローカル・グループや同じドメイン内の他のグループの メンバーになることはできません。
- WebSphere での使用: このような制約事項があるため、ユーザーは、通常、ドメイン・ローカル・グループに配置されません。WebSphere Application Server のセキュリティー・ロールは、通常、ドメイン・ローカル・グループにバインドされません。
- グローバル・グループ:
- Windows での使用: このグループのメンバーは、
ローカル・ドメインから派生しますが、任意のドメイン内の Windows リソースにアクセスできます。
グローバル・グループは、同様の Windows ネットワーク・アクセス要件を共有するユーザー
を編成するために使用されます。グローバル・グループが作成されているドメインのメンバーのみを追加できます。
このグループを使用して、ドメイン、ツリー、またはフォレスト内の任意のドメイン内にある Windows リソースへのアクセス権を割り当てることができます。
グローバル範囲下で同様の機能を持つユーザーをグループ化して、 同じフォレスト内のローカル・ドメインまたは別のドメインで使用可能な Windows リソース (プリンター、共有フォルダー、ファイルなど) へのアクセス権を付与することができます。 グローバル・グループを使用して、メンバーシップが制限されている、単一フォレスト内の任意のドメイン 内にある Windows リソースへのアクセス権を付与することができます。グローバル・グループが作成されているドメインのユーザー・アカウントおよび グローバル・グループのみを追加できます。
グローバル・グループを任意のドメインにある別のグローバル・グループに 追加できるため、他のグループ内にグローバル・グループがある、ネスティングが可能になります。 グローバル・グループのメンバーは、ドメイン・ローカル・グループのメンバーになれます。グローバル・グループは、 ドメインおよびフォレストの混在、ネイティブ、中間のすべての機能レベルに存在します。
WebSphere Application Server での使用: グローバル・グループは、すべてのドメイン・コントローラーで見えますが、 メンバーシップはローカル・ユーザーについてのみ見ることができます。 つまり、ホーム・ドメイン・コントローラーを照会する場合にのみ、 グループ・メンバーシップを見ることができます。グローバル・グループには、ユーザーのグループが含まれていなければなりません。グローバル・グループは、ユニバーサル・グループに組み込まれることを目的としています。
- Windows での使用: このグループのメンバーは、
ローカル・ドメインから派生しますが、任意のドメイン内の Windows リソースにアクセスできます。
グローバル・グループは、同様の Windows ネットワーク・アクセス要件を共有するユーザー
を編成するために使用されます。グローバル・グループが作成されているドメインのメンバーのみを追加できます。
このグループを使用して、ドメイン、ツリー、またはフォレスト内の任意のドメイン内にある Windows リソースへのアクセス権を割り当てることができます。
- ユニバーサル・グループ:
- Windows での使用: 任意のドメインから このグループのメンバーになることができます。このグループのメンバーは、複数のドメイン内の Windows リソースにアクセスできます。 ユニバーサル・グループ・メンバーシップは、グローバル・グループのように制限されません。 すべてのドメイン・ユーザー・アカウントおよびグループが、ユニバーサル・グループのメンバーになれます。
- 制約事項:
- ユニバーサル・グループは、ドメインが Windows 混在機能レベルである場合に使用可能です。
- このデータをフォレスト全体にわたって複製すると、コストがかかる可能性があります。
グループの定義および削除は、同等のユーザー処置と比べて比較的頻度が少なく、
ネストされたグループ・メンバーシップの変更は、グループ内のユーザーのメンバーシップの変更と比べて
一般的に頻度が少ないと思われます。
トラブルの回避 (Avoid trouble): フォレスト間のデータの複製の影響については、Microsoft Active Directory の該当する情報を参照してください。gotcha
- WebSphere での使用:
- ユニバーサル・グループおよびそのメンバーシップは、フォレスト内のすべての ドメイン・コントローラーで見ることができます。
- また、ユニバーサル・グループは、グローバル・カタログの使用時にも見ることができます。 利便性を考えると、すべてのユーザー・オブジェクトをユニバーサル・グループ内に直接配置する必要があります。
ユニバーサル・グループのガイドライン- ユニバーサル・グループに、ネットワークのすべてのドメイン内の Windows リソースに対するアクセス権を割り当ててください。
- ユニバーサル・グループのメンバーシップが静的な場合にのみ、ユニバーサル・グループを使用してください。メンバーシップの変更により、ドメイン・コレクター間に過度のネットワーク・トラフィックが発生する おそれがあります。ユニバーサル・グループのメンバーシップが多数のドメイン・コントローラーに複製される可能性があるためです。
- さまざまなドメインのグローバル・グループをユニバーサル・グループに追加してください。
- 複数のドメイン間での WebSphere Application Server グループ・メンバーシップの解決に使用できるように、Windows リソースに対するアクセス権をユニバーサル・グループに割り当ててください。
- ユニバーサル・グループをドメイン・ローカル・グループと同じように使用して、 リソースに対する許可を割り当ててください。
