Microsoft Active Directory の複数ドメインにわたるグループ

Microsoft Active Directory の ドメインおよびフォレストの機能レベルは、使用可能な構成を制御します。Microsoft Active Directory の構成方法は、 WebSphere® Application Server 内のグループ・メンバーシップ の決定方法に影響を与えます。製品によりインストールされた Microsoft Active Directory をグループを使用して構成することにより、柔軟な管理が行えます。

以下に、製品によりインストールされる Microsoft Active Directory に適用される適切な機能レベルの詳細を示します。
  • ドメインの機能レベル
    • ネイティブ
      • Windows Server 2008 および Windows Server 2008 R2 によってサポートされます。
      • デフォルトは Windows 2008 です。
    グループ・ネスティングおよびユニバーサル・グループをサポートするには、ネイティブ・ドメイン機能レベルを使用する必要があります。フォレストの機能レベルは、グループ・メンバーシップに直接影響しません。Windows 2008 オペレーティング・システムは例外です。
  • フォレストの機能レベル
    • Windows Server 2008 または Windows Server 2008 R2
      • すべてのドメインは、Windows Server 2008 ドメインの機能レベルで作動します

        フォレストの機能レベル を Windows Server 2008 に設定すると、すべてのドメインのドメイン機能レベルも Windows Server 2008 ネイティブ・レベルになります。 これにより、グループ・ネスティングおよびユニバーサル・グループ機能が Microsoft Active Directory に追加されます。

Microsoft Active Directory のグループ

Microsoft Active Directory は、ドメイン内で、さまざまなグループ・タイプおよびグループの範囲のサポートを提供します。Microsoft Active Directory におけるグループとは、 他のオブジェクトをメンバーとして含むコンテナーです。これらのオブジェクトとしては、 ユーザー・オブジェクト、その他のグループ・オブジェクト (この場合、グループ・ネスティングになります)、 およびその他のオブジェクト・タイプ (コンピューターなど) があります。 グループ・タイプは、グループに関する処理を行うタスクのタイプを決定します。 グループの範囲は、グループが複数のドメインのメンバーからなるか、または単一のドメインの メンバーからなるかを決定します。以下に、要約を示します。
  • グループは、通常、ユーザー・アカウントのコレクションです。
  • メンバーは、グループに付与された許可を受け入れます。
  • ユーザーは、複数のグループのメンバーになることができます。
  • グループは、他のグループのメンバーになることができます。この場合、ネストされたグループになります。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): WebSphere Application Server では、 アプリケーションのデプロイ時に、 個々のセキュリティー・ロール (アプリケーションの許可や認証にマップされます) をユーザーまたはグループ のいずれかにバインドする必要があります。管理の観点から、許可を各ユーザー・アカウントごとに 繰り返し割り当てるより、許可をグループに対して一度だけ割り当てる方が好ましいと言えます。 そのため、ある特定のロールで実行できる能力は、WebSphere 管理者ではなく、ディレクトリー管理者の管理下にあります。 ディレクトリー管理者のジョブは、ユーザーの作成および削除、ユーザーに対するグループ・メンバーシップ の変更、およびその他のタスクであるため、このアプローチは一般に責任の正しい配分方法であると言えます。gotcha

グループ・タイプは、グループの使用方法を決定します。Microsoft Active Directory のグループ・タイプは、以下のとおりです。
  • セキュリティー・グループ: Microsoft Active Directory は、リソースへのアクセス権を付与する際にセキュリティー・グループを使用します。
  • 配布グループ: 配布グループは、Windows ベースのアプリケーション によって、セキュリティーに関係しない機能のリストとして使用されます。配布グループは、 E メール・メッセージをユーザー・グループに送信する際に使用されます。Windows の許可を配布グループに付与することはできません。
WebSphere Application Server はいずれのグループ・タイプも使用できますが、通常はセキュリティー・グループが WebSphere Application Server セキュリティー・ロールにバインドされます。
グループの範囲は、 グループ内に一緒に配置できるオブジェクトのタイプを記述します。グループ・ネスティング は、あるグループがいつ他のグループのメンバーになるかを記述します。Microsoft Active Directory のグループの範囲は、以下のとおりです。
  • ドメイン・ローカル・グループ:
    • Windows での使用: 任意のドメインから このグループのメンバーになることができます。このグループのメンバーは、ローカル・ドメイン内の Windows リソースにしかアクセスできません。 この範囲を使用して、ユーザーが作成したドメイン・ローカル・グループと同じドメイン内にある ドメイン・リソースへのアクセス権を付与します。ドメイン・ローカル・グループは、 ドメインおよびフォレストの混在、ネイティブ、中間のすべての機能レベルに存在することができます。
    • 制約事項: ドメイン・ローカル・グループでグループ・ネスティングを定義することはできません。 ドメイン・ローカル・グループは、他のドメイン・ローカル・グループや同じドメイン内の他のグループの メンバーになることはできません。
    • WebSphere での使用: このような制約事項があるため、ユーザーは、通常、ドメイン・ローカル・グループに配置されません。WebSphere Application Server のセキュリティー・ロールは、通常、ドメイン・ローカル・グループにバインドされません。
  • グローバル・グループ:
    • Windows での使用: このグループのメンバーは、 ローカル・ドメインから派生しますが、任意のドメイン内の Windows リソースにアクセスできます。 グローバル・グループは、同様の Windows ネットワーク・アクセス要件を共有するユーザー を編成するために使用されます。グローバル・グループが作成されているドメインのメンバーのみを追加できます。 このグループを使用して、ドメイン、ツリー、またはフォレスト内の任意のドメイン内にある Windows リソースへのアクセス権を割り当てることができます。

      グローバル範囲下で同様の機能を持つユーザーをグループ化して、 同じフォレスト内のローカル・ドメインまたは別のドメインで使用可能な Windows リソース (プリンター、共有フォルダー、ファイルなど) へのアクセス権を付与することができます。 グローバル・グループを使用して、メンバーシップが制限されている、単一フォレスト内の任意のドメイン 内にある Windows リソースへのアクセス権を付与することができます。グローバル・グループが作成されているドメインのユーザー・アカウントおよび グローバル・グループのみを追加できます。

      グローバル・グループを任意のドメインにある別のグローバル・グループに 追加できるため、他のグループ内にグローバル・グループがある、ネスティングが可能になります。 グローバル・グループのメンバーは、ドメイン・ローカル・グループのメンバーになれます。グローバル・グループは、 ドメインおよびフォレストの混在、ネイティブ、中間のすべての機能レベルに存在します。

    WebSphere Application Server での使用: グローバル・グループは、すべてのドメイン・コントローラーで見えますが、 メンバーシップはローカル・ユーザーについてのみ見ることができます。 つまり、ホーム・ドメイン・コントローラーを照会する場合にのみ、 グループ・メンバーシップを見ることができます。グローバル・グループには、ユーザーのグループが含まれていなければなりません。グローバル・グループは、ユニバーサル・グループに組み込まれることを目的としています。

  • ユニバーサル・グループ:
    • Windows での使用: 任意のドメインから このグループのメンバーになることができます。このグループのメンバーは、複数のドメイン内の Windows リソースにアクセスできます。 ユニバーサル・グループ・メンバーシップは、グローバル・グループのように制限されません。 すべてのドメイン・ユーザー・アカウントおよびグループが、ユニバーサル・グループのメンバーになれます。
    • 制約事項:
      • ユニバーサル・グループは、ドメインが Windows 混在機能レベルである場合に使用可能です。
      • このデータをフォレスト全体にわたって複製すると、コストがかかる可能性があります。 グループの定義および削除は、同等のユーザー処置と比べて比較的頻度が少なく、 ネストされたグループ・メンバーシップの変更は、グループ内のユーザーのメンバーシップの変更と比べて 一般的に頻度が少ないと思われます。
        トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): フォレスト間のデータの複製の影響については、Microsoft Active Directory の該当する情報を参照してください。gotcha
    • WebSphere での使用:
      • ユニバーサル・グループおよびそのメンバーシップは、フォレスト内のすべての ドメイン・コントローラーで見ることができます。
      • また、ユニバーサル・グループは、グローバル・カタログの使用時にも見ることができます。 利便性を考えると、すべてのユーザー・オブジェクトをユニバーサル・グループ内に直接配置する必要があります。
    ユニバーサル・グループのガイドライン
    1. ユニバーサル・グループに、ネットワークのすべてのドメイン内の Windows リソースに対するアクセス権を割り当ててください。
    2. ユニバーサル・グループのメンバーシップが静的な場合にのみ、ユニバーサル・グループを使用してください。メンバーシップの変更により、ドメイン・コレクター間に過度のネットワーク・トラフィックが発生する おそれがあります。ユニバーサル・グループのメンバーシップが多数のドメイン・コントローラーに複製される可能性があるためです。
    3. さまざまなドメインのグローバル・グループをユニバーサル・グループに追加してください。
    4. 複数のドメイン間での WebSphere Application Server グループ・メンバーシップの解決に使用できるように、Windows リソースに対するアクセス権をユニバーサル・グループに割り当ててください。
    5. ユニバーサル・グループをドメイン・ローカル・グループと同じように使用して、 リソースに対する許可を割り当ててください。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): これらのいずれかのシナリオを選択する際には、 該当する Microsoft Active Directory 情報を調べて、 シナリオが構成計画に及ぼす可能性がある影響を十分に理解してください。gotcha

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_groups
ファイル名:csec_was_groups.html