Microsoft Active Directory のグローバル・カタログ
グローバル・カタログとは、グローバル・カタログ・サーバーのことです。グローバル・ カタログは、グローバル・カタログが常駐するドメインの属性の完全なセットと、Microsoft Active Directory のフォレスト内のすべてのオブジェクトの属性のサブセット を保持します。Microsoft Active Directory 内のグローバル・カタログの主な 2 つの機能は、ログオン機能と Microsoft Active Directory 照会です。
製品によってインストールされる Microsoft Active Directory のグローバル・カタログは、 フォレスト内の全てのドメインのユーザー情報のサブセットが含まれる単一の Lightweight Directory Access Protocol (LDAP) リポジトリーです。この情報としては、ユーザー ID、認証情報、および一部のグループ情報があります。
グローバル・カタログは、フォレスト内のいずれのドメイン・コントローラー でも (サブドメインでも) 使用できます。 グローバル・カタログは、WebSphere® Application Server の「単一レジストリー」という制限に対するソリューションです。グローバル・カタログに対する 制限があります。ローカル・ドメイン・コントローラーのユーザーには、 グループの「memberOf」情報が含まれています。グローバル・グループ情報は すべてのドメイン・コントローラーに複製されるとは限らないため、外部ドメイン・コントローラーのユーザー には限られた「memberOf」情報しか含まれていません。
ユニバーサル・グループ内でネストされたグローバル・グループ
- ユーザーは、複数のドメイン・コントローラーを含むフォレスト内で、ドメイン・コントローラー間に わたって分散しています。
- ユーザーは、独自のローカル・ドメイン・コントローラー内のグローバル・グループ内で定義されます。
- ユニバーサル・グループにはグローバル・グループが含まれ、複数のドメイン・コントローラーにまたがるユーザーのセットにマップする Java™ Platform Enterprise Edition (Java EE) ロールに反映されます。
以下の図は、ユニバーサル・グループ内でネストされたグローバル・グループを示しています。


最も簡単な手法である 別のメソッドでは、ユーザーを含むユニバーサル・グループがあり、 グローバル・カタログを使用します。これは、参照の使用を必要とします。このメソッドを以下の図に示します。


- WebSphere Application Server を構成するときに、その LDAP レジストリーとしてグローバル・カタログを使用するようにして参照を追跡すると、各ドメイン・コントローラーで個々のユーザーが可視になります。ユーザーはレジストリー内に一回しか存在してはならないため、 すべてのログインが失敗します。
- WebSphere Application Server を構成するときに、その LDAP レジストリーとしてグローバル・カタログを使用するようにするが参照を追跡しない場合は、個々のユーザーがグローバル・グループ内にあると、
グループ・メンバーシップは不完全になります。この制限を示す以下の図を参照してください。
図 3. グローバル・カタログ (参照を使用しない). 参照を使用しないグローバル・カタログの図。
- グローバル・カタログをその LDAP レジストリーとして使用するように WebSphere Application Server を構成して、 参照を追跡せず、ユーザーがユニバーサル・グローバル・グループ内に直接含まれる場合、 グループ・メンバーシップは完全になります。
