Microsoft Active Directory를 사용하는 그룹 분산 도메인

Microsoft Active Directory의 도메인 및 포레스트 작동 레벨은 사용할 수 있는 구성을 제어합니다. Microsoft Active Directory 구성 방법은 그룹 멤버십이 WebSphere® Application Server 내에서 판별되는 방법에 영향을 줍니다. 그룹을 사용하여 제품이 포함된 Microsoft Active Directory 설치를 구성하면 융통성 있는 관리가 가능합니다.

제품이 포함된 Microsoft Active Directory 설치에는 적용 가능한 작동 범위가 다음과 같이 나누어 집니다.
  • 도메인 작동 레벨
    • 기본
      • Windows Server 2008 및 Windows Server 2008 R2에서 지원
      • Windows 2008에서의 기본값
    기본 도메인 작동 레벨을 사용하여 그룹 중첩 및 유니버셜 그룹을 지원해야 합니다. 포레스트 작동 레벨은 직접 그룹 멤버십에 영향을 주지 않습니다. Windows 2008 운영 체제는 예외입니다.
  • 포레스트 작동 레벨
    • Windows Server 2008 또는 Windows Server 2008 R2
      • 모든 도메인은 Windows Server 2008 도메인 작동 레벨에서 운영됩니다.

        포레스트 작동 레벨이 Windows Server 2008로 설정되면 모든 도메인의 도메인 작동 레벨도 Windows Server 2008 기본 레벨이 되어 그룹 중첩 및 유니버셜 그룹 기능을 Microsoft Active Directory에 추가합니다.

Microsoft Active Directory 그룹

도메인에서 Microsoft Active Directory는 다른 유형의 그룹 및 그룹 범위를 지원합니다. Microsoft Active Directory의 그룹은 컨테이너 내에서 다른 오브젝트를 멤버로 포함하는 컨테이너입니다. 해당 오브젝트는 사용자 오브젝트, 그룹 중첩인 다른 그룹 오브젝트, 컴퓨터와 같은 다른 오브젝트 유형일 수 있습니다. 그룹 유형은 그룹으로 관리하는 태스크 유형을 판별합니다. 그룹 범위는 그룹이 다중 도메인 또는 단일 도메인의 멤버를 포함할 수 있는지를 판별합니다. 요약하자면
  • 그룹은 일반적으로 사용자 계정의 콜렉션입니다.
  • 멤버는 그룹에 지정된 권한을 수신합니다.
  • 사용자는 다중 그룹의 멤버가 될 수 있습니다.
  • 그룹은 중첩 그룹인 다른 그룹의 멤버가 될 수 있습니다.
문제점 방지 문제점 방지: WebSphere Application Server에서 개인의 보안 역할은 애플리케이션 권한 또는 권한 부여에 맵핑되고 애플리케이션 배치 시에 사용자나 그룹에 바인드되어야 합니다. 관리 관점에서 보면 권한을 각 사용자 계정에 대해 반복적으로 지정하는 대신 그룹에 대해 한 번만 권한을 지정하는 것이 편리합니다. 그리고 지정된 역할에서 수행하는 기능은 WebSphere 관리자가 아니라 디렉토리 관리자가 제어합니다. 디렉토리 관리자의 작업은 사용자를 작성 및 삭제, 사용자의 그룹 멤버십 변경이며 이 접근 방식은 일반적으로 올바른 책임 분할입니다. gotcha

그룹 유형은 그룹이 사용되는 방법을 판별합니다. Microsoft Active Directory 그룹 유형은 다음과 같습니다.
  • 보안 그룹: Microsoft Active Directory는 자원에 대한 액세스를 확보하기 위해 권한 부여하는 보안 그룹을 사용합니다.
  • 분산 그룹: 분산 그룹은 Windows 기반의 애플리케이션에서 비보안 관련 기능에 대한 목록으로 사용됩니다. 분산 그룹은 사용자 그룹에 이메일 메시지를 전송하기 위해 사용됩니다. 분산 그룹에는 Windows 권한을 부여할 수 없습니다.
WebSphere Application Server가 두 그룹 유형을 사용할 수 있지만 보안 그룹이 일반적으로 WebSphere Application Server 보안 역할에 바인드됩니다.
그룹 범위는 그룹 내에서 같이 배열 가능한 오브젝트 유형을 설명합니다. 그룹 중첩은 한 그룹이 다른 그룹의 멤버가 되는 경우를 설명합니다. Microsoft Active Directory 그룹 범위는 다음과 같습니다.
  • 도메인 로컬 그룹:
    • Windows 사용법: 이 그룹의 멤버는 모든 도메인에서 올 수 있지만 로컬 도메인의 Windows 자원에만 액세스할 수 있습니다. 이 범위를 사용하여 권한을 도메인 로컬 그룹을 작성한 동일 도메인에 있는 도메인 자원에 권한을 부여하십시오. 도메인 로컬 그룹은 도메인 및 포레스트의 혼합, 기본, 중간 작동 레벨 모두에서 존재할 수 있습니다.
    • 제한사항: 도메인 로컬 그룹에는 그룹 중첩을 정의할 수 없습니다. 도메인 로컬 그룹은 다른 도메인 로컬 그룹 또는 동일한 도메인의 다른 그룹의 멤버가 될 수 없습니다.
    • WebSphere 사용법: 사용자는 이런 제한사항으로 인해 일반적으로 도메인 로컬 그룹에 배치됩니다. WebSphere Application Server 보안 역할은 일반적으로 도메인 로컬 그룹에 바인드됩니다.
  • 글로벌 그룹:
    • Windows 사용법: 이 그룹의 멤버는 로컬 도메인에서 시작되지만 모든 도메인의 Windows 자원에 액세스할 수 있습니다. 글로벌 그룹은 유사한 Windows 네트워크 액세스 요구사항을 공유하는 사용자를 구성하는 데 사용됩니다. 글로벌 그룹이 작성된 도메인에서만 멤버를 추가할 수 있습니다. 이 그룹을 사용하여 도메인, 트리 또는 포레스트에 있는 Windows 자원에 대한 액세스를 확보하기 위해 권한을 지정할 수 있습니다.

      글로벌 범위에서 유사한 기능의 사용자를 그룹화하고 로컬 또는 동일한 포레스트의 다른 도메인의 Windows 자원(예: 프린터 또는 공유 폴더 및 파일) 액세스를 위한 권한을 부여할 수 있습니다. 멤버십이 제한되기 때문에 글로벌 그룹을 사용하여 단일 포레스트의 모든 도메인에 있는 Windows 자원에 대한 액세스를 확보하기 위해 권한을 부여할 수 있습니다. 로벌 그룹이 작성된 도메인에서만 사용자 계정 및 글로벌 그룹을 추가할 수 있습니다.

      글로벌 그룹을 모든 도메인의 다른 글로벌 그룹에 추가할 수 있기 때문에 중첩은 다른 그룹 내의 글로벌 그룹에 대해서만 가능합니다. 글로벌 그룹의 멤버는 도메인 로컬 그룹의 멤버일 수 있습니다. 글로벌 그룹은 도메인 및 포레스트의 혼합, 기본, 중간 작동 레벨 모두에 존재 가능합니다.

    WebSphere Application Server 사용법: 글로벌 그룹은 모든 도메인 제어기에 표시되지만 멤버십은 로컬 사용자에게만 표시됩니다. 즉, 홈 도메인 제어기를 조회하는 경우에만 그룹 멤버십을 볼 수 있습니다. 글로벌 그룹은 사용자 그룹을 포함해야 합니다. 글로벌 그룹은 유니버셜 그룹에 포함되어야 합니다.

  • 유니버셜 그룹:
    • Windows 사용법: 이 그룹의 멤버는 모든 도메인에서 올 수 있으며 다중 도메인의 Windows 자원에 액세스할 수 있습니다. 유니버셜 그룹 멤버십은 글로벌 그룹처럼 제한되지 않습니다. 모든 도메인 사용자 계정 및 그룹은 유니버셜 그룹의 멤버가 될 수 있습니다.
    • 제한사항:
      • 유니버셜 그룹은 도메인이 Windows 혼합 작동 레벨인 경우에 사용 가능합니다.
      • 포레스트에서 이 데이터를 복제하려면 비용이 많이 듭니다. 그룹 정의 및 삭제는 동등한 사용자 조치에 비해 거의 적으며 중첩 그룹 멤버십 변경은 일반적으로 그룹 내의 사용자 멤버십에 비해 거의 없습니다.
        문제점 방지 문제점 방지: 포레스트에서 데이터 복제 내포에 대해서는 적절한 Microsoft Active Directory 정보를 참조하십시오. gotcha
    • WebSphere 사용법:
      • 유니버셜 그룹 및 해당 멤버십은 포레스트의 모든 도메인 제어기에서 표시됩니다.
      • 유니버셜 그룹은 글로벌 카탈로그를 사용하는 경우에만 표시됩니다. 유용하게 사용하려면 모든 사용자 오브젝트는 유니버셜 그룹에 직접 있어야 합니다.
    유니버셜 그룹 가이드라인
    1. 네트워크의 모든 도메인에서 Windows 자원에 대한 유니버셜 그룹에 권한을 지정하십시오.
    2. 해당 멤버십이 정적인 경우에만 유니버셜 그룹을 사용하십시오. 멤버십 변경은 도메인 제어기 사이에서 과도한 네트워크 트래픽을 초래할 수 있습니다. 유니버셜 그룹의 멤버십은 많은 도메인 제어기로 복제 가능합니다.
    3. 몇 개의 도메인의 글로벌 그룹을 유니버셜 그룹으로 추가하십시오.
    4. Windows 자원 액세스를 위한 권한을 유니버셜 그룹에 지정하고 다중 도메인에서 WebSphere Application Server 그룹 멤버십 해결에 사용되도록 권한을 지정하십시오.
    5. 도메인 로컬 그룹과 동일한 방식으로 유니버셜 그룹을 사용하여 자원 권한을 지정하십시오.
문제점 방지 문제점 방지: 이 시나리오 중 하나를 선택하는 경우 적절한 Microsoft Active Directory 정보를 참조하여 사용자의 구성 계획에 시나리오가 적용될 수 있는 모든 내포된 내용을 완벽하게 이해하십시오. gotcha

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_groups
파일 이름:csec_was_groups.html