Microsoft Active Directory를 사용하는 그룹 분산 도메인
Microsoft Active Directory의 도메인 및 포레스트 작동 레벨은 사용할 수 있는 구성을 제어합니다. Microsoft Active Directory 구성 방법은 그룹 멤버십이 WebSphere® Application Server 내에서 판별되는 방법에 영향을 줍니다. 그룹을 사용하여 제품이 포함된 Microsoft Active Directory 설치를 구성하면 융통성 있는 관리가 가능합니다.
- 도메인 작동 레벨
- 기본
- Windows Server 2008 및 Windows Server 2008 R2에서 지원
- Windows 2008에서의 기본값
- 기본
- 포레스트 작동 레벨
- Windows Server 2008
또는 Windows Server 2008 R2
- 모든 도메인은 Windows Server
2008 도메인 작동 레벨에서 운영됩니다.
포레스트 작동 레벨이 Windows Server 2008로 설정되면 모든 도메인의 도메인 작동 레벨도 Windows Server 2008 기본 레벨이 되어 그룹 중첩 및 유니버셜 그룹 기능을 Microsoft Active Directory에 추가합니다.
- 모든 도메인은 Windows Server
2008 도메인 작동 레벨에서 운영됩니다.
- Windows Server 2008
또는 Windows Server 2008 R2
Microsoft Active Directory 그룹
- 그룹은 일반적으로 사용자 계정의 콜렉션입니다.
- 멤버는 그룹에 지정된 권한을 수신합니다.
- 사용자는 다중 그룹의 멤버가 될 수 있습니다.
- 그룹은 중첩 그룹인 다른 그룹의 멤버가 될 수 있습니다.

- 보안 그룹: Microsoft Active Directory는 자원에 대한 액세스를 확보하기 위해 권한 부여하는 보안 그룹을 사용합니다.
- 분산 그룹: 분산 그룹은 Windows 기반의 애플리케이션에서 비보안 관련 기능에 대한 목록으로 사용됩니다. 분산 그룹은 사용자 그룹에 이메일 메시지를 전송하기 위해 사용됩니다. 분산 그룹에는 Windows 권한을 부여할 수 없습니다.
- 도메인 로컬 그룹:
- Windows 사용법: 이 그룹의 멤버는 모든 도메인에서 올 수 있지만 로컬 도메인의 Windows 자원에만 액세스할 수 있습니다. 이 범위를 사용하여 권한을 도메인 로컬 그룹을 작성한 동일 도메인에 있는 도메인 자원에 권한을 부여하십시오. 도메인 로컬 그룹은 도메인 및 포레스트의 혼합, 기본, 중간 작동 레벨 모두에서 존재할 수 있습니다.
- 제한사항: 도메인 로컬 그룹에는 그룹 중첩을 정의할 수 없습니다. 도메인 로컬 그룹은 다른 도메인 로컬 그룹 또는 동일한 도메인의 다른 그룹의 멤버가 될 수 없습니다.
- WebSphere 사용법: 사용자는 이런 제한사항으로 인해 일반적으로 도메인 로컬 그룹에 배치됩니다. WebSphere Application Server 보안 역할은 일반적으로 도메인 로컬 그룹에 바인드됩니다.
- 글로벌 그룹:
- Windows 사용법: 이 그룹의 멤버는 로컬 도메인에서 시작되지만 모든
도메인의 Windows 자원에 액세스할 수 있습니다.
글로벌 그룹은 유사한 Windows 네트워크 액세스 요구사항을 공유하는 사용자를 구성하는 데 사용됩니다.
글로벌 그룹이 작성된 도메인에서만 멤버를 추가할 수 있습니다. 이 그룹을
사용하여 도메인, 트리 또는 포레스트에 있는 Windows 자원에 대한 액세스를
확보하기 위해 권한을 지정할 수 있습니다.
글로벌 범위에서 유사한 기능의 사용자를 그룹화하고 로컬 또는 동일한 포레스트의 다른 도메인의 Windows 자원(예: 프린터 또는 공유 폴더 및 파일) 액세스를 위한 권한을 부여할 수 있습니다. 멤버십이 제한되기 때문에 글로벌 그룹을 사용하여 단일 포레스트의 모든 도메인에 있는 Windows 자원에 대한 액세스를 확보하기 위해 권한을 부여할 수 있습니다. 로벌 그룹이 작성된 도메인에서만 사용자 계정 및 글로벌 그룹을 추가할 수 있습니다.
글로벌 그룹을 모든 도메인의 다른 글로벌 그룹에 추가할 수 있기 때문에 중첩은 다른 그룹 내의 글로벌 그룹에 대해서만 가능합니다. 글로벌 그룹의 멤버는 도메인 로컬 그룹의 멤버일 수 있습니다. 글로벌 그룹은 도메인 및 포레스트의 혼합, 기본, 중간 작동 레벨 모두에 존재 가능합니다.
WebSphere Application Server 사용법: 글로벌 그룹은 모든 도메인 제어기에 표시되지만 멤버십은 로컬 사용자에게만 표시됩니다. 즉, 홈 도메인 제어기를 조회하는 경우에만 그룹 멤버십을 볼 수 있습니다. 글로벌 그룹은 사용자 그룹을 포함해야 합니다. 글로벌 그룹은 유니버셜 그룹에 포함되어야 합니다.
- Windows 사용법: 이 그룹의 멤버는 로컬 도메인에서 시작되지만 모든
도메인의 Windows 자원에 액세스할 수 있습니다.
글로벌 그룹은 유사한 Windows 네트워크 액세스 요구사항을 공유하는 사용자를 구성하는 데 사용됩니다.
글로벌 그룹이 작성된 도메인에서만 멤버를 추가할 수 있습니다. 이 그룹을
사용하여 도메인, 트리 또는 포레스트에 있는 Windows 자원에 대한 액세스를
확보하기 위해 권한을 지정할 수 있습니다.
- 유니버셜 그룹:
- Windows 사용법: 이 그룹의 멤버는 모든 도메인에서 올 수 있으며 다중 도메인의 Windows 자원에 액세스할 수 있습니다. 유니버셜 그룹 멤버십은 글로벌 그룹처럼 제한되지 않습니다. 모든 도메인 사용자 계정 및 그룹은 유니버셜 그룹의 멤버가 될 수 있습니다.
- 제한사항:
- 유니버셜 그룹은 도메인이 Windows 혼합 작동 레벨인 경우에 사용 가능합니다.
- 포레스트에서 이 데이터를 복제하려면 비용이 많이 듭니다.
그룹 정의 및 삭제는 동등한 사용자 조치에 비해 거의 적으며
중첩 그룹 멤버십 변경은 일반적으로 그룹 내의 사용자 멤버십에 비해 거의 없습니다.
문제점 방지: 포레스트에서 데이터 복제 내포에 대해서는 적절한 Microsoft Active Directory 정보를 참조하십시오. gotcha
- WebSphere 사용법:
- 유니버셜 그룹 및 해당 멤버십은 포레스트의 모든 도메인 제어기에서 표시됩니다.
- 유니버셜 그룹은 글로벌 카탈로그를 사용하는 경우에만 표시됩니다. 유용하게 사용하려면 모든 사용자 오브젝트는 유니버셜 그룹에 직접 있어야 합니다.
유니버셜 그룹 가이드라인- 네트워크의 모든 도메인에서 Windows 자원에 대한 유니버셜 그룹에 권한을 지정하십시오.
- 해당 멤버십이 정적인 경우에만 유니버셜 그룹을 사용하십시오. 멤버십 변경은 도메인 제어기 사이에서 과도한 네트워크 트래픽을 초래할 수 있습니다. 유니버셜 그룹의 멤버십은 많은 도메인 제어기로 복제 가능합니다.
- 몇 개의 도메인의 글로벌 그룹을 유니버셜 그룹으로 추가하십시오.
- Windows 자원 액세스를 위한 권한을 유니버셜 그룹에 지정하고 다중 도메인에서 WebSphere Application Server 그룹 멤버십 해결에 사용되도록 권한을 지정하십시오.
- 도메인 로컬 그룹과 동일한 방식으로 유니버셜 그룹을 사용하여 자원 권한을 지정하십시오.
