跨越具有 Microsoft Active Directory 的域的组

Microsoft Active Directory 的域功能级别和林功能级别将控制哪些配置可供使用。您如何配置 Microsoft Active Directory 会影响在 WebSphere® Application Server 中如何确定组成员资格。使用组来配置具有该产品的 Microsoft Active Directory 安装版本将允许您灵活进行管理。

细分遵循适用于具有该产品的 Microsoft Active Directory 安装版本的适当功能级别。
  • 域功能级别
    • 本机
      • 受到 Windows Server 2008 和 Windows Server 2008 R2 支持
      • Windows 2008 中的缺省值
    您必须使用本机域功能级别来支持组嵌套和通用组。林功能级别不会直接影响组成员资格。Windows 2008 操作系统例外。
  • 林功能级别
    • Windows Server 2008 或 Windows Server 2008 R2
      • 所有域都在 Windows Server 2008 域功能级别运行。

        如果林功能级别设置为 Windows Server 2008,那么还会使所有域的域功能级别均为 Windows Server 2008“本机”级别,这会将“组嵌套”和“通用组”功能添加至 Microsoft Active Directory。

Microsoft Active Directory 组

在一个域中,Microsoft Active Directory 支持不同类型的组和组作用域。Microsoft Active Directory 中的组是容器,其中还包含其他对象作为成员。这些对象可以是用户对象、其他组对象(组嵌套)以及其他对象类型(例如,计算机)。组类型确定您使用该组管理的任务类型。组范围确定该组是可以具有多个域中的成员,还是只能具有单个域中的成员。总结:
  • 组通常是用户帐户的集合。
  • 成员接收授予组的许可权。
  • 用户可以是多个组的成员。
  • 组可以是其他组的成员(这些组就是嵌套组)。
避免故障 避免故障: 在 WebSphere Application Server 中,个人的安全角色(将映射至应用程序的许可权或权限)在部署应用程序时必须绑定至用户或组。从管理角度而言,最好是一次就为整个组指定许可权,而不是反复为每个用户帐户指定许可权。能否以所给定的角色执行操作受到目录管理员的控制,而不是受到 WebSphere 管理员的控制。因为目录管理员的职责是创建和删除用户、更改用户的组成员资格以及执行其他任务,所以此方法通常会正确划分职责。gotcha

组类型确定如何使用组。Microsoft Active Directory 组类型包括:
  • 安全组:Microsoft Active Directory 使用安全组来授予许可权以便能够访问资源。
  • 通讯组:基于 Windows 的应用程序将通讯组用作与安全性无关的功能的列表。通讯组用于将电子邮件消息发送至用户组。您无法为通讯组授予 Windows 许可权。
尽管 WebSphere Application Server 可以使用任一类型的组,但是通常将安全组绑定至 WebSphere Application Server 安全角色。
组范围用于描述可以将哪种类型的对象同时安排在一个组中。组嵌套用于描述一个组何时是其他组的成员。Microsoft Active Directory 组作用域包括:
  • 域本地组:
    • Windows 用法:此组中的成员可以来自任何域,但是只能访问本地域中的 Windows 资源。使用此范围来授予对于下列域资源的许可权:您在其中创建域本地组的域中的域资源。域本地组可以存在于域和林的所有混合功能级别、本机功能级别和中间功能级别。
    • 限制:您无法在域本地组中定义组嵌套。域本地组无法作为另一个域本地组或者同一个域中的任何其他组的成员。
    • WebSphere 用法:由于存在这些限制,因此通常未将用户放入域本地组中。WebSphere Application Server 安全角色通常未绑定至域本地组。
  • 全局组:
    • Windows 用法:此组的成员源自本地域,但是可以访问任何域中的 Windows 资源。全局组用来将共享相似的 Windows 网络访问需求的用户组织在一起。您只能添加来自于创建了全局组的域的成员。可以使用此组来指定许可权,以便能够访问位于域、树或林中的任何域中的 Windows 资源。

      可以将具有相似功能的用户分组在全局作用域下并为其授予许可权,以便能够访问同一林中的本地域或另一个域中可用的 Windows 资源(例如,打印机或者共享文件夹和文件)。可以使用全局组来授予许可权,以便能够访问位于单个林中的任何域中的 Windows 资源,因为它们的成员资格受限制。您只能添加来自于创建了全局组的域的用户帐户和全局组。

      可以将全局组嵌套在其他组中,因为您可以将全局组添加至任何域中的另一个全局组。全局组中的成员可以是域本地组的成员。全局组存在于域和林的所有混合功能级别、本机功能级别和中间功能级别。

    WebSphere Application Server 用法:全局组在每个域控制器中都可视,但是成员资格仅对于本地用户可视。也就是说,仅当您查询主域控制器时才能看到组成员资格。全局组应包含用户组。全局组应包括在通用组中。

  • 通用组:
    • Windows 用法:此组中的成员可以来自于任何域,并且可以访问多个域中的 Windows 资源。通用组成员资格不会像全局组一样受限制。所有域用户帐户和组都可以是通用组的成员。
    • 限制:
      • 当域处于 Windows 混合功能级别时,通用组可用。
      • 跨林复制此数据的成本很高。与等价的用户操作相比,定义和删除组相对较少;与组中的用户的成员资格相比,嵌套组成员资格更改通常较少。
        避免故障 避免故障: 请参阅与跨林复制数据的任何含义有关的相应 Microsoft Active Directory 信息。gotcha
    • WebSphere 用法:
      • 通用组及其成员资格在林中的每个域控制器中都可视。
      • 使用 Global Catalog 时,通用组也可视。所有用户对象必须直接位于通用组中才有用。
    通用组准则
    1. 对网络中的任何域中的 Windows 资源的通用组指定许可权。
    2. 仅当通用组的成员资格为静态时才使用通用组。成员资格的更改可能会导致域控制器之间产生过多的网络流量。可以将通用组的成员资格复制到许多域控制器。
    3. 将全局组从若干个域添加至通用组。
    4. 指定许可权以便能够访问通用组的 Windows 资源,以及可供多个域中的 WebSphere Application Server 组成员资格解析使用。
    5. 按照使用域本地组的相同方式来使用通用组以指定资源许可权。
避免故障 避免故障: 当您选择任何这些方案时,请参阅相应的 Microsoft Active Directory 信息,以彻底了解这些方案可能对于配置规划具有的任何含义。gotcha

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_groups
文件名:csec_was_groups.html