Microsoft Active Directory の複数ドメインにわたるグループ

Microsoftのドメインとフォレストの機能レベルActive Directory使用可能な構成を制御します。 Microsoftの設定方法Active Directoryグループメンバーシップの決定方法に影響しますWebSphere® Application Server。 グループを使用してMicrosoftを構成するActive Directory製品と一緒にインストールすることで柔軟な管理が可能になります。

マイクロソフト製品に適用される機能レベルの内訳は以下のとおりです。Active Directory製品と一緒にインストールします。
  • ドメインの機能レベル
    • ネイティブ
      • Windows Server 2008およびWindows Server 2008でサポートされていますR2
      • Windows 2008 のデフォルト
    グループ・ネスティングおよびユニバーサル・グループをサポートするには、ネイティブ・ドメイン機能レベルを使用する必要があります。 フォレストの機能レベルは、グループ・メンバーシップに直接影響しません。 Windows 2008 オペレーティング システムは例外です。
  • フォレストの機能レベル
    • Windows Server 2008 または Windows Server 2008 R2
      • すべてのドメインはWindows Server 2008で動作しますドメイン機能レベル

        フォレストの機能レベルがWindows Server 2008に設定されている場合、すべてのドメインのドメイン機能レベルもWindows Server 2008ネイティブレベルになり、Microsoftのグループネストとユニバーサルグループ機能が追加されます。Active Directory。

Microsoft Active Directory のグループ

ドメインでは、MicrosoftActive Directoryさまざまな種類のグループとグループ スコープをサポートします。 Microsoft のグループActive Directory他のオブジェクトをメンバーとして含むコンテナーです。 これらのオブジェクトとしては、 ユーザー・オブジェクト、その他のグループ・オブジェクト (この場合、グループ・ネスティングになります)、 およびその他のオブジェクト・タイプ (コンピューターなど) があります。 グループ・タイプは、グループに関する処理を行うタスクのタイプを決定します。 グループの範囲は、グループが複数のドメインのメンバーからなるか、または単一のドメインの メンバーからなるかを決定します。 以下に、要約を示します。
  • グループは、通常、ユーザー・アカウントのコレクションです。
  • メンバーは、グループに付与された許可を受け入れます。
  • ユーザーは、複数のグループのメンバーになることができます。
  • グループは、他のグループのメンバーになることができます。この場合、ネストされたグループになります。
トラブルを避ける:でWebSphere Application Serverアプリケーションの権限または承認にマップされる個人のセキュリティ ロールは、アプリケーションの展開時にユーザーまたはグループのいずれかにバインドされる必要があります。 管理の観点から、許可を各ユーザー・アカウントごとに 繰り返し割り当てるより、許可をグループに対して一度だけ割り当てる方が好ましいと言えます。 すると、特定の役割で行動する能力は、ディレクトリ管理者の管理下に置かれ、WebSphere管理者。 ディレクトリー管理者のジョブは、ユーザーの作成および削除、ユーザーに対するグループ・メンバーシップ の変更、およびその他のタスクであるため、このアプローチは一般に責任の正しい配分方法であると言えます。

グループ・タイプは、グループの使用方法を決定します。 マイクロソフトActive Directoryグループの種類は次のとおりです。
  • セキュリティ グループ:マイクロソフトActive Directoryリソースにアクセスするための権限を付与するためにセキュリティ グループを使用します。
  • 配布グループ: 配布グループは、Windows ベースのアプリケーション によって、セキュリティーに関係しない機能のリストとして使用されます。 配布グループは、 E メール・メッセージをユーザー・グループに送信する際に使用されます。 配布グループに Windows 権限を付与することはできません。
それでもWebSphere Application Serverどちらのタイプのグループも使用できますが、セキュリティグループは通常、 WebSphere Application Serverセキュリティ ロール。
グループの範囲は、 グループ内に一緒に配置できるオブジェクトのタイプを記述します。 グループ・ネスティング は、あるグループがいつ他のグループのメンバーになるかを記述します。 マイクロソフトActive Directoryグループスコープは次のとおりです。
  • ドメイン・ローカル・グループ:
    • Windows での使用:このグループのメンバーはどのドメインからでも参加できますが、ローカル ドメイン内の Windows リソースにのみアクセスできます。 この範囲を使用して、ユーザーが作成したドメイン・ローカル・グループと同じドメイン内にある ドメイン・リソースへのアクセス権を付与します。 ドメイン・ローカル・グループは、 ドメインおよびフォレストの混在、ネイティブ、中間のすべての機能レベルに存在することができます。
    • 制約事項: ドメイン・ローカル・グループでグループ・ネスティングを定義することはできません。 ドメイン・ローカル・グループは、他のドメイン・ローカル・グループや同じドメイン内の他のグループの メンバーになることはできません。
    • WebSphere使用法:これらの制限により、通常、ユーザーはドメイン ローカル グループに配置されません。 WebSphere Application Serverセキュリティ ロールは通常、ドメイン ローカル グループにバインドされません。
  • グローバル・グループ:
    • Windows での使用:このグループのメンバーはローカル ドメインから派生していますが、どのドメインの Windows リソースにもアクセスできます。 グローバル グループは、同様の Windows ネットワーク アクセス要件を共有するユーザーを整理するために使用されます。 グローバル・グループが作成されているドメインのメンバーのみを追加できます。 このグループを使用して、ドメイン、ツリー、またはフォレスト内の任意のドメインにある Windows リソースにアクセスするためのアクセス許可を割り当てることができます。

      同様の機能を持つユーザーをグローバル スコープでグループ化し、ローカルまたは同じフォレスト内の別のドメインで使用可能なプリンターや共有フォルダー、ファイルなどの Windows リソースにアクセスする権限を付与できます。 グローバル グループを使用すると、メンバーシップが制限されているため、単一フォレスト内の任意のドメインに配置されている Windows リソースへのアクセス許可を付与できます。 グローバル・グループが作成されているドメインのユーザー・アカウントおよび グローバル・グループのみを追加できます。

      グローバル・グループを任意のドメインにある別のグローバル・グループに 追加できるため、他のグループ内にグローバル・グループがある、ネスティングが可能になります。 グローバル・グループのメンバーは、ドメイン・ローカル・グループのメンバーになれます。 グローバル・グループは、 ドメインおよびフォレストの混在、ネイティブ、中間のすべての機能レベルに存在します。

    WebSphere Application Server使用法:グローバル グループはすべてのドメイン コントローラーで表示されますが、メンバーシップはローカル ユーザーにのみ表示されます。 つまり、ホーム・ドメイン・コントローラーを照会する場合にのみ、 グループ・メンバーシップを見ることができます。 グローバル・グループには、ユーザーのグループが含まれていなければなりません。 グローバル・グループは、ユニバーサル・グループに組み込まれることを目的としています。

  • ユニバーサル・グループ:
    • Windows での使用:このグループのメンバーは任意のドメインから参加でき、複数のドメインの Windows リソースにアクセスできます。 ユニバーサル・グループ・メンバーシップは、グローバル・グループのように制限されません。 すべてのドメイン・ユーザー・アカウントおよびグループが、ユニバーサル・グループのメンバーになれます。
    • 制約事項:
      • ユニバーサル グループは、ドメインが Windows 混在機能レベルにある場合に使用できます。
      • このデータをフォレスト全体にわたって複製すると、コストがかかる可能性があります。 グループの定義および削除は、同等のユーザー処置と比べて比較的頻度が少なく、 ネストされたグループ・メンバーシップの変更は、グループ内のユーザーのメンバーシップの変更と比べて 一般的に頻度が少ないと思われます。
        トラブルを避ける:適切なマイクロソフトに相談するActive Directoryフォレスト間でデータを複製することの影響に関する情報。
    • WebSphere使用法:
      • ユニバーサル・グループおよびそのメンバーシップは、フォレスト内のすべての ドメイン・コントローラーで見ることができます。
      • また、ユニバーサル・グループは、グローバル・カタログの使用時にも見ることができます。 利便性を考えると、すべてのユーザー・オブジェクトをユニバーサル・グループ内に直接配置する必要があります。
    ユニバーサル・グループのガイドライン
    1. ネットワーク内の任意のドメインの Windows リソースに対する権限をユニバーサル グループに割り当てます。
    2. ユニバーサル・グループのメンバーシップが静的な場合にのみ、ユニバーサル・グループを使用してください。 メンバーシップの変更により、ドメイン・コレクター間に過度のネットワーク・トラフィックが発生する おそれがあります。 ユニバーサル・グループのメンバーシップが多数のドメイン・コントローラーに複製される可能性があるためです。
    3. さまざまなドメインのグローバル・グループをユニバーサル・グループに追加してください。
    4. Windowsリソースへのアクセス権限をユニバーサルグループに割り当て、 WebSphere Application Server複数のドメインにわたるグループ メンバーシップの解決。
    5. ユニバーサル・グループをドメイン・ローカル・グループと同じように使用して、 リソースに対する許可を割り当ててください。
トラブルを避ける:これらのシナリオのいずれかを選択する場合は、適切なMicrosoftActive Directoryシナリオが構成計画に及ぼす可能性のある影響を完全に理解するための情報。