Microsoft Active Directory の複数ドメインにわたるグループ

Microsoft Active Directory のドメインおよびフォレストの機能レベルによって、使用可能な構成が制御されます。 Microsoft Active Directory の構成方法は、 WebSphere® Application Server内でのグループ・メンバーシップの決定方法に影響します。 グループを使用して Microsoft Active Directory インストール済み環境を製品と共に構成することで、柔軟な管理が可能になります。

製品と共にインストールされる Microsoft Active Directory に適用される該当する機能レベルの詳細は、以下のとおりです。
  • ドメインの機能レベル
    • ネイティブ
      • Windows Server 2008 および Windows Server 2008 R2 でサポートされます。
      • Windows 2008 でのデフォルト
    グループ・ネスティングおよびユニバーサル・グループをサポートするには、ネイティブ・ドメイン機能レベルを使用する必要があります。 フォレストの機能レベルは、グループ・メンバーシップに直接影響しません。 Windows 2008 オペレーティング・システムは例外です。
  • フォレストの機能レベル
    • Windows Server 2008 または Windows Server 2008 R2
      • すべてのドメインは、Windows Server 2008 の ドメイン機能レベルで動作します。

        フォレスト機能レベルが Windows Server 2008 に設定されている場合、これにより、すべてのドメインのドメイン機能レベルも Windows Server 2008 ネイティブ・レベルになります。これにより、Microsoft Active Directoryにグループ・ネスト機能およびユニバーサル・グループ機能が追加されます。

Microsoft Active Directory のグループ

ドメインでは、Microsoft Active Directory は、さまざまなタイプのグループおよびグループ・スコープのサポートを提供します。 Microsoft Active Directory のグループは、他のオブジェクトがメンバーとして含まれているコンテナーです。 これらのオブジェクトとしては、 ユーザー・オブジェクト、その他のグループ・オブジェクト (この場合、グループ・ネスティングになります)、 およびその他のオブジェクト・タイプ (コンピューターなど) があります。 グループ・タイプは、グループに関する処理を行うタスクのタイプを決定します。 グループの範囲は、グループが複数のドメインのメンバーからなるか、または単一のドメインの メンバーからなるかを決定します。 以下に、要約を示します。
  • グループは、通常、ユーザー・アカウントのコレクションです。
  • メンバーは、グループに付与された許可を受け入れます。
  • ユーザーは、複数のグループのメンバーになることができます。
  • グループは、他のグループのメンバーになることができます。この場合、ネストされたグループになります。
問題の回避: WebSphere Application Serverでは、アプリケーションの許可または許可にマップする個人のセキュリティー・ロールを、アプリケーションのデプロイメント時にユーザーまたはグループにバインドする必要があります。 管理の観点から、許可を各ユーザー・アカウントごとに 繰り返し割り当てるより、許可をグループに対して一度だけ割り当てる方が好ましいと言えます。 この場合、特定の役割でアクションを実行する機能は、 WebSphere 管理者ではなく、ディレクトリー管理者の制御下にあります。 ディレクトリー管理者のジョブは、ユーザーの作成および削除、ユーザーに対するグループ・メンバーシップ の変更、およびその他のタスクであるため、このアプローチは一般に責任の正しい配分方法であると言えます。

グループ・タイプは、グループの使用方法を決定します。 Microsoft Active Directory グループ・タイプは以下のとおりです。
  • セキュリティー・グループ: Microsoft Active Directory は、リソースへのアクセス権限を付与するためにセキュリティー・グループを使用します。
  • 配布グループ: 配布グループは、Windows ベースのアプリケーション によって、セキュリティーに関係しない機能のリストとして使用されます。 配布グループは、 E メール・メッセージをユーザー・グループに送信する際に使用されます。 分配グループに Windows 許可を付与することはできません。
WebSphere Application Server はどちらのタイプのグループも使用できますが、通常、セキュリティー・グループは WebSphere Application Server セキュリティー・ロールにバインドされます。
グループの範囲は、 グループ内に一緒に配置できるオブジェクトのタイプを記述します。 グループ・ネスティング は、あるグループがいつ他のグループのメンバーになるかを記述します。 Microsoft Active Directory グループの有効範囲は以下のとおりです。
  • ドメイン・ローカル・グループ:
    • Windows での使用: このグループのメンバーは任意のドメインから取得できますが、Windows リソースにアクセスできるのはローカル・ドメイン内のみです。 この範囲を使用して、ユーザーが作成したドメイン・ローカル・グループと同じドメイン内にある ドメイン・リソースへのアクセス権を付与します。 ドメイン・ローカル・グループは、 ドメインおよびフォレストの混在、ネイティブ、中間のすべての機能レベルに存在することができます。
    • 制約事項: ドメイン・ローカル・グループでグループ・ネスティングを定義することはできません。 ドメイン・ローカル・グループは、他のドメイン・ローカル・グループや同じドメイン内の他のグループの メンバーになることはできません。
    • WebSphere の使用法: これらの制限により、ユーザーは通常、ドメイン・ローカル・グループに配置されません。 WebSphere Application Server のセキュリティー役割は、通常、ドメイン・ローカル・グループにバインドされません。
  • グローバル・グループ:
    • Windows での使用: このグループのメンバーはローカル・ドメインから発生しますが、どのドメインの Windows リソースにもアクセスできます。 グローバル・グループは、同様の Windows ネットワーク・アクセス要件を共有するユーザーを編成するために使用されます。 グローバル・グループが作成されているドメインのメンバーのみを追加できます。 このグループを使用して、ドメイン、ツリー、またはフォレスト内の任意のドメインにある Windows リソースへのアクセス権を割り当てることができます。

      グローバル・スコープの下で類似した機能を持つユーザーをグループ化し、同じフォレスト内のローカルまたは別のドメインで使用可能な Windows リソース (プリンターや共有フォルダー、ファイルなど) にアクセスする権限を付与することができます。 グローバル・グループを使用して、メンバーシップが制限されているため、単一フォレスト内の任意のドメインにある Windows リソースへのアクセス権を付与することができます。 グローバル・グループが作成されているドメインのユーザー・アカウントおよび グローバル・グループのみを追加できます。

      グローバル・グループを任意のドメインにある別のグローバル・グループに 追加できるため、他のグループ内にグローバル・グループがある、ネスティングが可能になります。 グローバル・グループのメンバーは、ドメイン・ローカル・グループのメンバーになれます。 グローバル・グループは、 ドメインおよびフォレストの混在、ネイティブ、中間のすべての機能レベルに存在します。

    WebSphere Application Server の使用法: グローバル・グループはすべてのドメイン・コントローラーで表示されますが、メンバーシップはローカル・ユーザーに対してのみ表示されます。 つまり、ホーム・ドメイン・コントローラーを照会する場合にのみ、 グループ・メンバーシップを見ることができます。 グローバル・グループには、ユーザーのグループが含まれていなければなりません。 グローバル・グループは、ユニバーサル・グループに組み込まれることを目的としています。

  • ユニバーサル・グループ:
    • Windows での使用: このグループのメンバーは、任意のドメインから取得でき、複数のドメイン内の Windows リソースにアクセスできます。 ユニバーサル・グループ・メンバーシップは、グローバル・グループのように制限されません。 すべてのドメイン・ユーザー・アカウントおよびグループが、ユニバーサル・グループのメンバーになれます。
    • 制約事項:
      • ユニバーサル・グループは、ドメインが Windows 混合機能レベルである場合に使用可能です。
      • このデータをフォレスト全体にわたって複製すると、コストがかかる可能性があります。 グループの定義および削除は、同等のユーザー処置と比べて比較的頻度が少なく、 ネストされたグループ・メンバーシップの変更は、グループ内のユーザーのメンバーシップの変更と比べて 一般的に頻度が少ないと思われます。
        問題の回避: フォレスト間でデータを複製することによる影響については、適切な Microsoft Active Directory 情報を参照してください。
    • WebSphere の使用法:
      • ユニバーサル・グループおよびそのメンバーシップは、フォレスト内のすべての ドメイン・コントローラーで見ることができます。
      • また、ユニバーサル・グループは、グローバル・カタログの使用時にも見ることができます。 利便性を考えると、すべてのユーザー・オブジェクトをユニバーサル・グループ内に直接配置する必要があります。
    ユニバーサル・グループのガイドライン
    1. ネットワーク内の任意のドメインの Windows リソースに対する許可をユニバーサル・グループに割り当てます。
    2. ユニバーサル・グループのメンバーシップが静的な場合にのみ、ユニバーサル・グループを使用してください。 メンバーシップの変更により、ドメイン・コレクター間に過度のネットワーク・トラフィックが発生する おそれがあります。 ユニバーサル・グループのメンバーシップが多数のドメイン・コントローラーに複製される可能性があるためです。
    3. さまざまなドメインのグローバル・グループをユニバーサル・グループに追加してください。
    4. Windows リソースへのアクセス権限をユニバーサル・グループに割り当て、複数のドメインにわたる WebSphere Application Server グループ・メンバーシップ解決で使用できるようにします。
    5. ユニバーサル・グループをドメイン・ローカル・グループと同じように使用して、 リソースに対する許可を割り当ててください。
問題の回避: これらのシナリオのいずれかを選択するときは、該当する Microsoft Active Directory 情報を参照して、シナリオが構成計画に及ぼす可能性のある影響を完全に理解してください。