使用 Microsoft Active Directory 跨越網域的群組

Microsoft Active Directory 的網域及樹系功能層次可控制哪些配置可供使用。 您配置 Microsoft Active Directory 的方式會影響在 WebSphere® Application Server內決定群組成員資格的方式。 使用群組來配置具有產品的 Microsoft Active Directory 安裝,可容許彈性管理。

以下是隨產品一起套用至 Microsoft Active Directory 安裝架構的適用功能層次明細。
  • 網域功能層次
    • 原生
      • 受 Windows Server 2008 及 Windows Server 2008 R2 支援
      • Windows 2008 中的預設值
    您必須使用原生網域功能層次來支援群組巢狀及通用群組。 樹系功能層次不會直接影響群組成員資格。 Windows 2008 作業系統是例外。
  • 樹系功能層次
    • Windows Server 2008 或 Windows Server 2008 R2
      • 所有網域都在 Windows Server 2008 網域功能層次下運作。

        如果樹系功能層次設為 Windows Server 2008 ,則也會將所有網域的網域功能層次設為 Windows Server 2008 原生層次,這會將群組巢狀及通用群組特性新增至 Microsoft Active Directory。

Microsoft Active Directory 群組

在網域中, Microsoft Active Directory 提供不同類型群組及群組範圍的支援。 Microsoft Active Directory 中的群組是具有其他物件作為成員的儲存器。 那些物件可以是使用者物件、其他群組物件 (即群組巢狀) ,以及其他物件類型 (例如電腦)。 群組類型決定您使用群組管理的作業類型。 群組範圍決定群組是否可以具有來自多個網域或單一網域的成員。 總結:
  • 群組通常是使用者帳戶的集合。
  • 成員會接收提供給群組的許可權。
  • 使用者可以是多個群組的成員。
  • 群組可以是其他群組 (即巢狀群組) 的成員。
避免麻煩: 在 WebSphere Application Server中,對映至應用程式許可權或授權的個人安全角色必須在應用程式部署時連結至使用者或群組。 從管理的觀點來看,最好為群組指派一次許可權,而不是反覆地為每一個使用者帳戶指派許可權。 然後,在給定角色中執行動作的能力由目錄管理者 (而非 WebSphere 管理者) 控制。 因為目錄管理者的工作是建立及刪除使用者、變更使用者的群組成員資格,以及其他作業,所以此方法通常是正確的責任劃分。

群組類型 決定如何使用群組。 Microsoft Active Directory 群組類型如下:
  • 安全群組: Microsoft Active Directory 使用安全群組來授與許可權,以取得資源的存取權。
  • 配送群組: Windows 型應用程式使用配送群組作為非安全相關功能的清單。 配送群組用於將電子郵件訊息傳送至使用者群組。 您無法將 Windows 許可權授與配送群組。
雖然 WebSphere Application Server 可以使用任一類型的群組,但安全群組通常會連結至 WebSphere Application Server 安全角色。
群組範圍 說明可在群組內一起排列的物件類型。 群組巢狀說明當一個群組是其他群組的成員時。 Microsoft Active Directory 群組範圍如下:
  • 網域本端群組:
    • Windows 用法: 此群組的成員可以來自任何網域,但只能存取本端網域中的 Windows 資源。 使用此範圍來授與許可權給位於您建立網域本端群組之相同網域中的網域資源。 網域區域群組可以存在於網域及樹系的所有混合、原生及臨時功能層次中。
    • 限制: 您無法在網域區域群組中定義群組巢狀結構。 網域本端群組不能是另一個網域本端群組或相同網域中任何其他群組的成員。
    • WebSphere 用法: 由於這些限制,使用者通常不會放在網域本端群組中。 WebSphere Application Server 安全角色通常不會連結至網域本端群組。
  • 廣域群組:
    • Windows 用法: 此群組的成員源自本端網域,但可以存取任何網域中的 Windows 資源。 廣域群組用來組織共用類似 Windows 網路存取需求的使用者。 您只能從建立廣域群組的網域中新增成員。 您可以使用此群組來指派許可權,以取得位於網域、樹狀結構或樹系中任何網域的 Windows 資源的存取權。

      您可以在廣域範圍下對具有類似功能的使用者進行分組,並提供存取相同樹系中本端或另一個網域所提供的 Windows 資源 (例如印表機或共用資料夾及檔案) 的許可權。 您可以使用廣域群組來授與許可權,以取得位於單一樹系中任何網域的 Windows 資源的存取權,因為其成員資格受到限制。 您只能從建立廣域群組的網域中新增使用者帳戶和廣域群組。

      其他群組內的廣域群組可以進行巢狀作業,因為您可以從任何網域將廣域群組新增至另一個廣域群組。 廣域群組的成員可以是網域區域群組的成員。 廣域群組存在於網域及森林的所有混合、原生及臨時功能層次中。

    WebSphere Application Server 用法: 每個網域控制站上都可以看見廣域群組,但只有本端使用者才能看見成員資格。 也就是說,只有在您查詢起始網域控制站時,才能看到您的群組成員資格。 廣域群組應該包含使用者群組。 全球群組打算納入全球群組中。

  • 通用群組:
    • Windows 用法: 此群組中的成員可以來自任何網域,並存取多個網域中的 Windows 資源。 通用群組成員資格並不像廣域群組一樣受到限制。 所有網域使用者帳戶和群組都可以是通用群組的成員。
    • 限制:
      • 當網域處於 Windows 混合功能層次時,可以使用通用群組。
      • 在整個樹系中抄寫這些資料可能很昂貴。 與對等使用者動作相比,群組定義和刪除相對較少,而巢狀群組成員資格變更通常很少與群組內使用者的成員資格相比,
        避免麻煩: 請參閱有關跨樹系抄寫資料之任何含意的適當 Microsoft Active Directory 資訊。
    • WebSphere 用法:
      • 在樹系中的每個網域控制站上都可以看到「通用群組」及其成員資格。
      • 使用「廣域型錄」時也可以看到通用群組。 若要有用,所有使用者物件都必須直接在通用群組中,
    通用群組準則
    1. 將許可權指派給網路中任何網域中 Windows 資源的通用群組。
    2. 只有在成員資格為靜態時,才使用通用群組。 成員資格變更可能導致網域控制站之間的網路資料流量過多。 通用群組的成員資格可以抄寫至許多網域控制站。
    3. 將數個網域中的廣域群組新增至通用群組。
    4. 將 Windows 資源的存取權指派給通用群組,並供跨多個網域的 WebSphere Application Server 群組成員資格解析使用。
    5. 以與網域本端群組相同的方式來使用通用群組,以指派資源許可權。
避免麻煩: 當您選取任何這些實務範例時,請參閱適當的 Microsoft Active Directory 資訊,以完全瞭解這些實務範例可能對配置規劃的任何含意。