使用 Microsoft 跨域组Active Directory

Microsoft 的域和林功能级别Active Directory控制哪些配置可供使用。 如何配置 MicrosoftActive Directory影响如何确定群体成员资格WebSphere® Application Server。 使用组配置你的 MicrosoftActive Directory与产品一起安装可以实现灵活的管理。

以下是适用于 Microsoft 的适用功能级别的细分Active Directory与产品一起安装。
  • 域功能级别
    • 本机
      • 受 Windows Server 2008 和 Windows Server 2008 支持R2
      • Windows 2008 中的默认设置
    您必须使用本机域功能级别来支持组嵌套和通用组。 林功能级别不会直接影响组成员资格。 Windows 2008 操作系统是个例外。
  • 林功能级别
    • Windows Server 2008 或 Windows Server 2008 R2
      • 所有域均在 Windows Server 2008 上运行域功能级别

        如果将林功能级别设置为 Windows Server 2008,那么也会使所有域的域功能级别成为 Windows Server 2008 Native 级别,这会增加 Microsoft 的组嵌套和通用组功能Active Directory。

微软Active Directory群组

在域中,MicrosoftActive Directory为不同类型的组和组范围提供支持。 Microsoft 中的群组Active Directory是其中包含其他对象作为成员的容器。 这些对象可以是用户对象、其他组对象(组嵌套)以及其他对象类型(例如,计算机)。 组类型确定您使用该组管理的任务类型。 组范围确定该组是可以具有多个域中的成员,还是只能具有单个域中的成员。 总而言之:
  • 组通常是用户帐户的集合。
  • 成员接收授予组的许可权。
  • 用户可以是多个组的成员。
  • 组可以是其他组的成员(这些组就是嵌套组)。
避免麻烦:在WebSphere Application Server,个人的安全角色(映射到应用程序权限或授权)必须在应用程序部署时绑定到用户或组。 从管理角度而言,最好是一次就为整个组指定许可权,而不是反复为每个用户帐户指定许可权。 然后,扮演给定角色的能力就由目录管理员控制,而不是WebSphere行政人员。 因为目录管理员的职责是创建和删除用户、更改用户的组成员资格以及执行其他任务,所以此方法通常会正确划分职责。

组类型确定如何使用组。 微软Active Directory群组类型有:
  • 安全组:微软Active Directory使用安全组授予访问资源的权限。
  • 通讯组:基于 Windows 的应用程序将通讯组用作与安全性无关的功能的列表。 通讯组用于将电子邮件消息发送至用户组。 您不能向通讯组授予 Windows 权限。
虽然WebSphere Application Server可以使用任一类型的组,安全组通常绑定到WebSphere Application Server安全角色。
组范围用于描述可以将哪种类型的对象同时安排在一个组中。 组嵌套用于描述一个组何时是其他组的成员。 微软Active Directory组范围是:
  • 域本地组:
    • Windows 使用情况:该组的成员可以来自任何域,但只能访问本地域中的 Windows 资源。 使用此范围来授予对于下列域资源的许可权:您在其中创建域本地组的域中的域资源。 域本地组可以存在于域和林的所有混合功能级别、本机功能级别和中间功能级别。
    • 限制:您无法在域本地组中定义组嵌套。 域本地组无法作为另一个域本地组或者同一个域中的任何其他组的成员。
    • WebSphere用法:由于这些限制,用户通常不会被放置在域 - 本地组中。 WebSphere Application Server安全角色通常不绑定到域本地组。
  • 全局组:
    • Windows 使用情况:该组的成员来自本地域,但可以访问任何域中的 Windows 资源。 全局组用于组织具有相似 Windows 网络访问需求的用户。 您只能添加来自于创建了全局组的域的成员。 您可以使用此组分配权限来访问位于域、树或林中任何域的 Windows 资源。

      您可以在全局范围内对具有类似功能的用户进行分组,并授予访问本地或同一林中其他域中可用的 Windows 资源(例如打印机或共享文件夹和文件)的权限。 您可以使用全局组授予访问位于单个林中任何域的 Windows 资源的权限,因为其成员资格受到限制。 您只能添加来自于创建了全局组的域的用户帐户和全局组。

      可以将全局组嵌套在其他组中,因为您可以将全局组添加至任何域中的另一个全局组。 全局组中的成员可以是域本地组的成员。 全局组存在于域和林的所有混合功能级别、本机功能级别和中间功能级别。

    WebSphere Application Server用法:全局组在每个域控制器上都可见,但成员资格仅对本地用户可见。 也就是说,仅当您查询主域控制器时才能看到组成员资格。 全局组应包含用户组。 全局组应包括在通用组中。

  • 通用组:
    • Windows 使用情况:该组的成员可以来自任何域,并访问多个域中的 Windows 资源。 通用组成员资格不会像全局组一样受限制。 所有域用户帐户和组都可以是通用组的成员。
    • 限制:
      • 当域处于 Windows 混合功能级别时,通用组可用。
      • 跨林复制此数据的成本很高。 与等价的用户操作相比,定义和删除组相对较少;与组中的用户的成员资格相比,嵌套组成员资格更改通常较少。
        避免麻烦:咨询相应的 MicrosoftActive Directory有关跨林复制数据的任何含义的信息。
    • WebSphere用法:
      • 通用组及其成员资格在林中的每个域控制器中都可视。
      • 使用 Global Catalog 时,通用组也可视。 所有用户对象必须直接位于通用组中才有用。
    通用组准则
    1. 为网络中任何域中的 Windows 资源的通用组分配权限。
    2. 仅当通用组的成员资格为静态时才使用通用组。 成员资格的更改可能会导致域控制器之间产生过多的网络流量。 可以将通用组的成员资格复制到许多域控制器。
    3. 将全局组从若干个域添加至通用组。
    4. 将访问 Windows 资源的权限分配给通用组并供WebSphere Application Server跨多个域的组成员身份解析。
    5. 按照使用域本地组的相同方式来使用通用组以指定资源许可权。
避免麻烦:当您选择其中任何一种方案时,请咨询相应的 MicrosoftActive Directory信息来完全理解这些场景可能对您的配置规划产生的任何影响。