使用 Microsoft Active Directory 跨域的组

Microsoft Active Directory 的域和森林功能级别可控制哪些配置可供使用。 如何配置 Microsoft Active Directory 会影响如何在 WebSphere® Application Server中确定组成员资格。 使用组通过产品配置 Microsoft Active Directory 安装允许灵活管理。

下面是适用于产品的 Microsoft Active Directory 安装的适用功能级别的细目。
  • 域功能级别
    • 本机
      • 受 Windows Server 2008 和 Windows Server 2008 R2 支持
      • Windows 2008 中的缺省值
    您必须使用本机域功能级别来支持组嵌套和通用组。 林功能级别不会直接影响组成员资格。 Windows 2008 操作系统例外。
  • 林功能级别
    • Windows Server 2008 或 Windows Server 2008 R2
      • 所有域都在 Windows Server 2008 域功能级别上运行。

        如果森林功能级别设置为 Windows Server 2008 ,那么这也会使所有域的域功能级别为 Windows Server 2008 本机级别,这会将组嵌套和通用组功能部件添加到 Microsoft Active Directory。

Microsoft Active Directory 组

在域中, Microsoft Active Directory 支持不同类型的组和组作用域。 Microsoft Active Directory 中的组是包含其他对象作为成员的容器。 这些对象可以是用户对象、其他组对象(组嵌套)以及其他对象类型(例如,计算机)。 组类型确定您使用该组管理的任务类型。 组范围确定该组是可以具有多个域中的成员,还是只能具有单个域中的成员。 总而言之:
  • 组通常是用户帐户的集合。
  • 成员接收授予组的许可权。
  • 用户可以是多个组的成员。
  • 组可以是其他组的成员(这些组就是嵌套组)。
避免麻烦: 在 WebSphere Application Server中,个人的安全角色 (映射到应用程序许可权或授权) 必须在应用程序部署时绑定到用户或组。 从管理角度而言,最好是一次就为整个组指定许可权,而不是反复为每个用户帐户指定许可权。 然后,在给定角色中执行操作的能力由目录管理员 (而不是 WebSphere 管理员) 控制。 因为目录管理员的职责是创建和删除用户、更改用户的组成员资格以及执行其他任务,所以此方法通常会正确划分职责。

组类型确定如何使用组。 Microsoft Active Directory 组类型为:
  • 安全组: Microsoft Active Directory 使用安全组来授予许可权以获取对资源的访问权。
  • 通讯组:基于 Windows 的应用程序将通讯组用作与安全性无关的功能的列表。 通讯组用于将电子邮件消息发送至用户组。 不能将 Windows 许可权授予分发组。
虽然 WebSphere Application Server 可以使用任一类型的组,但安全组通常与 WebSphere Application Server 安全角色绑定。
组范围用于描述可以将哪种类型的对象同时安排在一个组中。 组嵌套用于描述一个组何时是其他组的成员。 Microsoft Active Directory 组作用域为:
  • 域本地组:
    • Windows 用法: 此组的成员可以来自任何域,但只能访问本地域中的 Windows 资源。 使用此范围来授予对于下列域资源的许可权:您在其中创建域本地组的域中的域资源。 域本地组可以存在于域和林的所有混合功能级别、本机功能级别和中间功能级别。
    • 限制:您无法在域本地组中定义组嵌套。 域本地组无法作为另一个域本地组或者同一个域中的任何其他组的成员。
    • WebSphere 用法: 由于这些限制,用户通常不会放在域本地组中。 WebSphere Application Server 安全角色通常不会绑定到域本地组。
  • 全局组:
    • Windows 用法: 此组的成员源自本地域,但可以访问任何域中的 Windows 资源。 全局组用于组织共享类似 Windows 网络访问需求的用户。 您只能添加来自于创建了全局组的域的成员。 您可以使用此组来分配许可权,以获取对位于域,树或林中的任何域中的 Windows 资源的访问权。

      您可以在全局作用域下对具有类似功能的用户进行分组,并授予访问同一林中本地域或其他域中可用的 Windows 资源 (例如,打印机或共享文件夹和文件) 的许可权。 您可以使用全局组来授予许可权,以获取对位于单个林中任何域中的 Windows 资源的访问权,因为它们的成员资格受到限制。 您只能添加来自于创建了全局组的域的用户帐户和全局组。

      可以将全局组嵌套在其他组中,因为您可以将全局组添加至任何域中的另一个全局组。 全局组中的成员可以是域本地组的成员。 全局组存在于域和林的所有混合功能级别、本机功能级别和中间功能级别。

    WebSphere Application Server 用法: 全局组在每个域控制器上都可视,但成员资格仅对本地用户可见。 也就是说,仅当您查询主域控制器时才能看到组成员资格。 全局组应包含用户组。 全局组应包括在通用组中。

  • 通用组:
    • Windows 用法: 此组中的成员可以来自任何域并访问多个域中的 Windows 资源。 通用组成员资格不会像全局组一样受限制。 所有域用户帐户和组都可以是通用组的成员。
    • 限制:
      • 当域处于 Windows 混合功能级别时,通用组可用。
      • 跨林复制此数据的成本很高。 与等价的用户操作相比,定义和删除组相对较少;与组中的用户的成员资格相比,嵌套组成员资格更改通常较少。
        避免麻烦: 请查阅相应的 Microsoft Active Directory 信息,以了解在森林中复制数据的任何影响。
    • WebSphere 用法:
      • 通用组及其成员资格在林中的每个域控制器中都可视。
      • 使用 Global Catalog 时,通用组也可视。 所有用户对象必须直接位于通用组中才有用。
    通用组准则
    1. 将许可权分配给网络中任何域中的 Windows 资源的通用组。
    2. 仅当通用组的成员资格为静态时才使用通用组。 成员资格的更改可能会导致域控制器之间产生过多的网络流量。 可以将通用组的成员资格复制到许多域控制器。
    3. 将全局组从若干个域添加至通用组。
    4. 将访问 Windows 资源的许可权分配给通用组,并由跨多个域的 WebSphere Application Server 组成员资格解析使用。
    5. 按照使用域本地组的相同方式来使用通用组以指定资源许可权。
避免麻烦: 选择其中任何方案时,请查阅相应的 Microsoft Active Directory 信息,以完全了解这些方案可能对配置规划产生的任何影响。