Grupos abrangendo domínios com o Microsoft Active Directory

Os níveis funcionais de domínios e florestas do Microsoft Active Directory controlam quais configurações estão disponíveis para uso. Como você configura o Microsoft Active Directory afeta como a adesão ao grupo é determinada dentro do WebSphere® Application Server. O uso de grupos para configurar sua instalação do Microsoft Active Directory com o produto permite uma gestão flexível.

Um detalhamento segue os níveis funcionais aplicáveis que se aplicam a uma instalação do Microsoft Active Directory com o produto.
  • Níveis Funcionais de Domínio
    • Nativo
      • Suportado pelo Windows Server 2008 e Windows Server 2008 R2
      • Padrão no Windows 2008
    Deve-se usar níveis funcionais de domínio nativo para suportar o aninhamento do grupo e os grupos universais. Os níveis funcionais de floresta não afetam diretamente a associação ao grupo. O sistema operacional Windows 2008 é a exceção.
  • Níveis Funcionais de Floresta
    • Windows Server 2008 ou Windows Server 2008 R2
      • Todos os domínios operam no nível funcional do domínio do Windows Server 2008 .

        Se o nível funcional da floresta for configurado com o Windows Server 2008, então isso também torna o nível funcional do domínio para todos os domínios a ser o nível Nativo do Windows Server 2008, o que se soma aos recursos do grupo nesting e Universal aos recursos do grupo Microsoft Active Directory.

Grupos Microsoft Active Directory

Em um domínio, o Microsoft Active Directory fornece suporte para diferentes tipos de grupos e escopos de grupo. Grupos no Microsoft Active Directory são contêineres com outros objetos dentro deles como membros. Esses objetos podem ser objetos de usuário, outros objetos do grupo, que são aninhamento de grupo e outros tipos de objetos, como computadores. O tipo de grupo determina o tipo de tarefa a ser gerenciada com o grupo. O escopo do grupo determina se o grupo pode ter membros de vários domínios ou de um único domínio. Em resumo:
  • Os grupos são tipicamente uma coleção de contas de usuários.
  • Os membros recebem permissão dada aos grupos.
  • Os usuários podem ser membros de diversos grupos.
  • Os grupos podem ser membros de outros grupos, que são grupos aninhados.
Evitar problemas: No WebSphere Application Server, as funções de segurança do indivíduo, que mapeia as permissões ou autorizações do aplicativo, devem ser ligadas a usuários ou grupos na hora de implementação do aplicativo. De um ponto de vista administrativo, é preferível designar permissões uma vez para um grupo em vez de designar permissões repetidamente para cada conta de usuário. Em seguida, a capacidade de atuar em uma determinada função está sob o controle do administrador de diretórios, em vez do administrador do WebSphere . Como o trabalho do administrador de diretórios é criar e excluir usuários, mudar associações de grupos para usuários e outras tarefas, essa abordagem geralmente é a divisão correta das responsabilidades.

Tipos de grupo determinam como o grupo é usado. Os tipos de grupo Microsoft Active Directory são:
  • Grupos de segurança: Microsoft Active Directory usa grupos de segurança para concessão de permissões para obter acesso a recursos.
  • Grupos de distribuição: Grupos de distribuição são usados por aplicativos baseados em Windows como listas para funções não relacionadas à segurança. Os grupos de distribuição são usados para envio de mensagens de e-mail para grupos de usuários. Não é possível conceder permissões do Windows aos grupos de distribuição.
Embora WebSphere Application Server possa usar qualquer tipo de grupo, os grupos de segurança são tipicamente ligados a funções de segurança do WebSphere Application Server .
Os escopos do grupo descrevem qual tipo de objetos podem ser organizados em conjunto dentro de um grupo. O aninhamento de grupo descreve quando um grupo é um membro de outros grupos. Os escopos do grupo Microsoft Active Directory são:
  • Grupo local de domínio:
    • Uso do Windows: Membros deste grupo podem vir de qualquer domínio, mas podem acessar recursos do Windows apenas no domínio local. Use este escopo para conceder permissões a recursos de domínio que estão localizados no mesmo domínio no qual você criou o grupo local de domínio. Os grupos locais de domínio podem existir em todo o nível funcional misto, nativo e provisório de domínios e florestas.
    • Restrição: Não é possível definir o aninhamento de grupo em um grupo local de domínio. Um grupo local de domínio não pode ser um membro de outro grupo local de domínio ou de qualquer outro grupo no mesmo domínio.
    • Uso doWebSphere : Os usuários não são tipicamente colocados em grupos de domínio-locais devido a essas restrições. WebSphere Application Server funções de segurança não são tipicamente ligadas a grupos locais de domínio.
  • Grupo Global:
    • Uso do Windows: Membros deste grupo originam-se de um domínio local, mas podem acessar recursos do Windows em qualquer domínio. O grupo global é usado para organizar usuários que compartilham requisitos semelhantes de acesso à rede Windows. É possível incluir membros apenas por meio do domínio em que o grupo global é criado. Você pode usar esse grupo para designar permissões para obter acesso a recursos do Windows que estão localizados em qualquer domínio no domínio, árvore ou floresta.

      Você pode agrupar usuários com função semelhante sob escopo global e dar permissão para acessar um recurso do Windows, como uma impressora ou pasta compartilhada e arquivos, que esteja disponível em local ou outro domínio na mesma floresta. Você pode usar grupos globais para conceder permissão para obter acesso a recursos do Windows que estão localizados em qualquer domínio em uma única floresta à medida que suas membras são limitadas. É possível incluir contas de usuários e grupos globais apenas a partir do domínio em que o grupo global é criado.

      O aninhamento é possível para grupos globais dentro de outros grupos já que é possível incluir um grupo global em outro grupo global a partir de qualquer domínio. Membros de um grupo global podem ser membros de um grupo de domínio - local. Os grupos globais existem em todos os níveis funcionais mistos, nativos e provisórios de domínios e florestas.

    WebSphere Application Server : Os grupos globais são visíveis em todo controlador de domínio, mas as memberships só são visíveis para os usuários locais. Ou seja, é possível ver suas associações de grupo apenas consultando seu controlador de domínio inicial. Um grupo global deve conter grupos de usuários. Os grupos globais destinam-se a ser incluídos em grupos universais.

  • Grupo universal:
    • Uso do Windows: Membros neste grupo podem vir de qualquer domínio e acessar recursos do Windows em vários domínios. As associações de grupos universais não são limitadas como grupos globais. Todas as contas de usuário de domínio e grupos podem ser membros de um grupo universal.
    • Restrições:
      • Os grupos universais estão disponíveis quando o domínio está em um nível funcional misto do Windows.
      • Pode ser caro replicar esses dados em toda a floresta. As definições e exclusões de grupo são relativamente raras em comparação com as ações de usuários equivalentes e as mudanças de associação de grupo aninhado são tipicamente raras em comparação com as associações de usuários dentro de grupos,
        Evitar problemas: Consultar informações apropriadas do Microsoft Active Directory relativas a quaisquer implicações de replicar dados através de florestas.
    • Uso doWebSphere :
      • Os Grupos universais e suas associações são visíveis em todo controlador de domínio da floresta.
      • Os grupos universais também são visíveis ao usar o Catálogo Global. Para ser útil, todos os objetos de usuário devem estar diretamente no grupo universal,
    Diretrizes do grupo universal
    1. Atribua permissões a grupos universais para recursos do Windows em qualquer domínio na rede.
    2. Use grupos universais apenas quando sua associação for estática. Mudanças na associação podem causar tráfego excessivo de rede entre os controladores de domínio. A associação a grupos universais pode ser replicada para muitos controladores de domínio.
    3. Inclua grupos globais de vários domínios em um grupo universal.
    4. Atribua permissões para acesso a um recurso do Windows ao grupo universal e para uso por resolução de membros do grupo WebSphere Application Server em vários domínios.
    5. Use um grupo universal da mesma forma que um grupo local de domínio para designar permissões de recursos.
Evitar problemas: Ao selecionar qualquer um desses cenários, consulte as informações apropriadas do Microsoft Active Directory para entender completamente quaisquer implicações que os cenários possam ter em seu planejamento de configuação.