Grupos abrangendo domínios com o Microsoft Active Directory
Os níveis funcionais de domínios e florestas do Microsoft Active Directory controlam quais configurações estão disponíveis para uso. Como você configura o Microsoft Active Directory afeta como a adesão ao grupo é determinada dentro do WebSphere® Application Server. O uso de grupos para configurar sua instalação do Microsoft Active Directory com o produto permite uma gestão flexível.
- Níveis Funcionais de Domínio
- Nativo
- Suportado pelo Windows Server 2008 e Windows Server 2008 R2
- Padrão no Windows 2008
- Nativo
- Níveis Funcionais de Floresta
- Windows Server 2008 ou Windows Server 2008 R2
- Todos os domínios operam no nível funcional do domínio do Windows Server 2008 .
Se o nível funcional da floresta for configurado com o Windows Server 2008, então isso também torna o nível funcional do domínio para todos os domínios a ser o nível Nativo do Windows Server 2008, o que se soma aos recursos do grupo nesting e Universal aos recursos do grupo Microsoft Active Directory.
- Todos os domínios operam no nível funcional do domínio do Windows Server 2008 .
- Windows Server 2008 ou Windows Server 2008 R2
Grupos Microsoft Active Directory
- Os grupos são tipicamente uma coleção de contas de usuários.
- Os membros recebem permissão dada aos grupos.
- Os usuários podem ser membros de diversos grupos.
- Os grupos podem ser membros de outros grupos, que são grupos aninhados.
- Grupos de segurança: Microsoft Active Directory usa grupos de segurança para concessão de permissões para obter acesso a recursos.
- Grupos de distribuição: Grupos de distribuição são usados por aplicativos baseados em Windows como listas para funções não relacionadas à segurança. Os grupos de distribuição são usados para envio de mensagens de e-mail para grupos de usuários. Não é possível conceder permissões do Windows aos grupos de distribuição.
- Grupo local de domínio:
- Uso do Windows: Membros deste grupo podem vir de qualquer domínio, mas podem acessar recursos do Windows apenas no domínio local. Use este escopo para conceder permissões a recursos de domínio que estão localizados no mesmo domínio no qual você criou o grupo local de domínio. Os grupos locais de domínio podem existir em todo o nível funcional misto, nativo e provisório de domínios e florestas.
- Restrição: Não é possível definir o aninhamento de grupo em um grupo local de domínio. Um grupo local de domínio não pode ser um membro de outro grupo local de domínio ou de qualquer outro grupo no mesmo domínio.
- Uso doWebSphere : Os usuários não são tipicamente colocados em grupos de domínio-locais devido a essas restrições. WebSphere Application Server funções de segurança não são tipicamente ligadas a grupos locais de domínio.
- Grupo Global:
- Uso do Windows: Membros deste grupo originam-se de um domínio local, mas podem acessar recursos do Windows em qualquer domínio. O grupo global é usado para organizar usuários que compartilham requisitos semelhantes de acesso à rede Windows. É possível incluir membros apenas por meio do domínio em que o grupo global é criado. Você pode usar esse grupo para designar permissões para obter acesso a recursos do Windows que estão localizados em qualquer domínio no domínio, árvore ou floresta.
Você pode agrupar usuários com função semelhante sob escopo global e dar permissão para acessar um recurso do Windows, como uma impressora ou pasta compartilhada e arquivos, que esteja disponível em local ou outro domínio na mesma floresta. Você pode usar grupos globais para conceder permissão para obter acesso a recursos do Windows que estão localizados em qualquer domínio em uma única floresta à medida que suas membras são limitadas. É possível incluir contas de usuários e grupos globais apenas a partir do domínio em que o grupo global é criado.
O aninhamento é possível para grupos globais dentro de outros grupos já que é possível incluir um grupo global em outro grupo global a partir de qualquer domínio. Membros de um grupo global podem ser membros de um grupo de domínio - local. Os grupos globais existem em todos os níveis funcionais mistos, nativos e provisórios de domínios e florestas.
WebSphere Application Server : Os grupos globais são visíveis em todo controlador de domínio, mas as memberships só são visíveis para os usuários locais. Ou seja, é possível ver suas associações de grupo apenas consultando seu controlador de domínio inicial. Um grupo global deve conter grupos de usuários. Os grupos globais destinam-se a ser incluídos em grupos universais.
- Uso do Windows: Membros deste grupo originam-se de um domínio local, mas podem acessar recursos do Windows em qualquer domínio. O grupo global é usado para organizar usuários que compartilham requisitos semelhantes de acesso à rede Windows. É possível incluir membros apenas por meio do domínio em que o grupo global é criado. Você pode usar esse grupo para designar permissões para obter acesso a recursos do Windows que estão localizados em qualquer domínio no domínio, árvore ou floresta.
- Grupo universal:
- Uso do Windows: Membros neste grupo podem vir de qualquer domínio e acessar recursos do Windows em vários domínios. As associações de grupos universais não são limitadas como grupos globais. Todas as contas de usuário de domínio e grupos podem ser membros de um grupo universal.
- Restrições:
- Os grupos universais estão disponíveis quando o domínio está em um nível funcional misto do Windows.
- Pode ser caro replicar esses dados em toda a floresta. As definições e exclusões de grupo são relativamente raras em comparação com as ações de usuários equivalentes e as mudanças de associação de grupo aninhado são tipicamente raras em comparação com as associações de usuários dentro de grupos,Evitar problemas: Consultar informações apropriadas do Microsoft Active Directory relativas a quaisquer implicações de replicar dados através de florestas.
- Uso doWebSphere :
- Os Grupos universais e suas associações são visíveis em todo controlador de domínio da floresta.
- Os grupos universais também são visíveis ao usar o Catálogo Global. Para ser útil, todos os objetos de usuário devem estar diretamente no grupo universal,
Diretrizes do grupo universal- Atribua permissões a grupos universais para recursos do Windows em qualquer domínio na rede.
- Use grupos universais apenas quando sua associação for estática. Mudanças na associação podem causar tráfego excessivo de rede entre os controladores de domínio. A associação a grupos universais pode ser replicada para muitos controladores de domínio.
- Inclua grupos globais de vários domínios em um grupo universal.
- Atribua permissões para acesso a um recurso do Windows ao grupo universal e para uso por resolução de membros do grupo WebSphere Application Server em vários domínios.
- Use um grupo universal da mesma forma que um grupo local de domínio para designar permissões de recursos.