一个 AD 组作为其成员的结果是什么,该组已经是成员(循环引用)
geo*_*ffc 9 active-directory groups
我一直在查看具有数千个组的 Active Directory,其中成对的组是彼此的成员。
GroupA 将 GroupB 作为成员。GroupB 将 GroupA 作为成员。
哎呀。我试图思考这种循环嵌套的群体可能产生的后果。
所以,我不会说它不好,但它可以。有几个原因,其中之一与脚本有关。循环嵌套本质上是一个“无限循环”,因为脚本使用了很多递归函数。这显然会导致脚本出错等。
然后是循环嵌套本质上反对的 AD 中的“简化”的想法。
technet 库上有一个 powershell 脚本可以帮助定位圆形嵌套组,您可以在此处找到它,它有助于定位圆形组: Find Circular Nested Groups
另外两个 PowerShell 脚本能够绘制嵌套组,因此有助于快速找到循环嵌套:
首先,请注意不要让用户属于太多组的成员 - 这可能会导致他们的令牌太大,最终会出现如下情况:
GPO、启动脚本等也将停止被处理。
这并没有直接回答您的问题,但是一堆嵌套组肯定会加剧这个问题。团体相互成为成员本身并没有什么可怕的。即,时空连续体不会撕裂...我唯一能想到的是,您可能会混淆一些广泛使用 LDAP 查询的应用程序...例如 Exchange 等。
| 归档时间: |
|
| 查看次数: |
10377 次 |
| 最近记录: |