我们公司正试图重新考虑我们管理员工访问我们域中项目文件的权限的方法。我们正在考虑为每个办公项目创建一个新的 AD 组,然后在员工处理项目时将用户添加到组中。(现在,用户帐户在加入或离开项目时会通过脚本从相关项目文件夹中单独添加或删除。)
令人担忧的是,我们每年有大约 300 个新项目,因此可能会有数千个这样的群体。此外,多年来,用户可能从事许多项目,因此每个用户都可能是数百个组的成员。
这些数字中的任何一个都值得关注吗?我们不想创建导致域控制器挣扎或突破 AD 限制的情况。
您并没有真正定义您的复制拓扑,它可以在这里发挥作用。假设您有一个站点,所有 DC 都在同一个 LAN 中,复制将不是您的问题。简单地拥有数千个组通常不是问题,除非您对复制有严格的限制(就像您在全国范围内用两个汤罐和一根绳子做的那样)。
您可能面临的问题是用户的访问令牌只能包含 1024 个 SID。一旦用户成为大约 1000 个组的成员,某些 SID 无法添加到令牌中,这将导致在尝试使用需要该令牌的资源时访问失败。
简而言之,如果您有一个用户是 1,000 个组的成员,您就会遇到问题。如果没有,你很好。
这篇 TechNet 文章很好地涵盖了这个问题,这个 Microsoft 文档对其进行了深入解释(警告:word 文档直接链接)。
| 归档时间: |
|
| 查看次数: |
3495 次 |
| 最近记录: |