Aid*_*des 7 active-directory group-policy access-control-list
我正在实施一个工具来保护 AD 林中的某些共享资源(主要是文件共享)。根据某些标准,生成来自不同域的用户列表,将这些用户添加到一个通用组(因为我需要将来自不同域的用户收集到一个组中),然后将该通用组添加到共享资源 ACL。
森林大约有 10 000 个用户,我认为我的通用组最终每个组最多有 2000 个用户。并且可能有多达数千个这样的组。
一切看起来都很好并且在测试环境中工作。
问题是有一篇关于组最佳实践的 MS 文章:http : //technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx
这里写的几乎相同:http : //ss64.com/nt/syntax-groups.html
在“跨域控制对共享资源的访问的最佳实践”部分中,它指出我应该创建域本地组并在其中嵌套全局/通用组。我知道其中有行政优势、更容易管理、可见性等
但我正在做所有自动化的事情,我的工具会自己观察正确的安全性。
我们的一些 IT 顾问试图说服我,不遵循最佳实践也可能导致性能不佳。
所以基本上问题是:如果我直接在共享资源上添加通用组而不是在域本地组中嵌套通用组,是否会对性能(这意味着登录、保护目录等所需的时间)产生影响?
提前致谢。
更新:
还有一个关于嵌套组的限制。( http://support.microsoft.com/kb/328889 ) 有 1015 个用户组的限制。因此,如果将通用组嵌套到域本地组中,我会得到大约 500 个限制,这似乎是一个痛苦的限制。
UPDATE2: 关于我的森林拓扑。我有 6 个域,分为 2 棵树。(树由一个根域和两个子域组成)
这是微软关于 Universal Groups 的声明。特别是粗体部分与您有关:
通用组可以在同一个 Windows 林中的任何地方使用。它们仅在本机模式企业中可用。对于某些管理员来说,通用组可能是一种更简单的方法,因为它们的使用没有内在的限制。用户可以直接分配到通用组,它们可以嵌套,它们可以直接与访问控制列表一起使用,以表示企业中任何域的访问权限。
通用组存储在全局目录(GC)中;这意味着对这些组所做的所有更改都会复制到整个企业中的所有全局目录服务器。因此,只有在仔细检查通用组的好处与增加的全局编录复制负载的成本相比之后,才能对通用组进行更改。如果组织只有一个连接良好的 LAN,则不会出现性能下降,而分散的站点可能会受到重大影响。通常,使用 WAN 的组织应该仅将通用组用于成员资格很少变化的相对静态的组。
在每个人都可以访问全局目录的连接良好的环境中,性能影响应该相当小。
如果无法访问全局编录,或者您的站点和子网配置错误,从而导致您发现自己与自己站点之外的全局编录服务器进行通信,则性能影响将增加登录时间和评估资源 ACL 的时间。此外,还会增加全局编录复制负载。
但是,我有义务再次通知您,您所做的与普遍接受的最佳实践背道而驰。
您所说的这部分内容:“......我的工具将自行监视正确的安全性。” 这也让我害怕。
所以我站在你的 IT 顾问一边,我认为他们正在努力说服你在 AD 设计方面遵循普遍接受的最佳实践。
但无论如何,你的问题都有答案。
| 归档时间: |
|
| 查看次数: |
7950 次 |
| 最近记录: |