AD ユニバーサル グループの直接割り当てはパフォーマンスに影響しますか?

以下はユニバーサル グループに関する Microsoft の声明です。特に太字の部分があなたに関係します。

ユニバーサル グループは、同じ Windows フォレスト内のどこでも使用できます。ネイティブ モードのエンタープライズでのみ使用できます。ユニバーサル グループは、使用に関する固有の制限がないため、一部の管理者にとってはより簡単なアプローチとなる場合があります。ユーザーをユニバーサル グループに直接割り当てたり、ネストしたり、アクセス制御リストで直接使用して、エンタープライズ内の任意のドメインのアクセス許可を示すことができます。

ユニバーサル グループはグローバル カタログ (GC) に保存されます。つまり、これらのグループに加えられたすべての変更は、企業全体のすべてのグローバル カタログ サーバーにレプリケーションされます。したがって、ユニバーサル グループを変更する場合は、グローバル カタログのレプリケーション負荷の増加によるコストと比較して、ユニバーサル グループの利点を慎重に検討する必要があります。組織が 1 つの LAN のみを使用していて、接続が適切である場合、パフォーマンスの低下は発生しませんが、広範囲に分散しているサイトでは、大きな影響が発生する可能性があります。通常、WAN を使用する組織では、メンバーシップがほとんど変更されない比較的静的なグループに対してのみ、ユニバーサル グループを使用する必要があります。

誰もがグローバル カタログにアクセスできる、接続が良好な環境では、パフォーマンスへの影響は最小限に抑えられるはずです。

パフォーマンスへの影響としては、ログインにかかる時間の増加と、リソースのACLを評価する時間の増加が挙げられます。もしグローバル カタログにアクセスできない場合、またはサイトとサブネットが誤って構成されていて、自分のサイト外のグローバル カタログ サーバーと通信している場合、グローバル カタログのレプリケーション負荷が増加します。

しかし、あなたが行っていることは、一般的に受け入れられているベストプラクティスに反していることを、もう一度お知らせしなければなりません。

あなたが言ったことのこの部分:「...そして私のツールは適切なセキュリティを自動的に監視します。」 それも怖いですね。

ですから、私は IT コンサルタントの立場からすると、彼らは AD 設計に関して一般的に受け入れられているベスト プラクティスに従うよう説得することで職務を果たしているのだと思います。

しかし、あなたの質問に対する答えは必ずあります。

昔を振り返ると、潜在的なパフォーマンス シナリオの 1 つは、グループ メンバーシップのレプリケーションが Windows Server 2003 より前でははるかに悪く、Windows Server 2003 より前に作成された従来のメンバーを含む古いグループではパフォーマンスが低下する可能性があるというものでした。

Windows Server 2003より前のバージョンでは、グローバル/ユニバーサルグループのメンバーシップが変更されるたびに、全体グループ メンバー属性がレプリケートされました。これは、大規模な分散ディレクトリ、特に多数のメンバーを持つユニバーサル グループでは、レプリケーションのパフォーマンスに重大な影響を及ぼしました。そのため、大規模なマルチドメイン ディレクトリでは、各ドメインのグローバル セキュリティ グループをユニバーサル グループに追加するのが一般的でした。これにより、メンバーシップのレプリケーションがドメイン自体に分割されるという効果がありました。

Windows Server 2003 では、リンクされた値のレプリケーション (LVR) が導入されました。これにより、変更 (メンバーの追加/削除) が発生したときに個々の「リンクされた値」(メンバー) のみがレプリケートされるため、新しく作成されたグループや、従来のメンバーが変換されたグループに関する多くの問題が修正されました。

もう 1 つの潜在的な問題は、メンバーの総数です。たとえば、50,000 人のユーザーがいて、そのうち 40,000 人がセキュリティ グループに所属する必要がある場合、1 つのアトミック Active Directory トランザクションで安全にコミットできるアイテムの最大数が 5,000 であるため、グループあたりのメンバー数を 5,000 未満に制限するのが一般的でした。ただし、LVR グループでは、大規模なメンバーシップを持つグループを更新しても、メンバーシップ全体を送信する必要がなくなるため、1 つのトランザクションでそれほど多くの更新 (追加/削除) を実行しない限り、通常は問題になりません。

そうは言っても、マルチドメイン フォレスト内の大規模なグループでは、ドメイン固有のセキュリティ グループを、通常はリソース ドメインに存在する単一のユニバーサル セキュリティ グループのメンバーとして追加するのが良い方法です。そのユニバーサル グループを使用してリソースの ACL を実行するか、ユニバーサル グループをドメイン ローカル グループに追加するかは、ユーザー次第です。実際には、ユニバーサル グループの使用でパフォーマンスなどの問題がそれほど多く発生していることはありません。Microsoft は以前からすべてのドメイン コントローラーをグローバル カタログにすることを推奨しているため、グローバル カタログへのアクセスが問題になることはほとんどありません。ドメイン ローカル グループが登場する前に作成された大規模なディレクトリで、グループや戦略がドメイン ローカル グループを使用するように変換されていないことは珍しくありません。

Microsoft がドメイン ローカル グループを推奨する理由の 1 つは、グループに追加できるメンバーの種類とドメイン管理者の裁量による制御レベルに関して最大​​の柔軟性を提供するためです。また、グループ メンバーシップのレプリケーションを最小限に抑える手段も提供します。

グローバルカタログレプリケーション
http://technet.microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx

「ユニバーサルスコープを持つグループとそのメンバーは、グローバルカタログにのみリストされます。グローバルまたはドメインローカルスコープを持つグループもグローバルカタログにリストされます。しかし、そのメンバーはこれにより、グローバルカタログのサイズと、グローバルカタログを最新の状態に保つためのレプリケーショントラフィックが削減されます。グローバルまたはドメインローカルスコープ頻繁に変更されるディレクトリ オブジェクトの場合。」

また、Active Directory 内の ACL オブジェクトにドメイン ローカル グループを使用しないでください。

「ユーザーがグローバル カタログに接続してオブジェクトにアクセスしようとすると、ユーザーのトークンとオブジェクトの DACL に基づいてアクセス チェックが実行されます。グローバル カタログをホストしているドメイン コントローラ (ユーザーが接続している) が属するドメイン以外のドメイン ローカル グループに対してオブジェクトの DACL で指定されたアクセス許可は無効になります。これは、ユーザーがメンバーであるグローバル カタログのドメインのドメイン ローカル グループのみがユーザーのアクセス トークンで表されているためです。その結果、ユーザーは、アクセスを許可すべきときにアクセスを拒否されたり、アクセスを拒否すべきときにアクセスを許可されたりすることがあります。

「ベスト プラクティスとして、Active Directory オブジェクトにアクセス許可を割り当てるときはドメイン ローカル グループの使用を避けるか、使用する場合はその影響に注意する必要があります。」