Ich implementiere ein Tool, das bestimmte gemeinsam genutzte Ressourcen innerhalb der AD-Gesamtstruktur (meistens Dateifreigaben) sichert. Anhand bestimmter Kriterien wird eine Liste von Benutzern aus verschiedenen Domänen generiert, diese Benutzer werden einer universellen Gruppe hinzugefügt (da ich Benutzer aus verschiedenen Domänen in einer einzigen Gruppe zusammenfassen muss) und dann wird diese universelle Gruppe einer ACL für gemeinsam genutzte Ressourcen hinzugefügt.
Der Gesamtwald hat ungefähr 10.000 Benutzer, ich denke, meine universellen Gruppen werden am Ende jeweils bis zu 2.000 Benutzer haben. Und diese Gruppen können mehrere Tausend umfassen.
Alles sieht gut aus und funktioniert in der Testumgebung.
Das Problem besteht darin, dass es einen MS-Artikel zu Best Practices für Gruppen gibt:http://technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx
Fast das gleiche steht hier: http://ss64.com/nt/syntax-groups.html
Im Abschnitt „Best Practices zur Steuerung des Zugriffs auf gemeinsam genutzte Ressourcen über Domänen hinweg“ heißt es, dass ich domänenlokale Gruppen erstellen und globale/universelle Gruppen darin verschachteln sollte. Ich verstehe, dass dies einen administrativen Vorteil bietet, wie einfachere Verwaltung, Sichtbarkeit usw.
Aber ich mache alles automatisiert und mein Tool achtet selbstständig auf die richtige Sicherheit.
Einige unserer IT-Berater versuchen mich davon zu überzeugen, dass die Nichtbeachtung dieser Best Practices auch zu Leistungseinbußen führen kann.
Die Frage ist also im Wesentlichen: Kann es zu Leistungseinbußen kommen (d. h. die zum Anmelden, zum Sichern eines Verzeichnisses usw. erforderliche Zeit), wenn ich universelle Gruppen direkt zur gemeinsam genutzten Ressource hinzufüge, anstatt sie in einer lokalen Domänengruppe zu verschachteln?
Dank im Voraus.
AKTUALISIEREN:
Es gibt auch eine Einschränkung bezüglich der Verschachtelung von Gruppen. (http://support.microsoft.com/kb/328889) Es gibt ein Limit von 1015 Benutzergruppen. Wenn ich also universelle Gruppen in domänenlokale Gruppen verschachtele, erhalte ich ein Limit von ~500, was eine schmerzhafte Einschränkung zu sein scheint.
UPDATE2: Bezüglich meiner Gesamtstrukturtopologie. Ich habe 6 Domänen, die in 2 Bäumen gruppiert sind. (Der Baum besteht aus einer Stammdomäne und zwei untergeordneten Domänen.)
Antwort1
Hier ist die Stellungnahme von Microsoft zu Universal Groups. Insbesondere der fettgedruckte Teil betrifft Sie:
Universelle Gruppen können überall in derselben Windows-Gesamtstruktur verwendet werden. Sie sind nur in Unternehmen im einheitlichen Modus verfügbar. Universelle Gruppen sind für manche Administratoren möglicherweise ein einfacherer Ansatz, da ihre Verwendung keinen inhärenten Einschränkungen unterliegt. Benutzer können universellen Gruppen direkt zugewiesen werden, sie können verschachtelt werden und sie können direkt mit Zugriffssteuerungslisten verwendet werden, um Zugriffsberechtigungen in jeder Domäne im Unternehmen anzugeben.
Universelle Gruppen werden im globalen Katalog (GC) gespeichert. Dies bedeutet, dass alle an diesen Gruppen vorgenommenen Änderungen eine Replikation auf allen globalen Katalogservern im gesamten Unternehmen bewirken.Änderungen an universellen Gruppen dürfen daher nur vorgenommen werden, nachdem die Vorteile universeller Gruppen im Vergleich zu den Kosten der erhöhten globalen Katalogreplikationslast sorgfältig geprüft wurden. Wenn eine Organisation nur über ein einziges, gut vernetztes LAN verfügt, sollte es zu keinen Leistungseinbußen kommen, während bei weit verteilten Standorten erhebliche Auswirkungen zu verzeichnen sein können. Normalerweise sollten Organisationen, die WANs verwenden, universelle Gruppen nur für relativ statische Gruppen verwenden, deren Mitgliedschaften sich selten ändern.
In einer gut vernetzten Umgebung, in der jeder Zugriff auf globale Kataloge hat, sollten die Auswirkungen auf die Leistung eher gering sein.
Die Auswirkungen auf die Leistung bestehen in einer längeren Anmeldezeit und einem längeren Zeitaufwand für die Auswertung von ACLs auf Ressourcen.WennEin globaler Katalog kann nicht erreicht werden oder Ihre Sites und Subnetze sind falsch konfiguriert, sodass Sie mit globalen Katalogservern außerhalb Ihrer eigenen Site kommunizieren. Außerdem erhöht sich die Replikationslast des globalen Katalogs.
Jedoch,Ich muss Sie noch einmal darauf hinweisen, dass Ihr Vorgehen gegen allgemein anerkannte bewährte Vorgehensweisen verstößt.
Dieser Teil Ihrer Aussage:„… und mein Tool achtet selbstständig auf die richtige Sicherheit.“ Das macht mir auch Angst.
Ich stehe also auf der Seite Ihrer IT-Berater und bin der Meinung, dass diese ihren Job machen, indem sie versuchen, Sie davon zu überzeugen, in Bezug auf das AD-Design allgemein anerkannte Best Practices zu befolgen.
Aber hier ist trotzdem die Antwort auf Ihre Frage.
Antwort2
Ein mögliches Leistungsszenario bestand darin, dass die Replikation der Gruppenmitgliedschaft vor Windows Server 2003 deutlich schlechter war und bei alten Gruppen mit Legacy-Mitgliedern, die vor Windows Server 2003 erstellt wurden, immer noch eine schlechte Leistung aufweisen kann.
Vor Windows Server 2003 wurde bei jeder Änderung einer globalen/universellen Gruppenmitgliedschaft dergesamteDas Gruppenmitgliedsattribut wurde repliziert. Dies hatte schwerwiegende Auswirkungen auf die Replikationsleistung in großen, verteilten Verzeichnissen, insbesondere bei universellen Gruppen mit vielen Mitgliedern. Daher war es in großen Verzeichnissen mit mehreren Domänen üblich, globale Sicherheitsgruppen in jeder Domäne einer universellen Gruppe hinzuzufügen. Dies hatte zur Folge, dass die Replikation der Mitgliedschaft auf die Domäne selbst beschränkt war.
Mit Windows Server 2003 wurde die Linked Value Replication (LVR) eingeführt. Dadurch wurden viele dieser Probleme für neu erstellte Gruppen und Gruppen behoben, deren Legacy-Mitglieder konvertiert wurden, da bei einer Änderung (Hinzufügen/Entfernen von Mitgliedern) nur die einzelnen „verknüpften Werte“ (Mitglieder) repliziert werden.
Ein weiteres potenzielles Problem war die Gesamtzahl der Mitglieder. Wenn Sie mehr Benutzer haben als Sie haben, beispielsweise 50.000, und 40.000 in einer Sicherheitsgruppe sein müssen, war es üblich, die Anzahl der Mitglieder pro Gruppe auf weniger als 5.000 zu begrenzen, da dies die maximale Anzahl von Elementen ist, die sicher in einer einzigen, atomaren Active Directory-Transaktion festgeschrieben werden können. Bei einer LVR-Gruppe erfordern Aktualisierungen einer Gruppe mit großen Mitgliedschaften jedoch nicht mehr das Senden der gesamten Mitgliedschaft, sodass dies normalerweise kein Problem mehr darstellt, solange Sie nicht selbst so viele Aktualisierungen (Hinzufügen/Entfernen) in einer einzigen Transaktion durchführen.
Dennoch ist es für große Gruppen in Mehrdomänen-Gesamtstrukturen immer noch eine gute Praxis, domänenspezifische Sicherheitsgruppen zu haben, die als Mitglieder einer einzigen universellen Sicherheitsgruppe hinzugefügt werden, die sich normalerweise in einer Ressourcendomäne befindet. Ob Sie diese universelle Gruppe verwenden, um eine ACL für eine Ressource zu erstellen, oder die universelle Gruppe einer lokalen Domänengruppe hinzufügen, bleibt Ihnen überlassen. In der Praxis habe ich bei der Verwendung universeller Gruppen nicht so viele Probleme festgestellt, weder in Bezug auf die Leistung noch auf andere Weise. Beachten Sie, dass der Zugriff auf einen globalen Katalog selten ein Problem darstellen sollte, da Microsoft seit langem empfiehlt, dass alle Domänencontroller globale Kataloge sein sollten. Es ist nicht ungewöhnlich, große Verzeichnisse zu finden, die vor der Einführung von lokalen Domänengruppen erstellt wurden und bei denen keine ihrer Gruppen oder ihre Strategie auf die Verwendung lokaler Domänengruppen umgestellt wurde.
Einige Gründe, warum Microsoft lokale Domänengruppen empfiehlt: Sie bieten die größte Flexibilität bei den Mitgliedertypen, die der Gruppe hinzugefügt werden können, und den Domänenadministratoren einen Grad an Ermessensspielraum. Sie bieten außerdem eine Möglichkeit, die Replikation von Gruppenmitgliedschaften zu minimieren:
Globale Katalogreplikation
http://technet.microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx
"Gruppen mit universellem Geltungsbereich und deren Mitglieder werden ausschließlich im globalen Katalog aufgeführt. Gruppen mit globalem oder domänenlokalem Geltungsbereich werden ebenfalls im globalen Katalog aufgeführt.aber ihre Mitglieder sind nicht. Dadurch wird die Größe des globalen Katalogs und der Replikationsverkehr, der mit der Aktualisierung des globalen Katalogs verbunden ist, reduziert. Sie können die Netzwerkleistung verbessern, indem Sie Gruppen mitglobaler oder domänenlokaler Geltungsbereichfür Verzeichnisobjekte, die sich häufig ändern."
Sie sollten außerdem niemals domänenlokale Gruppen für ACL-Objekte in Active Directory verwenden:
"Wenn ein Benutzer eine Verbindung zu einem globalen Katalog herstellt und versucht, auf ein Objekt zuzugreifen, wird eine Zugriffsprüfung basierend auf dem Token des Benutzers und der DACL des Objekts durchgeführt. Alle in der DACL des Objekts angegebenen Berechtigungen für domänenlokale Gruppen, die nicht aus der Domäne stammen, zu der der Domänencontroller gehört, der den globalen Katalog hostet (mit dem sich der Benutzer verbunden hat), sind wirkungslos, da im Zugriffstoken des Benutzers nur domänenlokale Gruppen aus der Domäne des globalen Katalogs dargestellt werden, deren Mitglied der Benutzer ist. Dies kann dazu führen, dass einem Benutzer der Zugriff verweigert wird, obwohl er hätte gewährt werden sollen, oder dass ihm der Zugriff gewährt wird, obwohl er hätte verweigert werden sollen.
„Als bewährte Methode sollten Sie die Verwendung domänenlokaler Gruppen vermeiden, wenn Sie Berechtigungen für Active Directory-Objekte zuweisen, oder sich der Auswirkungen bewusst sein, wenn Sie sie verwenden.“