Estoy implementando una herramienta que protege ciertos recursos compartidos dentro del bosque AD (principalmente archivos compartidos). Según algunos criterios, se genera una lista de usuarios de diferentes dominios, esos usuarios se agregan a un grupo universal (porque necesito reunir usuarios de diferentes dominios en un solo grupo) y luego ese grupo universal se agrega a una ACL de recursos compartidos.
El bosque tiene aproximadamente 10 000 usuarios, creo que mis grupos universales terminarán teniendo hasta 2000 usuarios en cada uno. Y podría haber hasta varios miles de esos grupos.
Todo se ve bien y funciona en el entorno de prueba.
El problema es que hay un artículo de MS sobre las mejores prácticas de grupos:http://technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx
Casi lo mismo está escrito aquí: http://ss64.com/nt/syntax-groups.html
En la sección "Mejores prácticas para controlar el acceso a recursos compartidos entre dominios", se lee que debo crear grupos locales de dominio y anidar grupos globales/universales en él. Entiendo que hay un beneficio administrativo en ello, mayor facilidad de gestión, visibilidad, etc.
Pero estoy haciendo todo de forma automatizada y mi herramienta buscará por sí sola la seguridad adecuada.
Algunos de nuestros consultores de TI intentan convencerme de que no seguir esas mejores prácticas también puede dar lugar a un rendimiento deficiente.
Básicamente, la pregunta es: ¿Puede haber un impacto en el rendimiento (significa el tiempo necesario para iniciar sesión, proteger un directorio, etc.) si agrego grupos universales directamente en el recurso compartido en lugar de anidar un grupo universal en un grupo local de dominio?
Gracias de antemano.
ACTUALIZAR:
También existe una restricción con respecto a los grupos de anidación. (http://support.microsoft.com/kb/328889) Hay un límite de 1015 grupos de usuarios. Entonces, en caso de anidar grupos universales en grupos locales de dominio, obtengo un límite de ~ 500, lo que parece una restricción dolorosa.
ACTUALIZACIÓN2: Respecto a mi topología forestal. Tengo 6 dominios, agrupados en 2 árboles. (El árbol consta de un dominio raíz y dos dominios secundarios)
Respuesta1
Aquí está la declaración de Microsoft sobre los Grupos Universales. Especialmente la parte en negrita te pertenece:
Los grupos universales se pueden utilizar en cualquier lugar del mismo bosque de Windows. Solo están disponibles en una empresa en modo nativo. Los grupos universales pueden ser un enfoque más sencillo para algunos administradores porque no existen limitaciones intrínsecas en su uso. Los usuarios se pueden asignar directamente a grupos universales, se pueden anidar y se pueden usar directamente con listas de control de acceso para indicar permisos de acceso en cualquier dominio de la empresa.
Los grupos universales se almacenan en el catálogo global (GC); esto significa que todos los cambios realizados en estos grupos generan replicación en todos los servidores de catálogo global de toda la empresa.Por lo tanto, los cambios en los grupos universales deben realizarse sólo después de un examen cuidadoso de los beneficios de los grupos universales en comparación con el costo del aumento de la carga de replicación del catálogo global. Si una organización tiene una única LAN bien conectada, no debería experimentarse ninguna degradación del rendimiento, mientras que los sitios muy dispersos podrían experimentar un impacto significativo. Normalmente, las organizaciones que utilizan WAN deberían utilizar grupos universales sólo para grupos relativamente estáticos en los que las membresías cambian raramente.
El impacto en el rendimiento debería ser mínimo en un entorno bien conectado donde todos tengan acceso a catálogos globales.
El impacto en el rendimiento será un mayor tiempo para iniciar sesión y un mayor tiempo para evaluar las ACL de los recursos.sino se puede acceder a un catálogo global, o si sus sitios y subredes están mal configurados de modo que se encuentre comunicándose con servidores de catálogo global fuera de su propio sitio. Además, habrá una mayor carga de replicación del catálogo global.
Sin embargo,Me veo obligado a informarle una vez más que lo que está haciendo va en contra de las mejores prácticas comúnmente aceptadas.
Esta parte de lo que dijiste:"... y mi herramienta buscará por sí sola la seguridad adecuada." Eso también me asusta.
Así que estoy del lado de sus consultores de TI y creo que están haciendo su trabajo al tratar de persuadirlos a seguir las mejores prácticas comúnmente aceptadas en términos de diseño de AD.
Pero ahí está la respuesta a tu pregunta.
Respuesta2
Hace mucho tiempo, un posible escenario de rendimiento era que la replicación de la membresía del grupo solía ser mucho peor antes de Windows Server 2003, y aún puede funcionar mal con grupos antiguos con miembros heredados creados antes de Windows Server 2003.
Antes de Windows Server 2003, cada vez que se cambiaba la membresía de un grupo Global/Universal, lacompletoEl atributo de miembro del grupo fue replicado. Esto tenía graves implicaciones en el rendimiento de la replicación en directorios grandes y distribuidos, particularmente con grupos universales con muchos miembros. Por lo tanto, en directorios grandes de múltiples dominios, era una práctica común agregar grupos de seguridad globales en cada dominio a un grupo universal. Esto tuvo el efecto de dividir la replicación de miembros dentro del propio dominio.
Windows Server 2003 introdujo la replicación de valores vinculados (LVR). Eso solucionó muchos de esos problemas para los grupos recién creados y los grupos cuyos miembros heredados se convirtieron, porque solo los "valores vinculados" individuales (miembros) se replican cuando ocurre un cambio (agregar/eliminar miembro).
Otro posible problema era el número total de miembros. Si tiene más usuarios de los que tiene, digamos 50 000, y 40 000 deben estar en un grupo de seguridad, era una práctica común limitar el número de miembros por grupo a menos de 5000, debido a que ese es el número máximo de elementos que pueden confirmarse de forma segura en una única transacción atómica de Active Directory. Sin embargo, con un grupo LVR, las actualizaciones de un grupo con grandes membresías ya no requieren enviar toda la membresía, por lo que normalmente ya no es un problema, siempre y cuando usted mismo no realice tantas actualizaciones (agregar/eliminar) en un transacción única.
Dicho esto, sigue siendo una buena práctica que los grupos grandes en bosques de múltiples dominios tengan grupos de seguridad de dominios específicos que se agreguen como miembros de un único grupo de seguridad universal, que normalmente reside en un dominio de recursos. Depende de usted si utiliza ese grupo universal para ACL de un recurso o agrega el grupo universal a un grupo local de dominio. En la práctica, no he visto muchos problemas con el uso de Grupos universales, ya sea de rendimiento o de otro tipo. Tenga en cuenta que el acceso a un catálogo global rara vez debería ser un problema, ya que Microsoft ha recomendado durante mucho tiempo que todos los controladores de dominio sean catálogos globales. No es raro encontrar directorios grandes creados antes de que existieran los grupos de dominio local que no hayan convertido ninguno de sus grupos o su estrategia para utilizar grupos de dominio local.
Algunas razones por las que Microsoft recomienda los grupos locales de dominio son porque brindan la mayor flexibilidad en los tipos de miembros que se pueden agregar al grupo y el nivel de control discrecional para los administradores de dominio. También proporciona un medio para minimizar la replicación de la membresía del grupo:
Replicación del catálogo global
http://technet.microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx
"Los grupos con alcance universal y sus miembros se enumeran exclusivamente en el catálogo global. Los grupos con alcance global o de dominio local también se enumeran en el catálogo global.pero sus miembros no lo son. Esto reduce el tamaño del catálogo global y el tráfico de replicación asociado con el mantenimiento del catálogo global actualizado. Puede mejorar el rendimiento de la red utilizando grupos conalcance local global o de dominiopara objetos de directorio que cambiarán con frecuencia."
Tampoco debes usar nunca grupos de dominio local para objetos ACL en Active Directory:
"Cuando un usuario se conecta a un catálogo global e intenta acceder a un objeto, se realiza una verificación de acceso basada en el token del usuario y la DACL del objeto. Cualquier permiso especificado en la DACL del objeto para grupos locales de dominio que no sean del dominio que El controlador de dominio al que pertenece el catálogo global (al que se ha conectado el usuario) será ineficaz porque solo los grupos locales del dominio del catálogo global del que el usuario es miembro están representados en el token de acceso del usuario. Al usuario se le puede negar el acceso cuando se le debería haber concedido, o se le puede permitir el acceso cuando se le debería haber denegado.
"Como práctica recomendada, debe evitar el uso de grupos locales de dominio al asignar permisos en objetos de Active Directory, o ser consciente de las implicaciones si los usa".