AD 포리스트(주로 파일 공유) 내의 특정 공유 리소스를 보호하는 도구를 구현하고 있습니다. 일부 기준에 따라 다양한 도메인의 사용자 목록이 생성되고 해당 사용자는 유니버설 그룹에 추가된 다음(다른 도메인의 사용자를 단일 그룹으로 모아야 하기 때문에) 해당 유니버설 그룹이 공유 리소스 ACL에 추가됩니다.
포리스트에는 대략 10,000명의 사용자가 있으며, 내 유니버설 그룹에는 각각 최대 2000명의 사용자가 있을 것으로 생각됩니다. 그리고 그러한 그룹은 최대 수천 개에 달할 수도 있습니다.
모든 것이 좋아 보이고 테스트 환경에서 작동합니다.
문제는 그룹 모범 사례에 대한 MS 기사가 있다는 것입니다.http://technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx
여기에도 거의 같은 내용이 기록되어 있습니다. http://ss64.com/nt/syntax-groups.html
"도메인 간 공유 리소스에 대한 액세스를 제어하는 모범 사례" 섹션에는 도메인 로컬 그룹을 만들고 그 안에 글로벌/유니버설 그룹을 중첩해야 한다고 나와 있습니다. 관리상의 이점, 관리 용이성, 가시성 등이 있다는 것을 이해합니다.
하지만 나는 모든 작업을 자동화하고 있으며 내 도구는 자체적으로 올바른 보안을 감시합니다.
일부 IT 컨설턴트는 모범 사례를 따르지 않으면 성능이 저하될 수 있다고 저를 설득하려고 합니다.
따라서 기본적으로 질문은 다음과 같습니다. 유니버설 그룹을 도메인 로컬 그룹에 중첩하는 대신 공유 리소스에 직접 유니버설 그룹을 추가하면 성능(로그온, 디렉터리 보안 등에 필요한 시간을 의미함)에 영향을 미칠 수 있습니까?
미리 감사드립니다.
업데이트:
중첩 그룹과 관련하여 한 가지 제한 사항도 있습니다. (http://support.microsoft.com/kb/328889) 사용자 그룹은 1015개로 제한됩니다. 따라서 유니버설 그룹을 도메인 로컬 그룹에 중첩하는 경우 최대 500개 제한을 받게 되는데 이는 고통스러운 제한처럼 보입니다.
업데이트 2: 내 포리스트 토폴로지에 관해. 2개의 트리로 그룹화된 6개의 도메인이 있습니다. (트리는 루트 도메인과 두 개의 하위 도메인으로 구성됩니다)
답변1
다음은 Universal Groups에 관한 Microsoft의 성명입니다. 특히 굵은 글씨로 표시된 부분이 귀하에게 해당됩니다.
유니버설 그룹은 동일한 Windows 포리스트의 어느 곳에서나 사용할 수 있습니다. 기본 모드 기업에서만 사용할 수 있습니다. 유니버설 그룹은 사용에 대한 본질적인 제한이 없기 때문에 일부 관리자에게는 더 쉬운 접근 방식일 수 있습니다. 사용자는 유니버설 그룹에 직접 할당될 수 있고 중첩될 수 있으며 액세스 제어 목록과 함께 직접 사용되어 기업의 모든 도메인에 대한 액세스 권한을 나타낼 수 있습니다.
유니버설 그룹은 글로벌 카탈로그(GC)에 저장됩니다. 이는 이러한 그룹에 대한 모든 변경 사항이 전체 기업의 모든 글로벌 카탈로그 서버에 복제된다는 것을 의미합니다.따라서 유니버설 그룹에 대한 변경은 글로벌 카탈로그 복제 로드 증가로 인한 비용과 비교하여 유니버설 그룹의 이점을 주의 깊게 조사한 후에만 이루어져야 합니다. 조직에 잘 연결된 단일 LAN만 있는 경우 성능 저하가 발생하지 않지만 널리 분산된 사이트에는 상당한 영향이 발생할 수 있습니다. 일반적으로 WAN을 사용하는 조직은 구성원이 거의 변경되지 않는 상대적으로 정적인 그룹에 대해서만 유니버설 그룹을 사용해야 합니다.
모든 사람이 글로벌 카탈로그에 액세스할 수 있는 잘 연결된 환경에서는 성능에 미치는 영향이 최소화되어야 합니다.
성능에 미치는 영향은 로그인 시간과 리소스에 대한 ACL 평가 시간 증가입니다.만약에글로벌 카탈로그에 연결할 수 없거나 사이트 및 서브넷이 잘못 구성되어 사이트 외부의 글로벌 카탈로그 서버와 통신하는 경우. 또한 글로벌 카탈로그 복제 로드도 증가합니다.
하지만,나는 당신이 하고 있는 일이 일반적으로 받아들여지는 모범 사례에 위배된다는 점을 다시 한 번 알려드릴 의무가 있습니다.
말씀하신 부분은 이렇습니다."... 그리고 내 도구는 스스로 올바른 보안을 찾아볼 것입니다." 그것은 또한 나를 두렵게 한다.
그래서 저는 귀사의 IT 컨설턴트 편에 서 있으며, 그들은 AD 설계 측면에서 일반적으로 수용되는 모범 사례를 따르도록 귀하를 설득함으로써 자신의 업무를 수행하고 있다고 생각합니다.
하지만 상관없이 귀하의 질문에 대한 답변이 있습니다.
답변2
과거로 돌아가서, 한 가지 잠재적인 성능 시나리오는 Windows Server 2003 이전에는 훨씬 더 나빴던 그룹 구성원 복제였으며 Windows Server 2003 이전에 생성된 레거시 구성원이 있는 이전 그룹에서는 여전히 성능이 좋지 않을 수 있다는 것입니다.
Windows Server 2003 이전에는 글로벌/유니버설 그룹 멤버십이 변경될 때마다전체그룹 구성원 속성이 복제되었습니다. 이는 특히 구성원이 많은 유니버설 그룹의 대규모 분산 디렉터리에서 복제 성능에 심각한 영향을 미쳤습니다. 따라서 대규모 다중 도메인 디렉터리에서는 각 도메인의 글로벌 보안 그룹을 유니버설 그룹에 추가하는 것이 일반적인 관행이었습니다. 이로 인해 도메인 자체 내에서 구성원 복제를 분할하는 효과가 있었습니다.
Windows Server 2003에는 LVR(연결된 값 복제)이 도입되었습니다. 변경(멤버 추가/제거)이 발생할 때 개별 "연결된 값"(멤버)만 복제되기 때문에 새로 생성된 그룹과 기존 멤버가 변환된 그룹에 대한 많은 문제가 해결되었습니다.
또 다른 잠재적인 문제는 총 회원 수였습니다. 50,000명보다 많은 사용자가 있고 40,000명이 보안 그룹에 속해야 하는 경우 그룹당 구성원 수를 5,000명 미만으로 제한하는 것이 일반적이었습니다. 단일 원자성 Active Directory 트랜잭션으로 안전하게 커밋됩니다. 그러나 LVR 그룹의 경우 대규모 멤버십이 있는 그룹에 대한 업데이트는 더 이상 전체 멤버십을 보낼 필요가 없으므로 일반적으로 한 그룹에서 그렇게 많은 업데이트(추가/제거)를 수행하지 않는 한 더 이상 문제가 되지 않습니다. 단일 거래.
즉, 다중 도메인 포리스트의 대규모 그룹에는 일반적으로 리소스 도메인에 상주하는 단일 유니버설 보안 그룹에 구성원으로 추가되는 도메인별 보안 그룹을 갖는 것이 여전히 좋은 방법입니다. 해당 유니버설 그룹을 사용하여 리소스를 ACL할지 아니면 유니버설 그룹을 도메인 로컬 그룹에 추가할지 여부는 사용자에게 달려 있습니다. 실제로 유니버설 그룹 사용, 성능 등의 문제를 많이 본 적이 없습니다. Microsoft는 오랫동안 모든 도메인 컨트롤러를 글로벌 카탈로그로 사용할 것을 권장해 왔기 때문에 글로벌 카탈로그에 대한 액세스는 거의 문제가 되지 않습니다. 도메인 로컬 그룹이 존재하기 전에 생성되어 도메인 로컬 그룹을 사용하기 위한 그룹이나 전략을 변환하지 않은 대규모 디렉터리를 찾는 것은 드문 일이 아닙니다.
Microsoft에서 도메인 로컬 그룹을 권장하는 이유는 그룹에 추가할 수 있는 구성원 유형과 도메인 관리자에 대한 임의 제어 수준에 있어 최고의 유연성을 제공하기 때문입니다. 또한 그룹 구성원 복제를 최소화하는 방법도 제공합니다.
글로벌 카탈로그 복제
http://technet.microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx
"유니버설 범위의 그룹과 해당 구성원은 글로벌 카탈로그에만 나열됩니다. 글로벌 또는 도메인 로컬 범위의 그룹도 글로벌 카탈로그에 나열됩니다.하지만 그 멤버들은 그렇지 않아. 이렇게 하면 글로벌 카탈로그의 크기와 글로벌 카탈로그를 최신 상태로 유지하는 데 관련된 복제 트래픽이 줄어듭니다. 다음과 같은 그룹을 사용하면 네트워크 성능을 향상시킬 수 있습니다.전역 또는 도메인 로컬 범위자주 변경되는 디렉터리 개체의 경우."
또한 Active Directory의 ACL 개체에 도메인 로컬 그룹을 사용해서는 안 됩니다.
"사용자가 글로벌 카탈로그에 연결하고 개체에 액세스하려고 하면 사용자의 토큰과 개체의 DACL을 기반으로 액세스 확인이 수행됩니다. 해당 도메인에 속하지 않은 도메인 로컬 그룹에 대해 개체의 DACL에 지정된 모든 권한은 사용자가 속한 글로벌 카탈로그를 호스팅하는 도메인 컨트롤러는 사용자가 구성원으로 속한 글로벌 카탈로그 도메인의 도메인 로컬 그룹만 사용자의 액세스 토큰에 표시되므로 효과적이지 않습니다. 사용자는 액세스가 허용되어야 할 때 액세스가 거부되거나 액세스가 거부되어야 할 때 액세스가 허용될 수 있습니다.
"가장 좋은 방법은 Active Directory 개체에 대한 권한을 할당할 때 도메인 로컬 그룹을 사용하지 않거나 이를 사용할 경우의 영향을 알고 있어야 한다는 것입니다."