Active Directory의 보안 그룹과 배포 그룹의 기본 목적을 알고 있습니다. 보안 그룹은 네트워크 리소스에 액세스하는 데 사용되고 배포 그룹은 메일로 배포 목록을 보내는 데 사용됩니다. 하지만 의심스러운 점은 보안 그룹을 사용하여 메일 지원 보안 그룹을 사용하여 해당 그룹에 메일을 배포할 수도 있다는 것입니다. 보안 그룹을 보안과 메일 배포 모두에 사용했다면 Active Directory에서 배포 그룹을 사용해야 하는 이유는 무엇입니까?
답변1
보안 그룹은 사용자(또는 컴퓨터)의 Kerberos 토큰에 속하므로 그룹 멤버십을 기반으로 권한을 할당할 수 있습니다.
그러나 Kerberos 토큰에는 최대 크기 제한이 있으며사용자가 여러 그룹에 속해 있으면 이상한 일이 발생합니다
[...]인증할 때 사용자에게 HTTP 400 - 잘못된 요청(요청 헤더가 너무 깁니다.)과 같은 메시지가 표시될 수 있습니다. 또한 사용자가 리소스에 액세스하는 데 문제가 있으며 사용자의 그룹 정책 설정이 올바르게 업데이트되지 않을 수 있습니다.
로그온할 수 있습니다.그것도 완전 실패
[...]다음 오류로 인해 시스템에 로그온할 수 없습니다. 로그온을 시도하는 동안 사용자의 보안 컨텍스트에 너무 많은 보안 ID가 누적되었습니다. 다시 시도하거나 시스템 관리자에게 문의하십시오.
이러한 상황을 일반적으로 "토큰 팽창"이라고 합니다.
메일 그룹은 Kerberos 토큰에 추가되지 않으므로(이것이 메일 그룹을 기반으로 권한을 부여/거부할 수 없는 이유입니다) 사용자 토큰의 크기가 증가하는 것을 방지합니다.
즉, 사용자당 최대 그룹 수에 도달하고 싶지 않으므로 보안 그룹을 아껴서 사용하십시오!