Я реализую инструмент, который защищает определенные общие ресурсы в лесу AD (в основном общие файлы). По некоторым критериям формируется список пользователей из разных доменов, эти пользователи добавляются в универсальную группу (потому что мне нужно собрать пользователей из разных доменов в одну группу), а затем эта универсальная группа добавляется в ACL общего ресурса.
В лесу примерно 10 000 пользователей, я думаю, что мои универсальные группы в конечном итоге будут иметь до 2000 пользователей в каждой. И таких групп может быть до нескольких тысяч.
Все выглядит хорошо и работает в тестовой среде.
Проблема в том, что есть статья Microsoft о передовом опыте работы с группами:http://technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx
Почти то же самое написано здесь: http://ss64.com/nt/syntax-groups.html
В разделе "Лучшие практики управления доступом к общим ресурсам в доменах" говорится, что мне следует создать локальные группы домена и вложить в них глобальные/универсальные группы. Я понимаю, что в этом есть административная выгода, более простое управление, видимость и т. д.
Но я все делаю автоматически, и мой инструмент сам будет следить за необходимым уровнем безопасности.
Некоторые наши ИТ-консультанты пытаются убедить меня, что несоблюдение этой передовой практики также может привести к снижению производительности.
По сути, вопрос заключается в следующем: может ли повлиять на производительность (то есть на время, необходимое для входа в систему, для защиты каталога и т. д.), если я добавлю универсальные группы непосредственно на общий ресурс вместо того, чтобы вкладывать универсальную группу в локальную группу домена?
Заранее спасибо.
ОБНОВЛЯТЬ:
Также существует одно ограничение относительно вложенности групп.http://support.microsoft.com/kb/328889) Существует ограничение в 1015 групп пользователей. Таким образом, в случае вложения универсальных групп в локальные группы домена я получаю ограничение ~500, что кажется болезненным ограничением.
ОБНОВЛЕНИЕ2: Относительно топологии моего леса. У меня есть 6 доменов, сгруппированных в 2 дерева. (Дерево состоит из корневого домена и двух дочерних доменов)
решение1
Вот заявление Microsoft относительно Universal Groups. Особенно выделенная жирным часть относится к вам:
Универсальные группы можно использовать в любом месте одного леса Windows. Они доступны только в корпоративном режиме Native-mode. Универсальные группы могут быть более простым подходом для некоторых администраторов, поскольку нет внутренних ограничений на их использование. Пользователи могут быть напрямую назначены в универсальные группы, они могут быть вложенными и их можно использовать напрямую со списками контроля доступа для обозначения разрешений на доступ в любом домене на предприятии.
Универсальные группы хранятся в глобальном каталоге (GC); это означает, что все изменения, внесенные в эти группы, вызывают репликацию на все серверы глобального каталога на всем предприятии.Поэтому изменения в универсальных группах должны вноситься только после тщательного изучения преимуществ универсальных групп по сравнению со стоимостью возросшей нагрузки репликации глобального каталога. Если в организации есть только одна хорошо подключенная локальная сеть, то не должно наблюдаться ухудшения производительности, в то время как широко разбросанные сайты могут испытывать значительное влияние. Обычно организации, использующие глобальные сети, должны использовать универсальные группы только для относительно статичных групп, в которых членство меняется редко.
Влияние на производительность должно быть минимальным в хорошо подключенной среде, где каждый имеет доступ к глобальным каталогам.
Влияние на производительность будет заключаться в увеличении времени входа в систему и увеличении времени оценки списков контроля доступа для ресурсов.еслиглобальный каталог не может быть достигнут, или если ваши сайты и подсети неправильно настроены, так что вы обнаруживаете, что общаетесь с серверами глобальных каталогов за пределами вашего собственного сайта. Кроме того, увеличится нагрузка на репликацию глобального каталога.
Однако,Я вынужден еще раз сообщить вам, что ваши действия противоречат общепринятым нормам.
Вот часть того, что вы сказали:«... и мой инструмент сам позаботится о необходимой безопасности». Это тоже меня пугает.
Поэтому я на стороне ваших ИТ-консультантов и считаю, что они выполняют свою работу, пытаясь убедить вас следовать общепринятым передовым практикам в плане проектирования AD.
Но в любом случае ответ на ваш вопрос есть.
решение2
Возвращаясь к прошлому, можно сказать, что одним из возможных сценариев производительности была репликация членства в группах, которая была намного хуже до Windows Server 2003 и по-прежнему может плохо работать со старыми группами с устаревшими членами, созданными до Windows Server 2003.
До Windows Server 2003 при каждом изменении членства в глобальной/универсальной группевесьАтрибут члена группы был реплицирован. Это имело серьезные последствия для производительности репликации в больших распределенных каталогах, особенно в универсальных группах с большим количеством участников. Поэтому в больших многодоменных каталогах было обычной практикой добавлять глобальные группы безопасности в каждом домене в универсальную группу. Это имело эффект разделения репликации членства в пределах самого домена.
В Windows Server 2003 появилась функция Linked Value Replication (LVR). Это исправило множество проблем для вновь созданных групп и групп, чьи устаревшие участники были преобразованы, поскольку при изменении (добавлении/удалении участника) реплицируются только отдельные «связанные значения» (участники).
Другой потенциальной проблемой было общее количество участников. Если у вас больше пользователей, чем у вас, скажем, 50 000, и 40 000 должны быть в группе безопасности, обычной практикой было ограничить количество участников в группе до менее 5000, поскольку это максимальное количество элементов, которые можно безопасно зафиксировать в одной атомарной транзакции Active Directory. Однако с группой LVR обновления в группе с большим количеством участников больше не требуют отправки всего состава участников, так что это, как правило, больше не является проблемой, если только вы сами не выполняете так много обновлений (добавление/удаление) в одной транзакции.
Тем не менее, для больших групп в многодоменных лесах все еще хорошей практикой является наличие доменно-специфичных групп безопасности, которые добавляются в качестве членов в одну универсальную группу безопасности, которая обычно находится в домене ресурса. Использовать ли эту универсальную группу для ACL ресурса или добавить универсальную группу в локальную группу домена, решать вам. На практике я не видел так много проблем с использованием универсальных групп, производительностью или чем-то еще. Обратите внимание, что доступ к глобальному каталогу редко должен быть проблемой, поскольку Microsoft давно рекомендует, чтобы все контроллеры домена были глобальными каталогами. Нередко можно найти большие каталоги, созданные до появления локальных групп домена, которые не преобразовали ни одну из своих групп или свою стратегию для использования локальных групп домена.
Некоторые причины, по которым Microsoft рекомендует локальные группы домена, так как они обеспечивают наибольшую гибкость в типах участников, которые могут быть добавлены в группу, и уровень дискреционного контроля для администраторов домена. Это также обеспечивает средства для минимизации репликации членства в группе:
Глобальная репликация каталога
http://technet.microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx
«Группы с универсальной областью действия и их члены перечислены исключительно в глобальном каталоге. Группы с глобальной или локальной областью действия домена также перечислены в глобальном каталоге,но их члены не являются. Это уменьшает размер глобального каталога и трафик репликации, связанный с поддержанием глобального каталога в актуальном состоянии. Вы можете улучшить производительность сети, используя группы сглобальная или локальная область действия доменадля объектов каталога, которые будут часто меняться."
Также никогда не следует использовать локальные группы домена для объектов ACL в Active Directory:
«Когда пользователь подключается к глобальному каталогу и пытается получить доступ к объекту, выполняется проверка доступа на основе токена пользователя и DACL объекта. Любые разрешения, указанные в DACL объекта для локальных групп домена, которые не относятся к домену, к которому принадлежит контроллер домена, размещающий глобальный каталог (к которому подключился пользователь), будут неэффективными, поскольку в токене доступа пользователя представлены только локальные группы домена из домена глобального каталога, членом которого является пользователь. В результате пользователю может быть отказано в доступе, когда доступ должен был быть предоставлен, или разрешен доступ, когда доступ должен был быть запрещен.
«В качестве наилучшей практики следует избегать использования локальных групп домена при назначении разрешений объектам Active Directory или учитывать последствия их использования».