直接 AD 通用組分配是否會對效能產生影響？

以下是 Microsoft 關於通用群組的聲明。特別是粗體部分與您有關：

通用群組可以在同一 Windows 網域中的任何位置使用。它們僅在本機模式企業中可用。對於某些管理員來說，通用群組可能是一種更簡單的方法，因為它們的使用沒有內在的限制。使用者可以直接指派到通用群組，可以嵌套，並且可以直接與存取控制清單一起使用，以表示企業中任何網域的存取權限。

通用群組儲存在全域編錄（GC）中；這表示對這些群組所做的所有變更都會複製到整個企業中的所有全域編錄伺服器。因此，只有在仔細檢查通用組的好處與增加的全域編錄複製負載的成本相比之後，才能對通用組進行更改。如果組織只有一個連接良好的 LAN，則不會出現效能下降的情況，而廣泛分散的站點可能會受到重大影響。通常，使用 WAN 的組織應僅將通用群組用於相對靜態的群組，其中成員資格很少發生變化。

在每個人都可以存取全域目錄的連接良好的環境中，效能影響應該相當小。

對效能的影響將是登入時間增加以及評估資源 ACL 的時間增加如果無法存取全域編錄，或您的網站和子網路設定錯誤，導致您發現自己與自己網站以外的全域編錄伺服器進行通訊。此外，全域編錄複製負載也會增加。

然而，我不得不再次通知您，您所做的事情違反了普遍接受的最佳實踐。

你說的這一部分：“......我的工具將自行監視正確的安全性。” 這也讓我害怕。

因此，我站在你們的 IT 顧問這邊，我認為他們正在努力說服你們遵循 AD 設計方面普遍接受的最佳實踐。

但無論如何，你的問題都有答案。

回想起來，一種潛在的效能情況是，在 Windows Server 2003 之前，群組成員資格複製的效能要差得多，並且對於具有 Windows Server 2003 之前建立的舊成員的舊群組來說，效能仍然很差。

在 Windows Server 2003 之前，每當全域/通用群組成員身分發生變更時，全部的群組成員屬性已複製。這對大型分散式目錄（尤其是具有許多成員的通用群組）具有嚴重的複製效能影響。因此，在大型多域目錄中，通常的做法是將每個網域中的全域安全性群組新增至通用群組。這具有將成員資格複製分區到網域本身內的效果。

Windows Server 2003 引進了連結值複製 (LVR)。這解決了新建立的群組以及舊成員已轉換的群組的許多問題，因為發生變更（新增/刪除成員）時僅複製單一「連結值」（成員）。

另一個潛在的問題是成員總數。如果您擁有更多用戶，例如50,000 名用戶，且安全群組中需要有40,000 名用戶，通常的做法是將每個群組的成員數量限制為少於5,000 人，因為這是可以容納的最大項目數。然而，對於 LVR 群組，對具有大量成員資格的群組的更新不再需要發送整個成員資格，因此只要您自己不在一個群組中執行那麼多更新（添加/刪除），這通常就不再是問題。筆交易。

話雖如此，對於多網域林中的大型群組來說，將特定於網域的安全性群組新增為單一通用安全性群組（通常駐留在資源網域中）的成員仍然是一個很好的做法。是使用該通用群組來 ACL 資源，還是將通用群組新增至網域本機群組，都取決於您。在實踐中，我還沒有看到使用通用組、效能或其他方面的許多問題。請注意，對全域編錄的存取很少會成為問題，因為 Microsoft 長期以來一直建議所有網域控制器都是全域編錄。在網域本機群組出現之前建立的大型目錄並沒有轉換任何群組或原則以使用網域本機群組，這種情況並不罕見。

Microsoft 推薦網域本機群組的一些原因是，它們在可新增至群組中的成員類型以及網域管理員的任意控制層級方面提供了最大的靈活性。它還提供了一種最小化群組成員複製的方法：

全域目錄複製
http://technet.microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx

「具有通用範圍的群組及其成員僅在全域目錄中列出。具有全域或網域本機範圍的群組也會在全域目錄中列出，但他們的成員不是。這減少了全局編錄的大小以及與保持全局編錄最新相關的複製流量。您可以透過使用群組來提高網路效能全域或網域本地範圍對於經常更改的目錄對象。

您也不應該對 Active Directory 中的 ACL 物件使用網域本機群組：

「當使用者連接到全域編錄並嘗試存取物件時，將根據使用者的令牌和物件的 DACL 執行存取檢查。物件的 DACL 中為網域本機群組指定的任何權限（這些群組不是來自該網域）託管全域編錄（使用者已連接）所屬的網域控制站將無效，因為使用者的存取權杖中僅表示來自使用者所屬的全域編錄網域的網域本機群組。本應被拒絕訪問時被允許訪問。

“作為最佳實踐，在為 Active Directory 物件分配權限時，您應該避免使用網域本機群組，或者如果確實使用它們，請注意其影響。”