Gibt es einen Leistungseffekt der direkten Zuweisung universeller AD-Gruppen?

7

Ich implementiere ein Tool, das bestimmte gemeinsam genutzte Ressourcen in der AD-Gesamtstruktur sichert (hauptsächlich Dateifreigaben). Nach einigen Kriterien wird eine Liste von Benutzern aus verschiedenen Domänen generiert. Diese Benutzer werden einer universellen Gruppe hinzugefügt (da ich Benutzer aus verschiedenen Domänen in einer einzelnen Gruppe sammeln muss). Anschließend wird diese universelle Gruppe einer gemeinsam genutzten Ressourcen-ACL hinzugefügt.

Der Wald hat ungefähr 10 000 Benutzer. Ich denke, meine universellen Gruppen werden am Ende jeweils bis zu 2000 Benutzer haben. Und es könnte bis zu mehreren tausend dieser Gruppen geben.

Alles sieht gut aus und funktioniert in einer Testumgebung.

Das Problem ist, dass es einen MS-Artikel zu Best Practices für Gruppen gibt: http://technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx

Fast das Gleiche steht hier: http://ss64.com/nt/syntax-groups.html

Im Abschnitt "Best Practices für die Steuerung des Zugriffs auf gemeinsam genutzte Ressourcen über Domänen hinweg" heißt es, dass ich lokale Domänengruppen erstellen und globale / universelle Gruppen darin verschachteln sollte. Ich verstehe, dass dies einen administrativen Vorteil hat, eine einfachere Verwaltung, Sichtbarkeit usw.

Aber ich mache alles automatisiert und mein Tool wird von selbst auf die richtige Sicherheit achten.

Einige unserer IT-Berater versuchen mich davon zu überzeugen, dass die Nichtbeachtung dieser Best Practice auch zu einer schlechten Leistung führen kann.

Die Frage lautet also im Grunde: Kann es Auswirkungen auf die Leistung haben (dies bedeutet, dass Zeit erforderlich ist, um sich anzumelden, ein Verzeichnis zu sichern usw.), wenn ich universelle Gruppen direkt zur freigegebenen Ressource hinzufüge, anstatt universelle Gruppen in einer lokalen Domänengruppe zu verschachteln?

Danke im Voraus.

AKTUALISIEREN:

Es gibt auch eine Einschränkung in Bezug auf Verschachtelungsgruppen. ( http://support.microsoft.com/kb/328889 ) Es gibt ein Limit von 1015 Benutzergruppen. Wenn ich also universelle Gruppen in lokale Domänengruppen verschachtele, erhalte ich ein Limit von ~ 500, was wie eine schmerzhafte Einschränkung erscheint.

UPDATE2: In Bezug auf meine Waldtopologie . Ich habe 6 Domains, gruppiert in 2 Bäume. (Baum besteht aus einer Stammdomäne und zwei untergeordneten Domänen)

active-directory  group-policy  access-control-list 
Helfer
quelle

Antworten:

8

Hier ist die Erklärung von Microsoft zu Universal Groups. Besonders der fettgedruckte Teil betrifft Sie:

Universelle Gruppen können überall in derselben Windows-Gesamtstruktur verwendet werden. Sie sind nur in einem Unternehmen im Native-Modus verfügbar. Universelle Gruppen können für einige Administratoren ein einfacherer Ansatz sein, da ihre Verwendung keinen wesentlichen Einschränkungen unterliegt. Benutzer können direkt universellen Gruppen zugewiesen, verschachtelt und direkt mit Zugriffssteuerungslisten verwendet werden, um Zugriffsberechtigungen in einer beliebigen Domäne im Unternehmen zu kennzeichnen.

Universelle Gruppen werden im globalen Katalog (GC) gespeichert. Dies bedeutet, dass alle an diesen Gruppen vorgenommenen Änderungen eine Replikation auf alle globalen Katalogserver im gesamten Unternehmen bewirken. Änderungen an universellen Gruppen dürfen daher nur nach sorgfältiger Prüfung der Vorteile universeller Gruppen im Vergleich zu den Kosten der erhöhten globalen Katalogreplikationslast vorgenommen werden. Wenn eine Organisation nur über ein einziges, gut verbundenes LAN verfügt, sollte keine Leistungsminderung auftreten, während weit verteilte Standorte erhebliche Auswirkungen haben können. In der Regel sollten Organisationen, die WANs verwenden, Universalgruppen nur für relativ statische Gruppen verwenden, in denen sich Mitgliedschaften selten ändern.

In einer gut vernetzten Umgebung, in der jeder Zugriff auf globale Kataloge hat, sollten die Auswirkungen auf die Leistung eher gering sein.

Die Auswirkungen auf die Leistung erhöhen sich bei der Anmeldung und bei der Auswertung von ACLs für Ressourcen, wenn ein globaler Katalog nicht erreicht werden kann oder wenn Ihre Sites und Subnetze falsch konfiguriert sind, sodass Sie mit globalen Katalogservern außerhalb Ihrer eigenen Site kommunizieren. Außerdem wird die globale Katalogreplikationslast erhöht.

Aber ich bin verpflichtet, noch einmal informieren Sie , dass , was Sie tun , ist gegen allgemein akzeptierte Best Practices.

Dieser Teil von dem, was Sie gesagt haben: "... und mein Tool wird von selbst auf die richtige Sicherheit achten." Das macht mir auch Angst.

Ich bin also auf der Seite Ihrer IT-Berater und denke, sie erledigen ihre Arbeit, indem sie versuchen, Sie davon zu überzeugen, allgemein anerkannte Best Practices in Bezug auf das AD-Design zu befolgen.

Aber es gibt trotzdem die Antwort auf Ihre Frage.

Ryan Ries
quelle
Danke für deine Antwort! Ich stimme dem Replikationsverkehr zu und denke, dies ist ein Preis für die Möglichkeit, Benutzer aus verschiedenen Domänen in einer einzigen Gruppe zu speichern . Und ich denke, dass das Verschachteln einer universellen Gruppe in einer lokalen Domäne mich nicht vor erhöhtem Replikationsverkehr bewahren wird. Könnten Sie bitte klarstellen, ob mir etwas fehlt?
Aides
Ihr Plan wird funktionieren. Denken Sie daran, dass globale Kataloge für Sie äußerst wichtig sind. Ein weiteres Zitat von Microsoft: "Wenn sich ein Benutzer in einer Gesamtstruktur mit mehreren Domänen bei einer Domäne anmeldet, muss ein globaler Katalogserver kontaktiert werden, um die universellen Gruppenmitgliedschaften des Benutzers zu ermitteln." Wir wissen nichts über den Rest Ihrer AD-Topologie, aber ich hoffe, dass alle Ihre DCs GCs sind und dass alle Ihre Clients gut mit diesen DCs verbunden sind. Andernfalls treten langsame Anmeldungen und Ressourcenzugriffe auf.
Ryan Ries
Ich habe 6 Domänen (gruppiert in zwei Bäume innerhalb eines Waldes), alle haben mindestens einen DC mit GC. Ich werde die Frage aktualisieren. Ich werde Ihre Antwort abstimmen, da ich überlegt habe, was ich tue, und es scheint, dass ich immer noch auf dem richtigen Weg bin. Trotzdem brauche ich wirklich Rechtfertigungen, um Universal Group in Domain-Gruppen zu verschachteln, da ich bisher wirklich keine finden konnte.
Aides
Der Vorteil von Verschachtelungsgruppen besteht darin, dass jede Änderung, die Sie an der lokalen Domänengruppe vornehmen, nicht die Welligkeit der GC-Replikation verursacht, die Änderungen direkt an universellen Gruppen bewirken.
Ryan Ries
2

Ein potenzielles Leistungsszenario war vor langer Zeit, dass die Replikation der Gruppenmitgliedschaft vor Windows Server 2003 viel schlechter war und bei alten Gruppen mit älteren Mitgliedern, die vor Windows Server 2003 erstellt wurden, immer noch eine schlechte Leistung erbringen kann.

Vor Windows Server 2003 wurde jedes Mal, wenn eine globale / universelle Gruppenmitgliedschaft geändert wurde, das gesamte Gruppenmitgliedsattribut repliziert. Dies hatte schwerwiegende Auswirkungen auf die Replikationsleistung in großen, verteilten Verzeichnissen, insbesondere bei Universal-Gruppen mit vielen Mitgliedern. Daher war es in großen Verzeichnissen mit mehreren Domänen üblich, globale Sicherheitsgruppen in jeder Domäne zu einer universellen Gruppe hinzuzufügen. Dies hatte zur Folge, dass die Mitgliedschaftsreplikation innerhalb der Domäne selbst partitioniert wurde.

Windows Server 2003 führte die Linked Value Replication (LVR) ein. Dadurch wurden viele dieser Probleme für neu erstellte Gruppen und Gruppen behoben, deren Legacy-Mitglieder konvertiert wurden, da nur die einzelnen "verknüpften Werte" (Mitglieder) repliziert werden, wenn eine Änderung (Hinzufügen / Entfernen von Mitgliedern) erfolgt.

Ein weiteres potenzielles Problem war die Gesamtzahl der Mitglieder. Wenn Sie mehr Benutzer haben, z. B. 50.000, und 40.000 müssen in einer Sicherheitsgruppe sein, war es üblich, die Anzahl der Mitglieder pro Gruppe auf weniger als 5.000 zu beschränken, da dies die maximale Anzahl von Elementen ist, die möglich sind sicher in einer einzelnen atomaren Active Directory-Transaktion festgeschrieben werden. Bei einer LVR-Gruppe müssen für Aktualisierungen einer Gruppe mit großen Mitgliedschaften nicht mehr die gesamte Mitgliedschaft gesendet werden, sodass dies normalerweise kein Problem mehr darstellt, solange Sie nicht selbst so viele Aktualisierungen (Hinzufügen / Entfernen) in a durchführen einzelne Transaktion.

Trotzdem ist es für große Gruppen in Gesamtstrukturen mit mehreren Domänen immer noch eine gute Praxis, domänenspezifische Sicherheitsgruppen zu haben, die als Mitglieder zu einer einzelnen universellen Sicherheitsgruppe hinzugefügt werden, die sich normalerweise in einer Ressourcendomäne befindet. Es liegt an Ihnen, ob Sie diese universelle Gruppe zum ACL einer Ressource verwenden oder die universelle Gruppe zu einer lokalen Domänengruppe hinzufügen. In der Praxis habe ich nicht so viele Probleme bei der Verwendung von Universal Groups, der Leistung oder auf andere Weise gesehen. Beachten Sie, dass der Zugriff auf einen globalen Katalog selten ein Problem sein sollte, da Microsoft seit langem empfohlen hat, dass alle Domänencontroller globale Kataloge sind. Es ist nicht ungewöhnlich, große Verzeichnisse zu finden, die erstellt wurden, bevor es lokale Domänengruppen gab, die keine ihrer Gruppen oder ihre Strategie zur Verwendung lokaler Domänengruppen konvertiert haben.

Einige Gründe, warum lokale Domänengruppen von Microsoft empfohlen werden, da sie die größte Flexibilität bei den Mitgliedertypen bieten, die der Gruppe hinzugefügt werden können, und die diskretionäre Kontrolle für die Domänenadministratoren. Es bietet auch eine Möglichkeit, die Replikation der Gruppenmitgliedschaft zu minimieren:

Globale Katalogreplikation
http://technet.microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx

"Gruppen mit universellem Gültigkeitsbereich und ihre Mitglieder werden ausschließlich im globalen Katalog aufgeführt. Gruppen mit globalem oder domänenlokalem Gültigkeitsbereich werden ebenfalls im globalen Katalog aufgeführt, ihre Mitglieder jedoch nicht . Dies verringert die Größe des globalen Katalogs und der Replikation Datenverkehr im Zusammenhang mit der Aktualisierung des globalen Katalogs. Sie können die Netzwerkleistung verbessern, indem Sie Gruppen mit globalem oder domänenlokalem Bereich für Verzeichnisobjekte verwenden, die sich häufig ändern. "

Sie sollten auch niemals lokale Domänengruppen für ACL-Objekte in Active Directory verwenden:

"Wenn ein Benutzer eine Verbindung zu einem globalen Katalog herstellt und versucht, auf ein Objekt zuzugreifen, wird eine Zugriffsprüfung basierend auf dem Token des Benutzers und der DACL des Objekts durchgeführt. Alle in der DACL des Objekts angegebenen Berechtigungen für lokale Domänengruppen, die nicht aus der Domäne stammen Der Domänencontroller, auf dem sich der globale Katalog befindet (zu dem der Benutzer eine Verbindung hergestellt hat), ist unwirksam, da nur lokale Domänengruppen aus der Domäne des globalen Katalogs, zu der der Benutzer gehört, im Zugriffstoken des Benutzers dargestellt werden Dem Benutzer kann der Zugriff verweigert werden, wenn der Zugriff gewährt werden sollte, oder der Zugriff kann verweigert werden, wenn der Zugriff verweigert werden sollte.

"Als bewährte Methode sollten Sie die Verwendung lokaler Domänengruppen vermeiden, wenn Sie Berechtigungen für Active Directory-Objekte zuweisen, oder sich der Auswirkungen bewusst sein, wenn Sie diese verwenden."

Greg Askew
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.