Я смотрел на Active Directory, в которой есть несколько тысяч групп, где пары групп являются членами друг друга.
GroupA имеет GroupB в качестве Участника. GroupB имеет GroupA в качестве Участника.
Ой. Я пытаюсь продумать возможные последствия этого кругового вложения групп.
Так что я бы не сказал, что это плохо, но может быть. Есть несколько причин, одна из которых связана со сценарием. Круговое вложение - это, по сути, «бесконечный цикл», потому что скрипты используют множество рекурсивных функций. Это, очевидно, приведет к сбою сценария и т. Д.
Кроме того, существует идея «упрощения» в AD, которой по своей сути противоречит круговое вложение.
В галерее technet есть сценарий PowerShell, который помогает находить круговые вложенные группы, вы можете найти его здесь, и он поможет в поиске круговых групп: Найти круговые вложенные группы
Два других сценария PowerShell, которые позволяют рисовать вложенные группы и тем самым помогают быстро находить циклическое вложение:
Ну, прежде всего, будьте осторожны, чтобы у вас не было пользователей, которые являются членами слишком большого количества групп - это может привести к тому, что их токен будет слишком большим, и вы получите что-то вроде этого:
А также перестанут обрабатываться GPO, скрипты запуска и т. Д.
Это не отвечает напрямую на ваш вопрос, но множество вложенных групп определенно может усугубить эту проблему. Нет ничего ужасного в том, что группы являются членами друг друга. то есть пространственно-временной континуум не разорвется ... единственное, что я могу придумать, это то, что вы можете запутать некоторые приложения, которые широко используют запросы LDAP ... такие вещи, как Exchange и т. д.
Никаких последствий - по крайней мере, в отношении Active Directory.
Я видел развертывания с этим условием несколько раз; единственное, что он ломает, - это плохо написанный код, рекурсивно перечисляющий группы. И в этих случаях просто проверить в коде такой цикл и игнорировать группы, которые вы уже перечислили, или просто ограничить глубину рекурсии.