Я реализую инструмент, который защищает определенные общие ресурсы в лесу AD (в основном общие файловые ресурсы). По некоторым критериям создается список пользователей из разных доменов, эти пользователи добавляются в универсальную группу (потому что мне нужно собрать пользователей из разных доменов в одну группу), а затем эта универсальная группа добавляется в ACL общего ресурса.
В лесу примерно 10 000 пользователей, я думаю, что в моих универсальных группах будет до 2000 пользователей в каждой. А таких групп может быть до нескольких тысяч.
Все выглядит хорошо и работает в тестовой среде.
Проблема в том, что есть статья MS о лучших практиках групп: http://technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx
Здесь написано почти то же самое: http://ss64.com/nt/syntax-groups.html
В разделе «Лучшие практики управления доступом к общим ресурсам между доменами» говорится, что я должен создавать локальные группы домена и вкладывать в них глобальные / универсальные группы. Я понимаю, что в этом есть административные преимущества, более простое управление, видимость и т. Д.
Но я делаю все автоматически, и мой инструмент сам позаботится о безопасности.
Некоторые наши ИТ-консультанты пытаются убедить меня, что несоблюдение этой передовой практики также может привести к снижению производительности.
Итак, в основном вопрос: может ли повлиять на производительность (это означает время, необходимое для входа в систему, для защиты каталога и т. Д.), Если я добавляю универсальные группы непосредственно в общий ресурс вместо вложения универсальной группы в локальную группу домена?
Заранее спасибо.
ОБНОВИТЬ:
Также существует одно ограничение относительно групп вложенности. (http://support.microsoft.com/kb/328889) Существует ограничение в 1015 групп пользователей. Итак, в случае вложения универсальных групп в локальные доменные группы я получаю ограничение в ~ 500, что кажется болезненным ограничением.
ОБНОВЛЕНИЕ2: По поводу моей лесной топологии. У меня 6 доменов, сгруппированных в 2 дерева. (Дерево состоит из корневого домена и двух дочерних доменов)
Вот заявление Microsoft относительно универсальных групп. Часть, выделенная жирным шрифтом, относится к вам:
Универсальные группы можно использовать в любом месте одного леса Windows. Они доступны только на предприятии, работающем в основном режиме. Универсальные группы могут быть более простым подходом для некоторых администраторов, потому что на их использование нет внутренних ограничений. Пользователи могут быть напрямую назначены в универсальные группы, они могут быть вложенными, и их можно использовать напрямую со списками управления доступом для обозначения разрешений доступа в любом домене предприятия.
Универсальные группы хранятся в глобальном каталоге (GC); это означает, что все изменения, внесенные в эти группы, вызывают репликацию на все серверы глобального каталога во всем предприятии. Поэтому изменения в универсальные группы должны производиться только после тщательного изучения преимуществ универсальных групп по сравнению со стоимостью увеличенной нагрузки репликации глобального каталога. Если в организации есть только одна локальная сеть с хорошим подключением, снижение производительности не должно наблюдаться, в то время как широко рассредоточенные узлы могут иметь значительное влияние. Как правило, организации, использующие глобальные сети, должны использовать универсальные группы только для относительно статичных групп, членство в которых меняется редко.
Влияние на производительность должно быть минимальным в хорошо связанной среде, где каждый имеет доступ к глобальным каталогам.
Влияние на производительность будет увеличиваться: время входа в систему и время оценки ACL для ресурсов. если невозможно получить доступ к глобальному каталогу, или если ваши сайты и подсети неправильно настроены, так что вы обнаружите, что общаетесь с серверами глобального каталога за пределами вашего собственного сайта. Также будет увеличена нагрузка на репликацию глобального каталога.
Тем не мение, Я обязан еще раз сообщить вам, что то, что вы делаете, противоречит общепринятым передовым методам.
Эта часть того, что вы сказали: «... и мой инструмент сам позаботится о безопасности». Меня это тоже пугает.
Итак, я на стороне ваших ИТ-консультантов, и я думаю, что они выполняют свою работу, пытаясь убедить вас следовать общепринятым передовым методам проектирования AD.
Но все равно есть ответ на ваш вопрос.
Возвращаясь к прошлому, можно сказать, что одним из возможных сценариев производительности было то, что репликация членства в группах была намного хуже до Windows Server 2003 и все еще может плохо работать со старыми группами с устаревшими членами, созданными до Windows Server 2003.
До Windows Server 2003 каждый раз при изменении членства в глобальной / универсальной группе весь атрибут члена группы был реплицирован. Это имело серьезные последствия для производительности репликации в больших распределенных каталогах, особенно в универсальных группах с большим количеством участников. Поэтому в больших многодоменных каталогах было обычной практикой добавлять глобальные группы безопасности в каждом домене к универсальной группе. Это привело к разделению репликации членства внутри самого домена.
Windows Server 2003 представила репликацию связанных значений (LVR). Это устранило множество этих проблем для вновь созданных групп и групп, унаследованные члены которых были преобразованы, потому что только отдельные «связанные значения» (члены) реплицируются при изменении (добавлении / удалении члена).
Другой потенциальной проблемой было общее количество членов. Если у вас есть больше пользователей, скажем, 50 000, и 40 000 должны быть в группе безопасности, было обычной практикой ограничивать количество участников в группе до менее 5000, поскольку это максимальное количество элементов, которое может безопасно фиксироваться в одной атомарной транзакции Active Directory. Однако в группе LVR обновления для группы с большим количеством участников больше не требуют отправки всего членства, так что обычно это больше не проблема, если вы сами не выполняете такое количество обновлений (добавляет / удаляет) в разовая сделка.
При этом для больших групп в многодоменных лесах по-прежнему хорошей практикой является наличие групп безопасности для конкретного домена, которые добавляются в качестве членов к одной универсальной группе безопасности, которая обычно находится в домене ресурсов. Независимо от того, используете ли вы эту универсальную группу для ACL ресурса или добавляете универсальную группу в локальную группу домена, решать вам. На практике я не встречал столько проблем с использованием универсальных групп, производительности или чего-то еще. Обратите внимание, что доступ к глобальному каталогу редко должен быть проблемой, поскольку Microsoft давно рекомендовала, чтобы все контроллеры домена были глобальными каталогами. Нередко можно найти большие каталоги, созданные до появления локальных групп домена, которые не преобразовали ни одну из своих групп или свою стратегию для использования локальных групп домена.
Некоторые причины, по которым Microsoft рекомендует локальные группы домена, потому что они обеспечивают максимальную гибкость в отношении типов членов, которые могут быть добавлены в группу, и уровня дискреционного контроля для администраторов домена. Он также предоставляет средства для минимизации репликации членства в группах:
Репликация глобального каталога
http://technet.microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx
«Группы с универсальной областью действия и их члены перечислены исключительно в глобальном каталоге. Группы с глобальной или локальной областью действия также перечислены в глобальном каталоге, но их члены не. Это уменьшает размер глобального каталога и трафик репликации, связанный с поддержанием глобального каталога в актуальном состоянии. Вы можете улучшить производительность сети, используя группы с глобальная или локальная область видимости домена для объектов каталога, которые будут часто меняться ".
Вы также никогда не должны использовать локальные группы домена для объектов ACL в Active Directory:
"Когда пользователь подключается к глобальному каталогу и пытается получить доступ к объекту, проверка доступа выполняется на основе токена пользователя и DACL объекта. Любые разрешения, указанные в DACL объекта для локальных групп домена, которые не принадлежат к домену, Контроллер домена, к которому принадлежит глобальный каталог (к которому подключился пользователь), будет неэффективен, поскольку в маркере доступа пользователя представлены только локальные группы домена из домена глобального каталога, членом которого является пользователь. В результате пользователю может быть отказано в доступе, когда доступ должен был быть предоставлен, или разрешен доступ, когда доступ должен был быть запрещен.
«Лучше всего избегать использования локальных групп домена при назначении разрешений для объектов Active Directory или знать о последствиях, если вы все же их используете».