Моя компания использует PowerShell для управления членами тысяч групп. Существуют операторы SQL и другие «правила», которые определяют, кто должен быть членом данной группы. Это решение не подходит для создания групп и последующего вложения групп в более крупные группы ... оно просто добавляет пользователей в группы.
Эти группы безопасности редко используются для защиты ресурсов ... когда мы это делаем, мы обычно создаем группу для управления ACL, а затем перетаскиваем группу с включенной поддержкой почты в группу ACL.
Мой вопрос: существует ли пороговое количество пользователей, при котором я действительно должен думать о вложении групп, а не о добавлении людей напрямую? У нас в компании <3000 человек.
Так как Грег Аскью Как уже упоминалось, рекомендуемое максимальное количество членов в группе составляет 5000 в средах Windows 2000 AD, а допустимое количество членов должно превышать 5000 после увеличения уровня функции леса, в соответствии с вашим номером члена, это не будет для вас проблемой . Если вы хотите лучше управлять этими участниками, вы можете попробовать использовать группы вложенности.
Не для большинства организаций, и 3000 недостаточно, чтобы вызвать проблемы.
До Active Directory 2003, когда член был добавлен / удален в / из группы, все членство в группе реплицировалось повторно. Это было безумием, и Microsoft рекомендовала не более 5000 участников на группу (см. Ниже). Active Directory 2003 представила репликацию связанных значений. Когда участники добавляются / удаляются, реплицируются только изменения. До этого в больших многодоменных лесах не было ничего необычного в том, что большинство изменений глобальных групп и универсальной группы объединяли все глобальные группы для целей ACL, поскольку члены глобальной группы не реплицируются в другие домены.
Один сценарий, при котором эта проблема может все еще существовать, - в очень старых каталогах, группы, созданные до Active Directory 2003, могут все еще иметь устаревших членов. Это можно исправить, удалив / повторно добавив участников.
Существует практическое ограничение на количество добавлений / удалений в одной транзакции LDAP: 5000. Это количество изменений, которые Active Directory может безопасно зафиксировать для объекта за одну транзакцию базы данных. Поэтому, если вы добавляете / удаляете 100 000 участников, было бы лучше делать не более 5 000 за раз.