web-dev-qa-db-ja.com

ADユニバーサルグループの直接割り当てによるパフォーマンスへの影響はありますか?

ADフォレスト内の特定の共有リソース(主にファイル共有)を保護するツールを実装しています。いくつかの基準により、異なるドメインのユーザーのリストが生成され、それらのユーザーはユニバーサルグループに追加されます(単一のグループの異なるドメインからユーザーを収集する必要があるため)。次に、そのユニバーサルグループが共有リソースACLに追加されます。

フォレストにはおよそ1万人のユーザーがいますが、私のユニバーサルグループはそれぞれ最大2000人のユーザーを持つことになると思います。そして、それらのグループは最大で数千になる可能性があります。

すべてが問題なく見え、テスト環境で動作します。

問題は、グループのベストプラクティスに関するMSの記事があることです。 http://technet.Microsoft.com/en-us/library/cc787646(v = ws.10).aspx

ほとんど同じものがここに書かれています: http://ss64.com/nt/syntax-groups.html

「ドメイン全体の共有リソースへのアクセスを制御するためのベストプラクティス」セクションでは、ドメインローカルグループを作成し、その中にグローバル/ユニバーサルグループをネストする必要があると書かれています。管理上のメリット、管理の容易さ、可視性などがあることを理解しています

しかし、私はすべてを自動化しており、ツールはそれ自体で適切なセキュリティを監視します。

一部のITコンサルタントは、そのベストプラクティスに従わないとパフォーマンスが低下する可能性があると私を説得しようとします。

したがって、基本的に質問は次のとおりです。ユニバーサルグループをドメインローカルグループにネストするのではなく、共有リソースにユニバーサルグループを直接追加すると、パフォーマンス(ログオン、ディレクトリの保護などに必要な時間)に影響がありますか?

前もって感謝します。

UPDATE:

グループのネストに関する制限も1つあります。 ( http://support.Microsoft.com/kb/328889 )1015ユーザーのグループの制限があります。したがって、ユニバーサルグループをドメインローカルグループにネストする場合、最大500の制限が発生します。これは、面倒な制限のようです。

UPDATE2:フォレストトポロジについて。私は2つのツリーにグループ化された6つのドメインを持っています。 (ツリーはルートドメインと2つの子ドメインで構成されます)

7
Aides

ユニバーサルグループに関するマイクロソフトの声明は次のとおりです。特に太字の部分はあなたに関係しています:

ユニバーサルグループは、同じWindowsフォレスト内の任意の場所で使用できます。ネイティブモードのエンタープライズでのみ使用できます。ユニバーサルグループは、使用に本質的な制限がないため、一部の管理者にとってはより簡単な方法です。ユーザーは、ユニバーサルグループに直接割り当てることができ、入れ子にすることができます。また、アクセス制御リストで直接使用して、企業内の任意のドメインのアクセス許可を示すことができます。

ユニバーサルグループはグローバルカタログ(GC)に格納されます。つまり、これらのグループに加えられたすべての変更により、企業全体のすべてのグローバルカタログサーバーへのレプリケーションが発生します。 したがって、ユニバーサルグループへの変更は、増加したグローバルカタログレプリケーションの負荷のコストと比較したユニバーサルグループの利点を慎重に検討した後にのみ行う必要があります。組織に単一の適切に接続されたLANしかない場合、広く分散しているサイトは大きな影響を受ける可能性がありますが、パフォーマンスの低下が発生するはずです。通常、WANを使用している組織は、メンバーシップがめったに変更されない比較的静的なグループに対してのみユニバーサルグループを使用する必要があります。

誰もがグローバルカタログにアクセスできる適切に接続された環境では、パフォーマンスへの影響はかなり小さいはずです。

パフォーマンスへの影響は、ログイン時間の増加とリソースのACLの評価時間の増加ifグローバルカタログに到達できない場合、またはサイトとサブネットが正しく構成されていないためにグローバルカタログと通信している場合自分のサイト外のサーバー。また、グローバルカタログのレプリケーションの負荷も増加します。

ただし、あなたがやっていることは、一般に認められているベストプラクティスに反していることをもう一度お知らせする義務があります。

あなたが言ったことのこの部分: "...そして私のツールは適切なセキュリティを単独で監視します。"それも私を怖がらせます。

私はあなたのITコンサルタントの側にいます。彼らは、AD設計に関して一般に受け入れられているベストプラクティスに従うように説得することで、彼らの仕事をしていると思います。

しかし、あなたの質問に対する回答は関係ありません。

8
Ryan Ries

過去にさかのぼると、潜在的なパフォーマンスシナリオの1つは、Windows Server 2003より前はグループメンバーシップのレプリケーションがはるかに悪かったため、Windows Server 2003より前に作成されたレガシーメンバーを持つ古いグループではパフォーマンスが低下する可能性があることです。

Windows Server 2003より前は、グローバル/ユニバーサルグループメンバーシップが変更されるたびに、entireグループメンバー属性が複製されていました。これは、特に多くのメンバーを持つユニバーサルグループで、大規模な分散ディレクトリで深刻なレプリケーションパフォーマンスの影響がありました。したがって、大規模なマルチドメインディレクトリでは、各ドメインのグローバルセキュリティグループをユニバーサルグループに追加するのが一般的でした。これには、メンバーシップのレプリケーションをドメイン自体内に分割する効果がありました。

Windows Server 2003では、Linked Value Replication(LVR)が導入されました。これにより、新しく作成されたグループ、およびレガシーメンバーが変換されたグループの多くの問題が修正されました。変更(メンバーの追加/削除)が発生すると、個々の「リンクされた値」(メンバー)のみが複製されるためです。

別の潜在的な問題は、メンバーの総数でした。 50,000人以上のユーザーがいて、40,000人がセキュリティグループに所属する必要がある場合、グループあたりのメンバー数を5,000未満に制限するのが一般的でした。単一のアトミックなActive Directoryトランザクションで安全にコミットされます。ただし、LVRグループを使用すると、大規模なメンバーシップを持つグループを更新するときにメンバーシップ全体を送信する必要がなくなるため、通常は、そのような多くの更新(追加/削除)を自分で実行しない限り、問題はなくなります。単一トランザクション。

とはいえ、マルチドメインフォレスト内の大規模なグループが、通常はリソースドメインに常駐する単一のユニバーサルセキュリティグループにメンバーとして追加されるドメイン固有のセキュリティグループを持つことは、依然として良い習慣です。そのユニバーサルグループを使用してリソースをACL化するか、ユニバーサルグループをドメインローカルグループに追加するかは、あなた次第です。実際には、ユニバーサルグループ、パフォーマンスなどの使用に関する多くの問題は確認していません。 Microsoftは長い間、すべてのドメインコントローラをグローバルカタログにすることを推奨していたため、グローバルカタログへのアクセスが問題になることはほとんどありません。ドメインローカルグループが存在する前に作成された大きなディレクトリが、グループやドメインローカルグループを使用するための戦略を変換していないことは珍しくありません。

ドメインローカルグループは、グループに追加できるメンバーのタイプとドメイン管理者の裁量による制御のレベルに最大の柔軟性を提供するため、マイクロソフトによって推奨されるいくつかの理由があります。また、グループメンバーシップのレプリケーションを最小限に抑える手段も提供します。

グローバルカタログのレプリケーション
http://technet.Microsoft.com/en-us/library/cc759007%28v=ws.10%29.aspx

「ユニバーサルスコープのグループとそのメンバーは、グローバルカタログにのみリストされます。グローバルまたはドメインローカルスコープのグループもグローバルカタログにリストされますが、メンバーはリストされていません 。これにより、グローバルカタログのサイズが小さくなり、グローバルカタログを最新の状態に保つことに関連するレプリケーショントラフィックが減少します。グローバルまたはドメインローカルスコープのグループを使用して、ネットワークパフォーマンスを向上させることができます。頻繁に変更されるディレクトリオブジェクト。」

また、Active DirectoryのACLオブジェクトにドメインローカルグループを使用しないでください。

「ユーザーがグローバルカタログに接続してオブジェクトにアクセスしようとすると、ユーザーのトークンとオブジェクトのDACLに基づいてアクセスチェックが実行されます。オブジェクトのDACLで指定されている、ドメインのローカルグループ以外のドメインローカルグループのアクセス許可(ユーザーが接続している)グローバルカタログをホストしているドメインコントローラーは、ユーザーがメンバーであるグローバルカタログのドメインからのドメインローカルグループのみがユーザーのアクセストークンで表されるため、無効になります。その結果、ユーザーは、アクセスを許可する必要があるときにアクセスを拒否されるか、アクセスを拒否する必要があるときにアクセスを許可されます。

「ベストプラクティスとして、Active Directoryオブジェクトにアクセス許可を割り当てるときにドメインローカルグループを使用しないようにするか、それらを使用する場合の影響に注意してください。」

2
Greg Askew