Limite prático em grupos na DA?

Navegue suas respostas
5

Nossa empresa está tentando repensar nossa abordagem de gerenciamento de permissões entre funcionários para acesso a arquivos de projeto em nosso domínio. Estamos pensando em criar um novo Grupo do AD para cada projeto de escritório e, em seguida, adicionar usuários aos grupos à medida que os funcionários trabalham nos projetos. (No momento, as contas de usuário são adicionadas ou removidas individualmente das pastas de projetos relevantes por um script quando elas entram ou saem de um projeto.)

A preocupação é que tenhamos ~ 300 novos projetos por ano, então potencialmente haveria milhares desses grupos. Além disso, os usuários podem trabalhar em muitos projetos ao longo dos anos, de modo que cada usuário seria potencialmente um membro de centenas de grupos.

Algum desses números é uma preocupação? Não queremos criar uma situação que faça com que o controlador de domínio sofra dificuldades ou aumente os limites do AD.

    
por Hank 11.12.2012 / 15:42

2 respostas

8

Você não define realmente a sua topologia de replicação, que pode ser usada aqui. Supondo que você tenha um único site com todos os DCs na mesma LAN, a replicação não será o seu problema. Simplesmente ter milhares de grupos normalmente não é um problema, a menos que você tenha restrições severas à replicação (como você faz em todo o país com duas latas de sopa e um pedaço de corda).

O problema que você pode enfrentar é que o token de acesso de um usuário pode conter apenas 1024 SIDs. Uma vez que o usuário é um membro de aproximadamente 1000 grupos, alguns SIDs não podem ser adicionados ao token, o que causará uma falha de acesso ao tentar usar um recurso que exija esse token.

Em resumo, se você tiver um usuário como membro de 1.000 grupos, terá problemas. Se não, você está bem.

Este artigo da TechNet aborda o problema muito bem e este Microsoft documento explica em profundidade (aviso: link direto do documento do word).

    
por 11.12.2012 / 15:52
1

Depende de como você planeja escalar.

Primeiro, você deve usar grupos aninhados e uma abordagem RBAC .

Para dimensionamento, você precisará de outros controladores de domínio para obter a carga do principal. Você precisará projetar o aplicativo para poder fazer failover para os serviços DNS, LDAP e Kerberos. Talvez seja necessário dividir sua estrutura em diferentes UOs. Isso ajudará você a delegar e ter menos objetos em uma unidade organizacional.

Antes de fazer grandes alterações, pesquise a configuração atual em um ambiente de teste e faça testes de carga com base nas consultas atuais (crie uma linha de base). Em seguida, faça as alterações no ambiente de teste e faça o teste de carga novamente e assuma um número maior de solicitações.

    
por 11.12.2012 / 15:53

Tags

Qual é a diferença entre keepalived e corosync, outros? Como monitorar o backlog do DFSR com mais eficiência do que o dfsrdiag