2 votos

¿Qué es un razonable número máximo de usuarios que debo poner en un correo electrónico habilitado para grupo de seguridad?

Mi empresa utiliza PowerShell para administrar los miembros de miles de grupos. Hay instrucciones SQL y otras "reglas" que rigen la que debe de ser un miembro de un grupo dado. Esta solución, en realidad no se presta a la creación de grupos y, a continuación, la anidación de los grupos dentro de grupos más grandes... solo agrega usuarios a grupos.

Estos grupos de seguridad rara vez se utilizan para la obtención de recursos... cuando lo hacemos, tendemos a crear un grupo para administrar la lista, a continuación, suelte el grupo con correo habilitado en el grupo ACL.

Mi pregunta es: ¿existe un umbral de número de usuarios donde realmente debería estar pensando en la anidación de grupos, en lugar de añadir directamente a las personas? Tenemos < 3000 personas en toda la empresa.

1voto

Greg Askew Puntos 17236

No para la mayoría de las organizaciones, y de 3.000 no es suficiente para causar problemas.

Antes de Active Directory 2003, cuando un miembro que se ha añadido/borrado de un grupo de todos los miembros del grupo fue re-replica. Esto era una locura y Microsoft recomienda no más de 5,000 miembros por grupo (ver más abajo). Active Directory 2003 introdujo la replicación de valor vinculado. Cuando los miembros se añaden/quitan los cambios se replican. Antes de esto, no era inusual que en las grandes multi-dominio de los bosques para tener la mayoría de los cambios a los grupos Globales, y un grupo Universal de combinar todos los grupos Globales para ACL fines, ya que miembros del grupo Global no se replican en otros dominios.

Un escenario donde este problema puede existir todavía está en muy antiguos directorios, los grupos creados antes de Active Directory 2003 todavía puede tener un legado miembros. Estas pueden ser fijas por quitar/agregar a los miembros.

Hay un límite práctico en el número de agregar/elimina en una sola transacción de LDAP: 5,000. Este es el número de cambios que se Active Directory de forma segura puede cometer un objeto en una sola base de datos de transacciones. Así que, si la adición/eliminación de 100.000 miembros, sería mejor no hacer más de 5.000 en un momento.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc756101(v=ws.10)

1voto

Ivan_Wang Puntos 51

Como Greg Askew mencionado, se recomienda que el número máximo de miembros de un grupo es de 5000 en Windows 2000 AD entornos, y el número permitido de los miembros es superior a 5000 después de aumentar el nivel de función de bosque, de acuerdo a su número de miembro, no será una preocupación para usted. Si desea administrar estos miembros lo mejor, usted podría tratar de usar el anidamiento de grupos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: