Каковы последствия группы AD, которая имеет в качестве члена группу, которая уже является членом (циклические ссылки)

8

Я смотрел на Active Directory, которая имеет несколько тысяч групп, где пары групп являются членами друг друга.

GroupA имеет GroupB в качестве члена. GroupB имеет GroupA в качестве члена.

Oy. Я пытаюсь обдумать возможные последствия этого кругового вложения групп.

active-directory groups geoffc
источник

Ответы:

3

Ну, во-первых, будьте осторожны, что у вас нет пользователей, которые являются членами слишком большого количества групп - это может привести к тому, что их токен будет слишком большим, и вы в конечном итоге получите такие вещи:

введите описание изображения здесь

А также перестанут обрабатываться объекты групповой политики, сценарии запуска и т. Д.

Это не дает прямого ответа на ваш вопрос, но группа вложенных групп может определенно усугубить эту проблему. Нет ничего страшного в том, что группы являются членами друг друга. т. е. пространственно-временной континуум не разорвется ... единственное, о чем я могу думать, это то, что вы можете спутать некоторые приложения, которые широко используют запросы LDAP ... такие вещи, как Exchange и т. д.

Райан Райс
источник
@Sahuagin Я думаю, что ОП, который принял этот ответ, прочитал фразу «В этом нет ничего страшного по своей сути», тогда как, возможно, вы не удосужились прочитать это далеко.
Райан Райс
7

Так что я бы не сказал, что это плохо, но это может быть. Есть несколько причин, одна из которых связана со сценариями. Циклическое вложение - это, по сути, «бесконечный цикл», потому что скрипты используют много рекурсивных функций. Это, очевидно, приведет к ошибке сценария и т. Д.

Тогда есть идея «упрощения» в AD, что круговое вложение по своей сути противоречит.

В галерее technet есть скрипт powershell, который помогает найти круговые вложенные группы, вы можете найти его здесь, и он поможет найти круговые группы: Найти круговые вложенные группы

Два других скрипта PowerShell, позволяющие рисовать вложенные группы и помогающих быстро находить циклические вложения:

  • Вложенные в граф AD группы безопасности по свойству обратной ссылки MemberOf
  • Вложенные в граф AD группы безопасности по свойствам элементов

    • Ethabelle
    источник
    2

    Никаких последствий - по крайней мере, в том, что касается Active Directory.

    Я видел развертывания с этим условием несколько раз; единственное, что он нарушает, - это плохо написанный код, который рекурсивно перечисляет группы. И в этих случаях очень просто проверить такой цикл в коде и игнорировать группы, которые вы уже перечислили, или просто ограничить глубину рекурсии.

    Шейн Мэдден
    источник
    Я готов поспорить, что вы можете получить производительность, генерирующую токены / вычисляющую членство в группе.
    notbad.jpeg