Active-Directory
我應該在啟用郵件的安全組中放置多少合理的最大使用者數?
我的公司使用 PowerShell 來管理數千個組的成員。有 SQL 語句和其他“規則”來管理誰應該是給定組的成員。該解決方案並不真正適合創建組,然後將組嵌套在更大的組中……它只是將使用者添加到組中。
這些安全組很少用於保護資源……當我們這樣做時,我們傾向於創建一個組來管理 ACL,然後將啟用郵件的組放入 ACL 組中。
我的問題是:是否存在我真正應該考慮嵌套組而不是直接添加人員的使用者門檻值數量?我們整個公司有< 3000人。
對大多數組織來說不是,而且 3,000 還不足以引起問題。
在 Active Directory 2003 之前,當一個成員被添加到一個組/從一個組中刪除時,整個組的成員資格被重新複製。這太瘋狂了,微軟建議每組不超過 5,000 名成員(見下文)。Active Directory 2003 引入了連結值複製。添加/刪除成員時,僅複製更改。在此之前,在大型多域林中,對全域組進行大多數更改並不罕見,而通用組將所有全域組組合起來用於 ACL 目的,因為全域組成員不會復製到其他域。
此問題可能仍然存在的一種情況是在非常舊的目錄中,在 Active Directory 2003 之前創建的組可能仍具有舊成員。這些可以通過刪除/重新添加成員來修復。
單個 LDAP 事務中的添加/刪除數量有一個實際限制:5,000。這是 Active Directory 可以安全地為單個數據庫事務中的對象送出的更改數量。因此,如果您要添加/刪除 100,000 個成員,最好一次不要超過 5,000 個。