Pertama-tama, berhati-hatilah karena Anda tidak memiliki pengguna yang menjadi anggota terlalu banyak grup - ini dapat menyebabkan token mereka terlalu besar dan Anda berakhir dengan hal-hal seperti ini:
Dan juga GPO akan berhenti diproses, skrip startup, dll.
Ini tidak secara langsung menjawab pertanyaan Anda, tetapi sekelompok grup yang bersarang pasti dapat memperburuk masalah ini. Tidak ada yang secara inheren mengerikan tentang kelompok yang menjadi anggota satu sama lain. yaitu kontinum ruang-waktu tidak akan merobek ... satu-satunya hal yang dapat saya pikirkan adalah bahwa Anda mungkin membingungkan beberapa aplikasi yang menggunakan kueri LDAP secara luas ... hal-hal seperti Exchange, dll.
@ Sahuagin Saya pikir OP, yang menerima jawaban ini, membaca ungkapan "Tidak ada yang secara inheren buruk tentang hal itu," padahal mungkin Anda tidak repot-repot membaca sejauh itu.
Ryan Ries
7
Jadi, saya tidak akan mengatakan itu buruk, tapi itu bisa saja. Ada beberapa alasan, salah satunya ada hubungannya dengan scripting. Sarang sirkular pada dasarnya adalah "loop tak terbatas" karena skrip menggunakan banyak fungsi rekursif. Ini jelas akan menyebabkan script salah, dll.
Lalu ada ide 'penyederhanaan' dalam AD yang bersarang melingkar secara inheren bertentangan.
Ada skrip PowerShell di galeri teknik yang membantu menemukan grup bersarang melingkar, Anda dapat menemukannya di sini dan itu akan membantu dalam menemukan grup melingkar:
Temukan Grup Bersarang Sirkular
Dua skrip PowerShell lainnya yang memungkinkan untuk menggambar grup bersarang dan membantu menemukan sarang melingkar dengan cepat:
Tidak ada konsekuensi - setidaknya tidak sejauh menyangkut Direktori Aktif.
Saya telah melihat penyebaran dengan kondisi ini beberapa kali; satu-satunya hal yang rusak adalah kode yang ditulis dengan buruk yang secara berulang menyebutkan kelompok. Dan dalam kasus tersebut, itu adalah hal yang sederhana untuk memeriksa jenis loop dalam kode ini dan mengabaikan grup yang sudah Anda sebutkan, atau hanya membatasi kedalaman rekursi.
Jadi, saya tidak akan mengatakan itu buruk, tapi itu bisa saja. Ada beberapa alasan, salah satunya ada hubungannya dengan scripting. Sarang sirkular pada dasarnya adalah "loop tak terbatas" karena skrip menggunakan banyak fungsi rekursif. Ini jelas akan menyebabkan script salah, dll.
Lalu ada ide 'penyederhanaan' dalam AD yang bersarang melingkar secara inheren bertentangan.
Ada skrip PowerShell di galeri teknik yang membantu menemukan grup bersarang melingkar, Anda dapat menemukannya di sini dan itu akan membantu dalam menemukan grup melingkar: Temukan Grup Bersarang Sirkular
Dua skrip PowerShell lainnya yang memungkinkan untuk menggambar grup bersarang dan membantu menemukan sarang melingkar dengan cepat:
sumber
Tidak ada konsekuensi - setidaknya tidak sejauh menyangkut Direktori Aktif.
Saya telah melihat penyebaran dengan kondisi ini beberapa kali; satu-satunya hal yang rusak adalah kode yang ditulis dengan buruk yang secara berulang menyebutkan kelompok. Dan dalam kasus tersebut, itu adalah hal yang sederhana untuk memeriksa jenis loop dalam kode ini dan mengabaikan grup yang sudah Anda sebutkan, atau hanya membatasi kedalaman rekursi.
sumber