Apa konsekuensi dari grup AD yang memiliki sebagai anggotanya grup, yang sudah menjadi anggota (referensi Cyclic)

8

Saya telah melihat Direktori Aktif yang memiliki beberapa ribu grup, di mana pasangan grup adalah anggota satu sama lain.

GroupA memiliki GroupB sebagai Anggota. GroupB memiliki GroupA sebagai Anggota.

Oy. Saya mencoba memikirkan kemungkinan konsekuensi dari persatuan kelompok yang melingkar ini.

active-directory groups geoffc
sumber

Jawaban:

3

Pertama-tama, berhati-hatilah karena Anda tidak memiliki pengguna yang menjadi anggota terlalu banyak grup - ini dapat menyebabkan token mereka terlalu besar dan Anda berakhir dengan hal-hal seperti ini:

masukkan deskripsi gambar di sini

Dan juga GPO akan berhenti diproses, skrip startup, dll.

Ini tidak secara langsung menjawab pertanyaan Anda, tetapi sekelompok grup yang bersarang pasti dapat memperburuk masalah ini. Tidak ada yang secara inheren mengerikan tentang kelompok yang menjadi anggota satu sama lain. yaitu kontinum ruang-waktu tidak akan merobek ... satu-satunya hal yang dapat saya pikirkan adalah bahwa Anda mungkin membingungkan beberapa aplikasi yang menggunakan kueri LDAP secara luas ... hal-hal seperti Exchange, dll.

Ryan Ries
sumber
@ Sahuagin Saya pikir OP, yang menerima jawaban ini, membaca ungkapan "Tidak ada yang secara inheren buruk tentang hal itu," padahal mungkin Anda tidak repot-repot membaca sejauh itu.
Ryan Ries
7

Jadi, saya tidak akan mengatakan itu buruk, tapi itu bisa saja. Ada beberapa alasan, salah satunya ada hubungannya dengan scripting. Sarang sirkular pada dasarnya adalah "loop tak terbatas" karena skrip menggunakan banyak fungsi rekursif. Ini jelas akan menyebabkan script salah, dll.

Lalu ada ide 'penyederhanaan' dalam AD yang bersarang melingkar secara inheren bertentangan.

Ada skrip PowerShell di galeri teknik yang membantu menemukan grup bersarang melingkar, Anda dapat menemukannya di sini dan itu akan membantu dalam menemukan grup melingkar: Temukan Grup Bersarang Sirkular

Dua skrip PowerShell lainnya yang memungkinkan untuk menggambar grup bersarang dan membantu menemukan sarang melingkar dengan cepat:

  • Grafik Grup Keamanan AD Bersarang oleh Properti Back-Link MemberOf
  • Grafik Grup Keamanan AD Nested oleh Properti Anggota

    • Etabelle
    sumber
    2

    Tidak ada konsekuensi - setidaknya tidak sejauh menyangkut Direktori Aktif.

    Saya telah melihat penyebaran dengan kondisi ini beberapa kali; satu-satunya hal yang rusak adalah kode yang ditulis dengan buruk yang secara berulang menyebutkan kelompok. Dan dalam kasus tersebut, itu adalah hal yang sederhana untuk memeriksa jenis loop dalam kode ini dan mengabaikan grup yang sudah Anda sebutkan, atau hanya membatasi kedalaman rekursi.

    Shane Madden
    sumber
    Saya berani bertaruh Anda bisa mendapatkan token yang menghasilkan kinerja / menghitung keanggotaan grup.
    notbad.jpeg