Quelles sont les conséquences d'un groupe AD qui a pour membre un groupe, qui est déjà membre (références cycliques)

8

J'ai regardé un Active Directory qui a plusieurs milliers de groupes, où des paires de groupes sont membres les uns des autres.

GroupA a GroupB comme membre. GroupB a GroupA comme membre.

Oy. J'essaie de réfléchir aux conséquences possibles de cette imbrication circulaire de groupes.

active-directory groups geoffc
la source

Réponses:

3

Eh bien, tout d'abord, faites attention à ne pas avoir d'utilisateurs qui sont membres de trop de groupes - cela peut entraîner un jeton trop volumineux et vous vous retrouvez avec des choses comme ceci:

entrez la description de l'image ici

Et les GPO cesseront également d'être traités, les scripts de démarrage, etc.

Cela ne répond pas directement à votre question, mais un groupe de groupes imbriqués peut certainement aggraver ce problème. Il n'y a rien de fondamentalement terrible à ce que des groupes soient membres les uns des autres. c'est-à-dire que le continuum espace-temps ne s'ouvrira pas ... la seule chose à laquelle je peux penser est que vous pourriez confondre certaines applications qui utilisent largement les requêtes LDAP ... des choses comme Exchange, etc.

Ryan Ries
la source
@Sahuagin Je pense que le PO, qui a accepté cette réponse, a lu la phrase "Il n'y a rien de terrible en soi", alors que vous n'avez peut-être pas pris la peine de lire aussi loin.
Ryan Ries
7

Donc, je ne dirais pas que c'est mauvais, mais ça peut l'être. Il y a plusieurs raisons, l'une d'elles a à voir avec les scripts. L'imbrication circulaire est essentiellement une "boucle infinie" car les scripts utilisent beaucoup de fonctions récursives. Cela provoquerait évidemment une erreur de script, etc.

Ensuite, il y a l'idée de «simplification» dans AD qui s'oppose intrinsèquement à la circulaire.

Il existe un script PowerShell sur la galerie Technet qui aide à localiser les groupes imbriqués circulaires, vous pouvez le trouver ici et cela vous aidera à localiser les groupes circulaires: Rechercher des groupes imbriqués circulaires

Deux autres scripts PowerShell permettant de dessiner des groupes imbriqués et d'aider ainsi à trouver rapidement une imbrication circulaire:

  • Graphique des groupes de sécurité AD imbriqués par propriété de lien arrière MemberOf
  • Graphique des groupes de sécurité AD imbriqués par propriété de membre

    • Ethabelle
    la source
    2

    Il n'y a aucune conséquence - du moins pas en ce qui concerne Active Directory.

    J'ai vu plusieurs fois des déploiements avec cette condition; la seule chose qu'il casse est un code mal écrit qui énumère récursivement les groupes. Et dans ces cas, il est simple de vérifier ce type de boucle dans le code et d'ignorer les groupes que vous avez déjà énumérés, ou bien simplement de limiter la profondeur de récursivité.

    Shane Madden
    la source
    Je suis prêt à parier que vous pourriez prendre un coup de performance en générant des jetons / en calculant l'appartenance au groupe.
    notbad.jpeg le