Eh bien, tout d'abord, faites attention à ne pas avoir d'utilisateurs qui sont membres de trop de groupes - cela peut entraîner un jeton trop volumineux et vous vous retrouvez avec des choses comme ceci:
Et les GPO cesseront également d'être traités, les scripts de démarrage, etc.
Cela ne répond pas directement à votre question, mais un groupe de groupes imbriqués peut certainement aggraver ce problème. Il n'y a rien de fondamentalement terrible à ce que des groupes soient membres les uns des autres. c'est-à-dire que le continuum espace-temps ne s'ouvrira pas ... la seule chose à laquelle je peux penser est que vous pourriez confondre certaines applications qui utilisent largement les requêtes LDAP ... des choses comme Exchange, etc.
@Sahuagin Je pense que le PO, qui a accepté cette réponse, a lu la phrase "Il n'y a rien de terrible en soi", alors que vous n'avez peut-être pas pris la peine de lire aussi loin.
Ryan Ries
7
Donc, je ne dirais pas que c'est mauvais, mais ça peut l'être. Il y a plusieurs raisons, l'une d'elles a à voir avec les scripts. L'imbrication circulaire est essentiellement une "boucle infinie" car les scripts utilisent beaucoup de fonctions récursives. Cela provoquerait évidemment une erreur de script, etc.
Ensuite, il y a l'idée de «simplification» dans AD qui s'oppose intrinsèquement à la circulaire.
Il existe un script PowerShell sur la galerie Technet qui aide à localiser les groupes imbriqués circulaires, vous pouvez le trouver ici et cela vous aidera à localiser les groupes circulaires:
Rechercher des groupes imbriqués circulaires
Deux autres scripts PowerShell permettant de dessiner des groupes imbriqués et d'aider ainsi à trouver rapidement une imbrication circulaire:
Il n'y a aucune conséquence - du moins pas en ce qui concerne Active Directory.
J'ai vu plusieurs fois des déploiements avec cette condition; la seule chose qu'il casse est un code mal écrit qui énumère récursivement les groupes. Et dans ces cas, il est simple de vérifier ce type de boucle dans le code et d'ignorer les groupes que vous avez déjà énumérés, ou bien simplement de limiter la profondeur de récursivité.
Donc, je ne dirais pas que c'est mauvais, mais ça peut l'être. Il y a plusieurs raisons, l'une d'elles a à voir avec les scripts. L'imbrication circulaire est essentiellement une "boucle infinie" car les scripts utilisent beaucoup de fonctions récursives. Cela provoquerait évidemment une erreur de script, etc.
Ensuite, il y a l'idée de «simplification» dans AD qui s'oppose intrinsèquement à la circulaire.
Il existe un script PowerShell sur la galerie Technet qui aide à localiser les groupes imbriqués circulaires, vous pouvez le trouver ici et cela vous aidera à localiser les groupes circulaires: Rechercher des groupes imbriqués circulaires
Deux autres scripts PowerShell permettant de dessiner des groupes imbriqués et d'aider ainsi à trouver rapidement une imbrication circulaire:
la source
Il n'y a aucune conséquence - du moins pas en ce qui concerne Active Directory.
J'ai vu plusieurs fois des déploiements avec cette condition; la seule chose qu'il casse est un code mal écrit qui énumère récursivement les groupes. Et dans ces cas, il est simple de vérifier ce type de boucle dans le code et d'ignorer les groupes que vous avez déjà énumérés, ou bien simplement de limiter la profondeur de récursivité.
la source