我们公司正在尝试重新考虑管理员工访问我们域中的项目文件的权限的方法。我们正在考虑为每个办公项目创建一个新的 AD 组,然后在员工处理项目时将用户添加到组中。(目前,当用户加入或离开项目时,脚本会单独将用户帐户添加到相关项目文件夹中或从中删除。)
令人担忧的是,我们每年有大约 300 个新项目,因此可能会有数千个这样的群组。此外,用户多年来可能参与过许多项目,因此每个用户都可能是数百个群组的成员。
这些数字值得担心吗?我们不想造成域控制器陷入困境或超出 AD 极限的情况。
答案1
您实际上并没有定义复制拓扑,这可能会在这里发挥作用。假设您有一个站点,所有 DC 都在同一个 LAN 中,那么复制就不是您的问题。通常,拥有数千个组不是问题,除非您对复制有严格的限制(例如,您在全国范围内通过两个汤罐和一根绳子进行复制)。
您可能面临的问题是,用户的访问令牌只能包含 1024 个 SID。一旦用户成为大约 1000 个组的成员,某些 SID 就无法添加到令牌中,这将导致在尝试使用需要该令牌的资源时访问失败。
简而言之,如果你的用户是 1,000 个群组的成员,那你就有问题了。如果没有,那就没问题了。
这篇 TechNet 文章很好地解决了这个问题和微软的这份文档对此进行了深入解释(警告:word 文档直接链接)。
答案2
这取决于您计划如何扩展。
首先,你应该使用嵌套组和RBAC方法。
为了扩展,您需要其他域控制器来分担主域控制器的负载。您需要设计应用程序以便能够为 DNS、LDAP、Kerberos 服务进行故障转移。您可能需要将结构拆分到不同的 OU 中。这将帮助您委派并减少 OU 中的对象。
在进行重大更改之前,请搜索,尝试在测试环境中重现当前设置,并根据当前查询进行负载测试(制定基线)。然后在测试环境中进行更改,再次进行负载测试,并假设请求数量更多。