Was sind die Konsequenzen einer AD-Gruppe, deren Mitglied eine Gruppe ist, die bereits Mitglied ist (zyklische Referenzen)?

8

Ich habe mir ein Active Directory mit mehreren tausend Gruppen angesehen, in denen Gruppenpaare Mitglieder voneinander sind.

GroupA hat GroupB als Mitglied. GroupB hat GroupA als Mitglied.

Oy. Ich versuche, mögliche Konsequenzen dieser kreisförmigen Verschachtelung von Gruppen zu überdenken.

geoffc
quelle

Antworten:

3

Achten Sie zunächst darauf, dass Sie keine Benutzer haben, die Mitglieder zu vieler Gruppen sind. Dies kann dazu führen, dass ihr Token zu groß ist und Sie am Ende folgende Dinge erhalten:

Geben Sie hier die Bildbeschreibung ein

Außerdem werden Gruppenrichtlinienobjekte nicht mehr verarbeitet, Startskripte usw. werden nicht mehr verarbeitet.

Dies beantwortet Ihre Frage nicht direkt, aber eine Reihe verschachtelter Gruppen kann dieses Problem definitiv verschlimmern. Es ist an sich nichts Schreckliches, wenn Gruppen Mitglieder voneinander sind. dh das Raum-Zeit-Kontinuum wird nicht aufreißen ... das einzige, was ich mir vorstellen kann, ist, dass Sie einige Anwendungen verwirren könnten, die LDAP-Abfragen in großem Umfang nutzen ... Dinge wie Exchange usw.

Ryan Ries
quelle
@Sahuagin Ich denke, das OP, das diese Antwort akzeptierte, las den Satz "Es ist nichts von Natur aus Schreckliches daran", während Sie sich vielleicht nicht die Mühe gemacht haben, so weit zu lesen.
Ryan Ries
7

Also würde ich nicht sagen, dass es schlecht ist, aber es kann sein. Es gibt einige Gründe, einer davon hat mit Skripten zu tun. Die zirkuläre Verschachtelung ist im Wesentlichen eine "Endlosschleife", da Skripte viele rekursive Funktionen verwenden. Dies würde offensichtlich dazu führen, dass ein Skript ausfällt usw.

Dann gibt es die Idee der "Vereinfachung" in AD, gegen die die kreisförmige Verschachtelung von Natur aus verstößt.

In der Technet-Galerie befindet sich ein Powershell-Skript, mit dessen Hilfe kreisförmig verschachtelte Gruppen gefunden werden können. Sie finden es hier und es hilft beim Auffinden kreisförmiger Gruppen: Suchen Sie kreisförmig verschachtelte Gruppen

Zwei weitere PowerShell-Skripts, mit denen verschachtelte Gruppen gezeichnet werden können, um schnell eine kreisförmige Verschachtelung zu finden:

  • Verschachtelte AD-Sicherheitsgruppen nach MemberOf-Backlink-Eigenschaft grafisch darstellen
  • Verschachtelte AD-Sicherheitsgruppen nach Mitgliedseigenschaft grafisch darstellen

  • Ethabelle
    quelle
    2

    Es gibt keine Konsequenzen - zumindest nicht für Active Directory.

    Ich habe mehrmals Bereitstellungen mit dieser Bedingung gesehen. Das einzige, was es bricht, ist schlecht geschriebener Code, der Gruppen rekursiv auflistet. In diesen Fällen ist es einfach, im Code nach dieser Art von Schleife zu suchen und die bereits aufgezählten Gruppen zu ignorieren oder die Rekursionstiefe zu begrenzen.

    Shane Madden
    quelle
    Ich bin bereit zu wetten, dass Sie einen Leistungstreffer erzielen könnten, der Token generiert / die Gruppenmitgliedschaft berechnet.
    notbad.jpeg