Achten Sie zunächst darauf, dass Sie keine Benutzer haben, die Mitglieder zu vieler Gruppen sind. Dies kann dazu führen, dass ihr Token zu groß ist und Sie am Ende folgende Dinge erhalten:
Außerdem werden Gruppenrichtlinienobjekte nicht mehr verarbeitet, Startskripte usw. werden nicht mehr verarbeitet.
Dies beantwortet Ihre Frage nicht direkt, aber eine Reihe verschachtelter Gruppen kann dieses Problem definitiv verschlimmern. Es ist an sich nichts Schreckliches, wenn Gruppen Mitglieder voneinander sind. dh das Raum-Zeit-Kontinuum wird nicht aufreißen ... das einzige, was ich mir vorstellen kann, ist, dass Sie einige Anwendungen verwirren könnten, die LDAP-Abfragen in großem Umfang nutzen ... Dinge wie Exchange usw.
@Sahuagin Ich denke, das OP, das diese Antwort akzeptierte, las den Satz "Es ist nichts von Natur aus Schreckliches daran", während Sie sich vielleicht nicht die Mühe gemacht haben, so weit zu lesen.
Ryan Ries
7
Also würde ich nicht sagen, dass es schlecht ist, aber es kann sein. Es gibt einige Gründe, einer davon hat mit Skripten zu tun. Die zirkuläre Verschachtelung ist im Wesentlichen eine "Endlosschleife", da Skripte viele rekursive Funktionen verwenden. Dies würde offensichtlich dazu führen, dass ein Skript ausfällt usw.
Dann gibt es die Idee der "Vereinfachung" in AD, gegen die die kreisförmige Verschachtelung von Natur aus verstößt.
In der Technet-Galerie befindet sich ein Powershell-Skript, mit dessen Hilfe kreisförmig verschachtelte Gruppen gefunden werden können. Sie finden es hier und es hilft beim Auffinden kreisförmiger Gruppen: Suchen Sie kreisförmig verschachtelte Gruppen
Zwei weitere PowerShell-Skripts, mit denen verschachtelte Gruppen gezeichnet werden können, um schnell eine kreisförmige Verschachtelung zu finden:
Es gibt keine Konsequenzen - zumindest nicht für Active Directory.
Ich habe mehrmals Bereitstellungen mit dieser Bedingung gesehen. Das einzige, was es bricht, ist schlecht geschriebener Code, der Gruppen rekursiv auflistet. In diesen Fällen ist es einfach, im Code nach dieser Art von Schleife zu suchen und die bereits aufgezählten Gruppen zu ignorieren oder die Rekursionstiefe zu begrenzen.
Also würde ich nicht sagen, dass es schlecht ist, aber es kann sein. Es gibt einige Gründe, einer davon hat mit Skripten zu tun. Die zirkuläre Verschachtelung ist im Wesentlichen eine "Endlosschleife", da Skripte viele rekursive Funktionen verwenden. Dies würde offensichtlich dazu führen, dass ein Skript ausfällt usw.
Dann gibt es die Idee der "Vereinfachung" in AD, gegen die die kreisförmige Verschachtelung von Natur aus verstößt.
In der Technet-Galerie befindet sich ein Powershell-Skript, mit dessen Hilfe kreisförmig verschachtelte Gruppen gefunden werden können. Sie finden es hier und es hilft beim Auffinden kreisförmiger Gruppen: Suchen Sie kreisförmig verschachtelte Gruppen
Zwei weitere PowerShell-Skripts, mit denen verschachtelte Gruppen gezeichnet werden können, um schnell eine kreisförmige Verschachtelung zu finden:
quelle
Es gibt keine Konsequenzen - zumindest nicht für Active Directory.
Ich habe mehrmals Bereitstellungen mit dieser Bedingung gesehen. Das einzige, was es bricht, ist schlecht geschriebener Code, der Gruppen rekursiv auflistet. In diesen Fällen ist es einfach, im Code nach dieser Art von Schleife zu suchen und die bereits aufgezählten Gruppen zu ignorieren oder die Rekursionstiefe zu begrenzen.
quelle