¿Cuáles son las consecuencias de un grupo de AD que tiene como miembro un grupo, que ya es miembro (referencias cíclicas)

8

He estado mirando un Active Directory que tiene varios miles de grupos, donde los pares de grupos son miembros entre sí.

GroupA tiene GroupB como miembro. GroupB tiene GroupA como miembro.

Oy Estoy tratando de pensar en las posibles consecuencias de esta anidación circular de grupos.

active-directory groups geoffc
fuente

Respuestas:

3

En primer lugar, tenga cuidado de no tener usuarios que sean miembros de demasiados grupos; esto puede hacer que su token sea demasiado grande y termine con cosas como esta:

ingrese la descripción de la imagen aquí

Y también los GPO dejarán de procesarse, los scripts de inicio, etc.

Esto no responde directamente a su pregunta, pero un grupo de grupos anidados definitivamente puede exacerbar este problema. No hay nada inherentemente terrible en que los grupos sean miembros unos de otros. es decir, el continuo espacio-tiempo no se abrirá ... lo único en lo que puedo pensar es que podría confundir algunas aplicaciones que hacen un uso extensivo de las consultas LDAP ... cosas como Exchange, etc.

Ryan Ries
fuente
@Sahuagin Creo que el OP, que aceptó esta respuesta, leyó la frase "No hay nada inherentemente terrible al respecto", mientras que tal vez no te molestaste en leer tan lejos.
Ryan Ries
7

Entonces, no diría que es malo, pero puede serlo. Hay algunas razones, una de ellas tiene que ver con las secuencias de comandos. El anidamiento circular es esencialmente un "bucle infinito" porque los scripts usan muchas funciones recursivas. Obviamente, esto provocaría un error de script, etc.

Luego está la idea de 'simplificación' en AD que la anidación circular va inherentemente en contra.

Hay un script de PowerShell en la galería de Technet que ayuda a localizar grupos anidados circulares, puede encontrarlo aquí y le ayudará a localizar grupos circulares: Buscar grupos anidados circulares

Otros dos scripts de PowerShell que permiten dibujar grupos anidados y ayudan a encontrar rápidamente anidamiento circular:

  • Graficar grupos de seguridad de AD anidados por miembro de la propiedad de vínculo de retroceso
  • Graficar grupos de seguridad de AD anidados por propiedad de miembro

    • Ethabelle
    fuente
    2

    No hay consecuencias, al menos no en lo que respecta a Active Directory.

    He visto implementaciones con esta condición varias veces; lo único que rompe es un código mal escrito que enumera recursivamente grupos. Y en esos casos, es algo simple verificar este tipo de bucle en el código e ignorar los grupos que ya ha enumerado, o simplemente limitar la profundidad de recursión.

    Shane Madden
    fuente
    Estoy dispuesto a apostar que podría recibir un golpe de rendimiento generando tokens / calculando la membresía del grupo.
    notbad.jpeg