Bem, antes de tudo, tenha cuidado para não ter usuários membros de muitos grupos - isso pode fazer com que o token seja muito grande e você acabe com coisas assim:
E também os GPOs deixarão de ser processados, scripts de inicialização etc.
Isso não está respondendo diretamente à sua pergunta, mas vários grupos aninhados podem definitivamente agravar esse problema. Não há nada de inerentemente terrível em grupos serem membros um do outro. ou seja, o continuum espaço-tempo não será aberto ... as únicas coisas em que consigo pensar é que você pode confundir alguns aplicativos que fazem uso extensivo de consultas LDAP ... coisas como Exchange etc.
@Sahuagin Acho que o OP, que aceitou esta resposta, leu a frase "Não há nada inerentemente terrível nisso", enquanto talvez você não tenha se incomodado em ler até agora.
Ryan Ries
7
Então, eu não diria que é ruim, mas pode ser. Existem algumas razões, uma delas tem a ver com scripts. O aninhamento circular é essencialmente um "loop infinito" porque os scripts usam muitas funções recursivas. Obviamente, isso causaria um erro no script, etc.
Depois, há a idéia de "simplificação" no AD que o aninhamento circular é inerentemente contrário.
Há um script do powershell na galeria do technet que ajuda a localizar grupos aninhados circulares, você pode encontrá-lo aqui e ajuda na localização de grupos circulares:
Localizar grupos aninhados circulares
Dois outros scripts do PowerShell que permitem desenhar grupos aninhados e, assim, ajudar a encontrar o aninhamento circular rapidamente:
Não há consequências - pelo menos não no que diz respeito ao Active Directory.
Já vi implantações com essa condição várias vezes; a única coisa que quebra é um código mal escrito que recursivamente enumera grupos. E nesses casos, é uma coisa simples verificar esse tipo de loop no código e ignorar os grupos que você já enumerou, ou apenas limitar a profundidade da recursão.
Então, eu não diria que é ruim, mas pode ser. Existem algumas razões, uma delas tem a ver com scripts. O aninhamento circular é essencialmente um "loop infinito" porque os scripts usam muitas funções recursivas. Obviamente, isso causaria um erro no script, etc.
Depois, há a idéia de "simplificação" no AD que o aninhamento circular é inerentemente contrário.
Há um script do powershell na galeria do technet que ajuda a localizar grupos aninhados circulares, você pode encontrá-lo aqui e ajuda na localização de grupos circulares: Localizar grupos aninhados circulares
Dois outros scripts do PowerShell que permitem desenhar grupos aninhados e, assim, ajudar a encontrar o aninhamento circular rapidamente:
fonte
Não há consequências - pelo menos não no que diz respeito ao Active Directory.
Já vi implantações com essa condição várias vezes; a única coisa que quebra é um código mal escrito que recursivamente enumera grupos. E nesses casos, é uma coisa simples verificar esse tipo de loop no código e ignorar os grupos que você já enumerou, ou apenas limitar a profundidade da recursão.
fonte