Quais são as consequências de um grupo do AD que tem como membro um grupo, que já é membro (referências cíclicas)

8

Eu estive olhando para um Active Directory que possui vários milhares de grupos, onde pares de grupos são membros um do outro.

O Grupo A tem o Grupo B como um membro. O Grupo B possui o Grupo A como membro.

Oi. Estou tentando pensar nas possíveis consequências desse agrupamento circular de grupos.

geoffc
fonte

Respostas:

3

Bem, antes de tudo, tenha cuidado para não ter usuários membros de muitos grupos - isso pode fazer com que o token seja muito grande e você acabe com coisas assim:

insira a descrição da imagem aqui

E também os GPOs deixarão de ser processados, scripts de inicialização etc.

Isso não está respondendo diretamente à sua pergunta, mas vários grupos aninhados podem definitivamente agravar esse problema. Não há nada de inerentemente terrível em grupos serem membros um do outro. ou seja, o continuum espaço-tempo não será aberto ... as únicas coisas em que consigo pensar é que você pode confundir alguns aplicativos que fazem uso extensivo de consultas LDAP ... coisas como Exchange etc.

Ryan Ries
fonte
@Sahuagin Acho que o OP, que aceitou esta resposta, leu a frase "Não há nada inerentemente terrível nisso", enquanto talvez você não tenha se incomodado em ler até agora.
Ryan Ries
7

Então, eu não diria que é ruim, mas pode ser. Existem algumas razões, uma delas tem a ver com scripts. O aninhamento circular é essencialmente um "loop infinito" porque os scripts usam muitas funções recursivas. Obviamente, isso causaria um erro no script, etc.

Depois, há a idéia de "simplificação" no AD que o aninhamento circular é inerentemente contrário.

Há um script do powershell na galeria do technet que ajuda a localizar grupos aninhados circulares, você pode encontrá-lo aqui e ajuda na localização de grupos circulares: Localizar grupos aninhados circulares

Dois outros scripts do PowerShell que permitem desenhar grupos aninhados e, assim, ajudar a encontrar o aninhamento circular rapidamente:

  • Gráfico de grupos de segurança AD aninhados por propriedade MemberOf de back-link
  • Gráfico de grupos de segurança aninhados do AD por propriedade do membro

  • Ethabelle
    fonte
    2

    Não há consequências - pelo menos não no que diz respeito ao Active Directory.

    Já vi implantações com essa condição várias vezes; a única coisa que quebra é um código mal escrito que recursivamente enumera grupos. E nesses casos, é uma coisa simples verificar esse tipo de loop no código e ignorar os grupos que você já enumerou, ou apenas limitar a profundidade da recursão.

    Shane Madden
    fonte
    Estou disposto a apostar que você pode sofrer um desempenho gerando tokens / calculando associação ao grupo.
    68568 NotreJ.jpeg