Velká čísla ACE ACL negativně ovlivnit výkon služby Directory

Překlady článku Překlady článku
ID článku: 271876 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Výkon Active Directory můžete vážně narušeny zásad řízení přístupu příliš složité. Pro maximální výkon jste měli minimalizovat počet objektů Active Directory, ke kterým můžete přiřadit zvláštní přístup seznamů řízení) a minimalizovat počet položek v seznamu řízení přístupu pro každý objekt.

Pokud dojde k potížím výkonu se službou Active Directory po změně oprávnění nebo pokud plánujete změnit oprávnění Active Directory, použijte následující pokyny k návrhu struktury oprávnění minimalizovat dopad na výkon.

Další informace

ACL objektů adresářové služby povolit řízení přístupu velmi Zrnitá podpora následující funkce řízení přístupu:
  • Vlastnost oprávnění: Číst a zapisovat oprávnění na sady vlastností a jednotlivé vlastnosti objektu.
  • Oprávnění odstranit a vytvořit podřízené: oprávnění vytvářet podřízené a odstraňovat podřízené pro každý typ podřízeného objektu.
  • Rozšířený práva: Oprávnění pro jednotlivé speciální operace, známé souhrnně jako rozšířená práva na objekt
  • Ověřit zápisů: Oprávnění k provedení ověřena zápisy na vlastnosti, které podporují ověřena zápisy (jako například kontrola sémantických hodnotu vynuceno během aktualizace a tak dále).

Ačkoli řízení přístupu složité je někdy nutné k podpoře obchodní zásady zabezpečení, použití řízení přístupu složité výsledkem ACL s velmi velkým počtem položek oprávnění. Ke znázornění, je vytvořena položka jednotlivé oprávnění pro každý následující typy oprávnění:

  • <PropertySetName>Číst nebo zapisovat <PropertySetName>
  • <Název_vlastnosti> Číst nebo zapisovat <název_vlastnosti>
  • Vytvářet objekty <ChildObjectType>nebo odstranit <ChildObjectType>objekty
  • <specificextendedright>
  • Ověřený zápis <validatableproperty>nebo <specificvalidatedoperation>

Náklady v výpočetní prostředky (pevného disku a PROCESORU) provádění kontroly přístupu na objekt je přímo úměrná počtu ACE ACL v objektu. Protože hledání obvykle nutné provádět kontroly přístupu proti počet objektů, celkové náklady přístupu během vyhledávání Kontrola stoupne velmi rychle s číslem ACE na každý objekt prohledány. Když je velmi velký počet ACE, může být nežádoucí úroveň snížen výkon kontroly přístupu.

Druhý méně zřejmé problému dochází u ukládání do mezipaměti. Části databáze Active Directory jsou uloženy do mezipaměti ve fyzické paměti. Při mezipaměti objektů jsou mezipaměti jsou také jejich popisovače zabezpečení. Popisovače zabezpečení na mnoho objektů v databázi jsou velké, budou ukládány do mezipaměti méně objekty a může zhoršení výkonu celkové adresáře z méně přístupů do mezipaměti.

Použijte následující pokyny uvedené v pořadí podle důležitosti, minimalizovat počet položek oprávnění objektu Služba Directory ACL:
  • Umožnit úplný, nikoli jednotlivých oprávnění, pokud záměrem je udělit úplný přístup k objektu.
  • Pokud není nutné jemně odstupňovaných přístup k vlastnostem umožňují zapisovat všechny vlastnosti nebo číst všechny vlastnosti.
  • Povolit přístup ke čtení nebo zápisu do sady vlastností, nikoli jednotlivé vlastnosti, když je vyžadován přístup k podmnožinu všechny vlastnosti.
  • Umožnit vytváření všech podřízených objektů nebo odstraňovat všechny podřízené objekty, pokud není nutné udělit, vytvořit nebo odstranit oprávnění podřízené k dílčí podřízené typy objektů.
  • Povolit vše práv Extended oprávnění, pokud není vyžadován jemně odstupňovaných přístup jednotlivých práv Extended.
  • Povolit všechny ověřené zápisy oprávnění, pokud není vyžadován jemně odstupňovaných přístup jednotlivých ověřené zápisy.
Použít výše doporučení ACE povolit i Odepřít ACE. Pokyny pro vlastnost oprávnění jsou nejčastěji důležité, protože potenciální číslo jednotlivé vlastnosti oprávnění je mnohem větší než potenciální počet podřízených typů objektu Rozšířená práva a ověřit práva.

Další doporučené postupy:
  • Minimalizujte počet dědičná ACE, které se vztahují na podřízené objekty tak, aby nadměrné čísla ACE nejsou rozšířena do celého podstromu objektů.
  • Použijte skupiny delegovat oprávnění prostřednictvím adresáře pomocí ACL. Pokud jedna sada uživatelů potřebuje oprávnění ke čtení a jiné sada uživatelů potřebuje oprávnění změnit, potom vytvořte jednu skupinu pro každou sadu uživatelé a skupiny použít v seznamu ACL. Více globálních skupin potřebovat stejný přístup, vytvořte místní skupinu obsahující globální skupiny a přiřadit oprávnění místní skupiny.

Vlastnosti

ID článku: 271876 - Poslední aktualizace: 4. února 2014 - Revize: 2.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:271876

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com