Große Anzahl der ACEs in ACLs beeinträchtigen Directory Service-Leistung

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 271876 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Alles erweitern | Alles schließen

Zusammenfassung

Die Leistung von Active Directory kann durch eine übermäßig komplexe Zugriff Steuerelement Richtlinie erheblich beeinträchtigt. Für maximale Leistung sollten Sie Minimieren der Anzahl der Active Directory-Objekte, die Sie bestimmte Zugriff Steuerelement Zugriffssteuerungslisten zuweisen, und die Anzahl der Einträge in jedes Objekt Access Control List, minimieren.

Verwenden Sie wenn Sie ein Leistungsproblem mit Active Directory auftritt, nachdem Berechtigungen ändern, oder wenn Sie beabsichtigen, ändern Sie Berechtigungen auf Active Directory, die folgenden Richtlinien zum Entwerfen der Berechtigungsstruktur um die Leistungsauswirkungen zu minimieren.

Weitere Informationen

ACLs für Objekte des Verzeichnisdienstes ermöglichen sehr granuläre Zugriffssteuerung durch die Unterstützung der folgenden Zugriff Steuerelement Features:
  • Eigenschaft Berechtigungen: Lese- und Schreibberechtigung für Property Sets und einzelne Eigenschaften eines Objekts.
  • Untergeordnete erstellen und Löschen von Berechtigungen: untergeordnete erstellen und Löschen von untergeordneten Elementen Berechtigungen für jeder Typ eines untergeordneten Objekts.
  • Erweiterte Rechte: Berechtigungen für einzelne besondere Operationen, die zusammen als erweiterte Berechtigungen für ein Objekt bezeichnet
  • Überprüft Schreibvorgänge: Berechtigung, schreibt überprüft , um Eigenschaften auszuführen, die unterstützen überprüft schreibt (z. B., während Updates usw. Semantikwert Überprüfung erzwungen werden).

Obwohl komplexe Zugriffssteuerung manchmal zur Unterstützung von Business-Sicherheitsrichtlinie erforderlich ist, möglicherweise Verwendung der komplexen Zugriffssteuerung ACLs mit einer sehr großen Anzahl von Berechtigungen führen. Um zu veranschaulichen, wird eine einzelne Berechtigungseintrag für jede der folgenden Arten von Berechtigungen erstellt:

  • <PropertySetName> Lesen oder Schreiben von <PropertySetName>
  • Lesen Sie <eigenschaftenname> oder Schreiben Sie <eigenschaftenname>
  • <ChildObjectType>-Objekte erstellen oder Löschen von <ChildObjectType> Objekte
  • <specificextendedright>
  • Bestätigtes Schreiben an <validatableproperty> oder <specificvalidatedoperation>

Die Kosten im Computerressourcen (die Festplatte und der CPU) der Ausführung einer Zugriffsüberprüfung für ein Objekt ist direkt proportional zu der Anzahl der ACEs in der ZUGRIFFSSTEUERUNGSLISTE für das Objekt. Da eine Suche in der Regel Zugriffsüberprüfungen gegen eine Anzahl von Objekten durchführen muss, übersteigt die Gesamtkosten der Zugriff überprüft während eines Suchvorgangs sehr schnell mit der Anzahl der ACEs für jedes Objekt durchsucht. Wenn die Anzahl der ACEs sehr groß ist, kann die Leistung von Zugriffsüberprüfungen auf eine unerwünschte Ebene reduziert.

Ein zweites, weniger offensichtlich Problem tritt bei Zwischenspeichern. Teile der Active Directory-Datenbank werden im Arbeitsspeicher zwischengespeichert. Wenn Objekte zwischengespeichert werden, werden die Sicherheitsbeschreibungen sowie zwischengespeichert. Wenn die Sicherheitsbeschreibungen für viele Objekte in der Datenbank groß sind, werden weniger Objekte zwischengespeichert und allgemeinen Verzeichnis Leistung kann beeinträchtigt werden als Ergebnis einer weniger Cachetreffer.

Verwenden Sie die folgenden Richtlinien in der Reihenfolge der Wichtigkeit aufgeführt, um die Anzahl der Berechtigungseinträge in einem Active Directory-Objekt ACL zu minimieren:
  • Ermöglichen Sie Vollzugriff, anstatt einzelne Berechtigungen, wenn das beabsichtigt, ist um vollständigen Zugriff auf das Objekt zu gewähren.
  • Lassen Sie alle Eigenschaften lesen oder alle Eigenschaften schreiben, wenn präzise Zugriff auf Eigenschaften nicht erforderlich ist.
  • Ermöglichen Sie Lese- oder Schreibzugriff Eigenschaftensätze, anstatt einzelne Eigenschaften, wenn Zugriff auf eine Teilmenge aller Eigenschaften erforderlich ist.
  • Ermöglichen Sie alle untergeordneten Objekte erstellen oder alle untergeordneten Objekte löschen, wenn keine Notwendigkeit zum Gewähren besteht, erstellen oder löschen Kind auf eine Teilmenge des untergeordneten Elements Objekttypen.
  • Ermöglichen Sie alle erweiterten Rechte Berechtigung, wenn der präzise Zugriff auf die einzelnen erweiterten Rechte nicht erforderlich ist.
  • Lassen Sie alle bestätigten Schreibvorgänge über die Berechtigung, wenn präzise Zugriff auf die einzelnen bestätigten Schreibvorgänge nicht erforderlich ist.
Die oben aufgeführten Empfehlungen gelten für Verweigern-ACEs sowie zulassen-ACEs. Die Richtlinien Berechtigungen besonders wichtig sind, da die potenzielle Anzahl von einzelnen Eigenschaften Berechtigungen viel größer als die mögliche Anzahl der untergeordneten Objekttypen ist Rechte, die erweitert-Eigenschaft zugeordnete und Zugriffsrechte überprüft.

Andere Empfehlungen:
  • Minimieren Sie die Anzahl der vererbbaren ACEs, die auf untergeordnete Objekte anwenden, sodass übermäßige Anzahl von ACEs für eine gesamte Teilstruktur von Objekten nicht weitergegeben werden.
  • Verwenden von Gruppen zum Delegieren der Autorität über das Verzeichnis mithilfe von ACLs. Wenn eine Gruppe von Benutzern Berechtigungen lesen muss und eine andere Gruppe von Benutzern muss Berechtigungen ändern, dann erstellen Sie eine Gruppe für jede Gruppe von Benutzern, und verwenden Sie die Gruppen in der ACL. Wenn mehrere globale Gruppen denselben Zugriff benötigen, erstellen Sie eine lokale Gruppe mit die globalen Gruppen, und weisen Sie der lokalen Gruppe Berechtigungen.

Eigenschaften

Artikel-ID: 271876 - Geändert am: Mittwoch, 12. Februar 2014 - Version: 2.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Keywords: 
kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 271876
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com