Gran número de ACE en las ACL deteriorar el rendimiento de servicio de directorio

Seleccione idioma Seleccione idioma
Id. de artículo: 271876 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

Resumen

El rendimiento de Active Directory puede resultar afectado gravemente por una directiva de control de acceso demasiado complejo. Para obtener el máximo rendimiento, debería reducir el número de objetos de Active Directory al que se asignan acceso específico listas de control (ACL) y minimizar el número de las entradas de lista de control de acceso cada objeto de.

Si tiene un problema de rendimiento con Active Directory después de cambiar permisos o si piensa cambiar permisos en Active Directory, utilice las siguientes directrices para diseñar la estructura de permisos para minimizar el impacto de rendimiento.

Más información

Las ACL de objetos del servicio de directorio permiten control de acceso muy granular al admitir las características de control de acceso siguiente:
  • Permisos de propiedad: Lectura y escritura permiso en conjuntos de propiedades y propiedades individuales de un objeto.
  • Crear secundarios y eliminar permisos: permiso secundaria crear y eliminar secundarios para cada tipo de objeto secundario.
  • Extended Rights: Permisos para operaciones especiales individuales, conocidos colectivamente como los derechos extendidos, en un objeto
  • Validar escrituras: Permiso para realizar validar escrituras para propiedades que admiten valida escrituras (como valor semántico comprobación impone durante las actualizaciones etc.).

Aunque control de acceso complejas a veces es necesario para admitir la directiva de seguridad empresarial, uso de control de acceso compleja puede provocar ACL con grandes números de entradas de permisos. Para ilustrar, se crea una entrada de permiso individuales para cada uno de los siguientes tipos de permisos:

  • <PropertySetName> de lectura o escritura <PropertySetName>
  • <PropertyName> de lectura o escritura <PropertyName>
  • Crear objetos <ChildObjectType> o eliminar <ChildObjectType> objetos
  • <specificextendedright>
  • Escritura validada en <validatableproperty> o <specificvalidatedoperation>

El costo en los recursos (el disco duro y la CPU) de realizar una comprobación de acceso en un objeto informáticos es directamente proporcional al número de ACE en la ACL en ese objeto. Dado que una búsqueda normalmente debe realizar comprobaciones de acceso con un número de objetos, el costo total de comprobación durante una búsqueda de acceso aumenta rápidamente con el número de ACE en cada objeto buscado. Cuando el número de ACE es muy grande, puede reducir el rendimiento de comprobaciones de acceso a un nivel no deseado.

Un problema menos evidente, segundo se produce con el almacenamiento en caché. Partes de la base de datos Active Directory se almacenan en caché en la memoria física. Cuando se almacenan en caché de objetos, los descriptores de seguridad se así almacenan en caché. Si los descriptores de seguridad en muchos objetos de la base de datos son grandes, se almacenará en caché objetos menos y rendimiento del directorio global verse como consecuencia de menos aciertos de caché.

Utilice las directrices siguientes, enumeradas por orden de importancia, para minimizar el número de entradas de permiso en un objeto de servicio de directorio ACL:
  • Permitir control total en lugar de permisos individuales, si la intención es conceder acceso total al objeto.
  • Permitir leer todas las propiedades o escribir todas las propiedades si específico acceso a propiedades no es necesario.
  • Permitir acceso de lectura o escritura a conjuntos de propiedades en lugar de propiedades individuales, cuando se requiere acceso a un subconjunto de todas las propiedades.
  • Permitir crear todos los objetos secundarios o eliminar todos los objetos secundarios si no hay necesidad de conceder, crear o eliminar el permiso de secundarios a un subconjunto de secundarios tipos de objeto.
  • Permitir todos los derechos extendidos permiso si no se requiere acceso específico a derechos de totales individuales.
  • Permitir validados escribe todos los permisos si no se requiere acceso específico a escrituras de validación individuales.
Las recomendaciones anteriores se aplican a entradas ACE de denegación, así como permitir ACE. Las directrices asociados con permisos son que más importantes, porque el número potencial de permisos de propiedad individual es mucho mayor que el número potencial de tipos de objetos secundarios, derechos extendidos, de propiedad y validan derechos.

Otras prácticas recomendadas:
  • Minimizar el número de las ACE heredables relativas a los objetos secundarios, por lo que números excesiva de ACE no se propaguen a un subárbol completo de objetos.
  • Utilizar grupos para delegar la autoridad sobre el directorio mediante listas ACL. Si un conjunto de usuarios necesita leer permisos y otro conjunto de usuarios necesita cambiar permisos, a continuación, cree un grupo para cada conjunto de usuarios y utilizar los grupos en la ACL. Si varios grupos globales necesitan el mismo acceso, cree un grupo local que contiene los grupos globales y asignar permisos al grupo local.

Propiedades

Id. de artículo: 271876 - Última revisión: jueves, 13 de febrero de 2014 - Versión: 2.3
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 271876

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com