Grands nombres d'entrées de contrôle d'accès dans les listes ACL affecter les performances de service d'annuaire

Traductions disponibles Traductions disponibles
Numéro d'article: 271876 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Résumé

Les performances de Active Directory peuvent être sérieusement affectées par une stratégie de contrôle d'accès trop complexe. Pour des performances optimales, vous devez réduire le nombre d'objets Active Directory à laquelle vous attribuez accès spécifique des listes de contrôle et réduire le nombre d'entrées de liste de contrôle d'accès de chaque objet.

Si vous rencontrez un problème de performances avec Active Directory après avoir modifié les autorisations, ou si vous envisagez de modifier les autorisations sur Active Directory, utilisez les instructions suivantes pour concevoir votre structure d'autorisation afin de minimiser l'impact de performances.

Plus d'informations

Listes de contrôle d'accès des objets du service d'annuaire permettent le contrôle d'accès très granulaire en prenant en charge les fonctionnalités de contrôle d'accès suivant :
  • Propriété autorisations : Lecture et l'autorisation écrire sur les jeux de propriétés et les propriétés individuelles d'un objet.
  • Créer des enfants et de supprimer les autorisations : autorisation de créer enfant et supprimer un enfant pour chaque type d'objet enfant.
  • Extended Rights : Autorisations pour des opérations spéciales individuelles, connues collectivement comme Extended Rights, sur un objet
  • Validé les écritures : L'autorisation d'accéder à effectuer validés des écritures pour les propriétés qui prennent en charge validé écritures (par exemple, vérification des valeurs sémantiques prise en compte lors de mises à jour, etc.).

Bien que le contrôle d'accès complexe est parfois nécessaire pour la prise en charge de la stratégie de sécurité d'entreprise, utilisation du contrôle d'accès complexe peut entraîner ACL avec un très grand nombre d'entrées d'autorisation. Pour illustrer, une entrée d'autorisation individuel est créée pour chacune des types suivants d'autorisations :

  • <PropertySetName>De lecture ou écriture <PropertySetName>
  • <PropertyName>De lecture ou écriture <PropertyName>
  • Création d'objets <ChildObjectType>ou supprimer <ChildObjectType>objets
  • <specificextendedright>
  • Écriture validée vers <validatableproperty>ou <specificvalidatedoperation>

Le coût en ressources (le disque dur et l'UC) de l'exécution d'un contrôle d'accès sur un objet informatiques est directement proportionnel au nombre d'ACE dans la liste de contrôle d'accès sur cet objet. Car généralement une recherche doit effectuer des vérifications d'accès par rapport à un certain nombre d'objets, le coût total de contrôle pendant une recherche d'accès augmente très rapidement avec le nombre d'ACE sur chaque objet recherché. Lorsque le nombre d'entrées de contrôle d'accès est très volumineux, les performances de vérifications d'accès peuvent être réduit à un niveau indésirable.

Un problème de second, moins évident se produit avec la mise en cache. Parties de la base de données Active Directory sont mises en cache dans la mémoire physique. Lorsque les objets sont mis en cache, les descripteurs de sécurité sont également mis en cache. Si les descripteurs de sécurité sur de nombreux objets dans la base de données sont volumineuses, moins d'objets sont mis en cache et annuaire global sera sensiblement moins performante en moins de recours au cache.

Utilisez les instructions suivantes, répertoriées par ordre d'importance, pour réduire le nombre d'entrées d'autorisation sur un objet de service d'annuaire ACL :
  • Autorise le contrôle total, au lieu des autorisations individuelles, lorsque vous avez l'intention d'octroyer l'accès complet à l'objet.
  • Autoriser Lire toutes les propriétés ou écrire toutes les propriétés si accès précis aux propriétés n'est pas nécessaire.
  • Autoriser lecture ou écriture aux jeux de propriétés, plutôt que les propriétés individuelles, si l'accès à un sous-ensemble de toutes les propriétés est nécessaire.
  • Autoriser Créer tous les objets enfants ou supprimer tous les objets enfants s'il n'est pas nécessaire pour accorder, créer ou supprimer l'enfant le droit à un sous-ensemble d'enfant types d'objet.
  • Autoriser autorisation tous droits étendus si accès granulaire individuels les droits étendus n'est pas nécessaire.
  • Autoriser autorisation tous les écritures validées si accès précis aux écritures validées individuelles n'est pas nécessaire.
Les recommandations ci-dessus s'appliquent à ACE de refus ainsi que les entrées ACE autorisées. Les instructions associée à propriété autorisations sont que les plus critiques, car le nombre potentiel d'autorisations de la propriété individuelle est beaucoup plus grand que le nombre potentiel de types d'objets enfants, des droits, étendus et validés droits.

Autres meilleures pratiques :
  • Réduisez le nombre d'ACE pouvant être héritées qui s'appliquent aux objets enfants, pour un nombre excessif d'entrées de contrôle d'accès n'est pas propagé à l'intégralité d'une sous-arborescence d'objets.
  • Utiliser des groupes pour déléguer l'autorité sur le répertoire à l'aide de listes de contrôle d'accès. Si un ensemble d'utilisateurs a besoin de lire les autorisations et un autre groupe d'utilisateurs a besoin de modifier les autorisations, puis créer un groupe pour chaque ensemble d'utilisateurs et utiliser les groupes dans la liste de contrôle d'accès. Si plusieurs groupes globaux ont besoin d'un accès même, créez un groupe local contenant les groupes globaux et affecter des autorisations au groupe local.

Propriétés

Numéro d'article: 271876 - Dernière mise à jour: vendredi 14 février 2014 - Version: 2.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 271876
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com