Numero elevato di voci ACE nell'ACL compromettere prestazioni servizio di directory

Identificativo articolo: 271876 - Visualizza i prodotti a cui si riferisce l?articolo.
Traduzione automatica articoliAttenzione: Questo è un articolo tradotto in automatico.
Espandi tutto | Chiudi tutto

Sommario

Le prestazioni di Active Directory possono essere compromesse seriamente mediante un criterio di controllo accesso eccessivamente complessa. Per ottenere prestazioni ottimali, è necessario ridurre al minimo il numero di oggetti di Active Directory a cui assegnare accesso specifici elenchi di controllo e ridurre il numero di voci nell'elenco di controllo di accesso ogni oggetto.

Se si verifica un problema di prestazioni con Active Directory dopo la modifica autorizzazioni o se si intende modificare autorizzazioni su Active Directory, è possibile utilizzare le linee guida riportate di seguito per progettare la struttura di autorizzazione per ridurre l'impatto sulle prestazioni.

Informazioni

Gli ACL di oggetti del servizio directory consentono controllo di accesso molto granulare supportando le funzioni di controllo di accesso ai seguenti:
  • Autorizzazioni di proprietà: Lettura e dell'autorizzazione di scrittura in insiemi di proprietà e singole proprietà dell'oggetto.
  • Crea figlio e autorizzazioni di eliminazione: autorizzazione Create Child e Delete Child per ogni tipo di oggetto figlio.
  • Extended Rights: Autorizzazioni per singole operazioni speciali, note come autorizzazioni estese, su un oggetto
  • Convalidare scritture: Autorizzazioni per l'esecuzione convalidato scrive le proprietà che supportano convalidato scritture (ad esempio, controllo del valore semantico applicato durante gli aggiornamenti e così via).

Sebbene controllo di accesso complessi talvolta sia necessaria per supportare i criteri di protezione aziendali, utilizzo di controllo di accesso complesse potrebbero ACL con un numero molto elevato di voci di autorizzazione. Per illustrare, viene creata una voce di singole autorizzazioni per ciascuno dei seguenti tipi di autorizzazioni:

  • Lettura <PropertySetName> o scrittura <PropertySetName>
  • Lettura <nomeproprietà> o scrittura <nomeproprietà>
  • Creazione di oggetti <ChildObjectType> o Elimina <ChildObjectType> oggetti
  • <specificextendedright>
  • Scrittura convalidata su <validatableproperty> o <specificvalidatedoperation>

Il costo in risorse (disco rigido e la CPU) di eseguire un controllo di accesso su un oggetto è direttamente proporzionale al numero di ACE nell'ACL su tale oggetto. Poiché una ricerca in genere necessario eseguire controlli di accesso con un numero di oggetti, il costo totale di controllo durante una ricerca raggiunge rapidamente con il numero di voci ACE per ogni oggetto cui la ricerca. Quando il numero di voci ACE è molto grande, le prestazioni dei controlli di accesso potrebbero ridursi a un livello indesiderato.

Un problema di secondo, meno ovvio si verifica con la memorizzazione nella cache. Parti del database di Active Directory vengono memorizzate nella cache nella memoria fisica. Quando si sono memorizzati nella cache gli oggetti, i descrittori di protezione vengono memorizzati anche. Se i descrittori di protezione per molti oggetti nel database sono grandi, meno gli oggetti verranno memorizzati nella cache e le prestazioni complessive directory potrebbero risentirne come risultato di riscontri nella cache un numero inferiore.

Utilizzare la seguenti indicazioni, elencate in ordine di importanza, per ridurre al minimo il numero di voci di autorizzazione su un oggetto servizio di directory ACL:
  • Consentire complete, anziché autorizzazioni singole, se lo scopo consiste nel concedere accesso completo all'oggetto.
  • Consentire Leggi tutte le proprietà o Scrivi tutte le proprietà se specifico accesso alle proprietà non è necessario.
  • Consentire lettura o accesso in scrittura a insiemi di proprietà anziché a singole proprietà, quando è necessario accedere a un sottoinsieme di tutte le proprietà.
  • Consentire Crea tutti gli oggetti figli o Elimina tutti gli oggetti figlio, se non è necessario per concedere, creare o eliminare l'autorizzazione di figlio a un sottoinsieme del figlio i tipi di oggetto.
  • Autorizzazione tutti i diritti estesi se l'accesso specifica per singole autorizzazioni estese non è obbligatorio.
  • Consentire tutte le scritture convalidate autorizzazione se non è necessario specifici di accedere a singole scritture convalidate.
Le operazioni sopra consigliate applicare a voci Deny ACE, nonché consentire ACE. Le linee guida associato alla proprietà autorizzazioni sono che più importanti, poiché il numero potenziale di proprietà di singole autorizzazioni è molto maggiore del numero potenziale di tipi di oggetto figlio, autorizzazioni estese, e convalidati i diritti.

Altre procedure consigliate:
  • Ridurre il numero di voci ACE ereditabili propagate agli oggetti figlio, in modo che il numero eccessivo di voci ACE non viene propagati a un'intera sottostruttura di oggetti.
  • Utilizzare gruppi per delegare l'autorità alla directory utilizzando ACL. Se un insieme di utenti è necessario leggere autorizzazioni e un altro insieme di utenti è necessario modificare autorizzazioni, quindi creare un gruppo per ogni insieme di utenti e utilizzare i gruppi nell'elenco ACL. Se più gruppi globali è necessario lo stesso tipo di accesso, creare un gruppo locale contenente i gruppi globali e assegnare autorizzazioni al gruppo locale.

Proprietà

Identificativo articolo: 271876 - Ultima modifica: giovedì 1 marzo 2007 - Revisione: 2.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi: 
kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 271876
(http://support.microsoft.com/kb/271876/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio