ACL に ACE の大きな番号にディレクトリ サービスのパフォーマンスが損なわ

文書翻訳 文書翻訳
文書番号: 271876 - 対象製品
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

概要

Active Directory のパフォーマンスは、過度に複雑なアクセス制御ポリシーで深刻な視覚されることができます。 最高のパフォーマンスを割り当てる特定のアクセス制御リスト (ACL)、Active Directory オブジェクトの数、最小限に抑える、各オブジェクトのアクセス制御リスト内のエントリの数、最小限に抑えるください。

アクセス許可を変更した後に Active Directory とパフォーマンス問題が発生する場合、または Active Directory アクセス許可を変更を計画している場合には、次のガイドラインをパフォーマンスへの影響を最小限に抑えるには、アクセス許可構造を設計するのに使用します。

詳細

ディレクトリ サービス オブジェクトの ACL は、次のアクセス制御機能をサポートし非常にきめ細かなアクセス制御を許可します。
  • プロパティのアクセス許可: 読み取りおよび"プロパティ セットと、オブジェクトの個々 のプロパティにアクセス許可を作成します。
  • 子の作成と削除のアクセス許可: 子オブジェクトの種類ごとの子の作成と子の削除のアクセス許可。
  • 拡張権利をまとめて既知のオブジェクトに対して、個々 の特別な操作の拡張権利: アクセス許可
  • (など、更新、およびなど中に強制意味論的な値をチェック) 書き込みの検証をサポートするプロパティへ の書き込みを検証 を実行するアクセス許可書き込み: 検証します。

複雑なアクセス制御がビジネスのセキュリティ ポリシーをサポートする必須が複雑なアクセス制御の使用可能性非常に多数のアクセス許可エントリの ACL があります。 具体的に説明するため、個別のアクセス許可エントリが、次のアクセス許可の種類の各作成されます。

  • <PropertySetName> の読み取りまたは書き込み <PropertySetName>
  • <PropertyName> の読み取りまたは書き込み <PropertyName>
  • <ChildObjectType> オブジェクトを作成または <ChildObjectType> を削除するオブジェクト
  • <specificextendedright>
  • <validatableproperty> に検証された書き込みまたは <specificvalidatedoperation>

コンピューティング リソース (ハード_ディスクと、CPU) のオブジェクトに対するアクセス チェックを実行中は、 コスト は、そのオブジェクトの ACL に ACE の数に正比例します。 検索は、一連のオブジェクトに対してアクセス チェック通常実行する必要があります、ため、アクセス、検索時にチェックの総コストが非常に高速 ACE の数を持つ検索の各オブジェクト。 ACE の数が非常に大きい場合、望ましくないレベルにアクセス チェックのパフォーマンスを低下する可能性があります。

2 番目、あまり明らかな問題は、キャッシュで発生します。 Active Directory データベースの部分は、物理メモリにキャッシュされます。 オブジェクトはキャッシュされると、セキュリティ記述子はもキャッシュされます。 データベース内の多くのオブジェクトのセキュリティ記述子が大きい場合少ないオブジェクトはキャッシュされ、全体的なディレクトリ パフォーマンスの低下少数のキャッシュ ヒットの結果としてを使用することがあります。

ディレクトリ サービス オブジェクトの ACL アクセス許可エントリの数を最小限に抑えるには、重要度] の順に、次のガイドラインを使用します。
  • 目的は、オブジェクトへのフル アクセスを許可する場合は、個々 のアクセス許可ではなくフル コントロールは、[許可します。
  • 必要でないプロパティへの細分化されたアクセスすべてのプロパティの読み取りまたはすべてのプロパティの書き込みにより。
  • 読み取りまたは個々 のプロパティ] ではなくプロパティのセットへの書き込みアクセスを許可するすべてのプロパティのサブセットへのアクセスが必要な場合。
  • すべての子オブジェクトの作成] または [すべての子オブジェクトの削除場合許可を与える、作成、または子のサブセットに子の許可を削除する必要はありませんオブジェクトの種類。
  • すべての拡張権利アクセス許可により、拡張権利を個々 に詳細なアクセスは必要ありません。
  • すべての検証された書き込みのアクセス許可により、個々 の検証された書き込みへの細分化されたアクセスは必要ありません。
許可する ACE と同様に拒否 ACE に、上記の推奨事項を適用します。 プロパティのアクセス許可に関連付けられたガイドラインは、最も重要な潜在的な子オブジェクトの種類、数、権限を拡張し、権限の検証個々 のプロパティのアクセス許可の潜在的な番号がよりも非常に大きいため、します。

その他のベスト プラクティス:
  • 子オブジェクトに適用される継承可能な ACE の数を最小限に ACE の過剰な数がオブジェクトのサブツリー全体に伝達されないようにします。
  • グループを使用上のディレクトリの ACL を使用して権限を委任します。 1 組のユーザーの読み取りの権限が必要で、別の一連のユーザーが必要な権限を変更作成、ユーザーのセットごとに 1 グループし、ACL 内のグループを使用します。 複数のグローバル グループが同じアクセス権に場合、ローカル、グローバル グループを含むグループを作成し、ローカル グループにアクセス許可を割り当てます。

プロパティ

文書番号: 271876 - 最終更新日: 2014年2月12日 - リビジョン: 2.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbnosurvey kbarchive kbinfo kbactivedirectoryrepl kbmt KB271876 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:271876
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com