Grandes números de acesso no ACLs prejudicar o desempenho de serviço de diretório

Traduções deste artigo Traduções deste artigo
ID do artigo: 271876 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Expandir tudo | Recolher tudo

Sumário

O desempenho do Active Directory pode ser gravemente prejudicado por uma diretiva de controle acesso excessivamente complexos. Para obter máximo desempenho, você deve minimizar o número de objetos do Active Directory para que você atribuir acesso específico) ACLs (listas de controle e minimizar o número de entradas na lista de controle de acesso de cada objeto.

Se você encontrar um problema de desempenho com o Active Directory depois de alterar permissões ou se você estiver planejando alterar permissões no Active Directory, use as diretrizes a seguir para criar a estrutura de permissão para minimizar o impacto de desempenho.

Mais Informações

ACLs em objetos de serviço de diretório permitem controle de acesso muito granulares, suporte os seguintes recursos de controle de acesso:
  • Propriedade permissões: Leitura e permissão de gravação em conjuntos de propriedades e propriedades individuais de um objeto.
  • Criar filho e excluir permissões: permissão criar filho e excluir filho para cada tipo de objeto filho.
  • Direitos estendidos: Permissões para operações individuais especiais, conhecidas como direitos estendidos, em um objeto
  • Validado gravações: Permissão para executar gravações validadas para propriedades que oferecem suporte a validado gravações (como, verificação de valor semântico imposta durante as atualizações e assim por diante).

Embora o controle de acesso complexas, às vezes, é necessária para oferecer suporte a diretiva de segurança de negócios, uso de controle de acesso complexos pode resultar em ACLs com grande número de entradas de permissão. Para ilustrar, uma entrada de permissão individuais é criada para cada um dos seguintes tipos de permissões:

  • <PropertySetName> ler ou gravar <PropertySetName>
  • <PropertyName> ler ou gravar <PropertyName>
  • Criar objetos <ChildObjectType> ou excluir <ChildObjectType> objetos
  • <specificextendedright>
  • Gravação validada para <validatableproperty> ou <specificvalidatedoperation>

O custo em recursos (o disco rígido e a CPU) de executar uma verificação de acesso em um objeto de computação é diretamente proporcional ao número de ACEs na ACL no objeto. Porque uma pesquisa normalmente deve executar verificações de acesso em um número de objetos, o custo total de verificação durante uma pesquisa de acesso aumenta rapidamente com o número de ACEs em cada objeto pesquisado. Quando o número de ACEs é muito grande, o desempenho de verificações de acesso pode ser reduzido a um nível indesejável.

Um segundo, menos óbvio ocorre com o cache. Partes do banco de dados do Active Directory são armazenados em cache na memória física. Quando objetos são armazenados em cache, os descritores de segurança são armazenadas em cache também. Se os descritores de segurança em vários objetos no banco de dados forem grandes, menos objetos serão armazenados em cache e diretório geral desempenho pode sofrer como resultado de acertos do cache de menos.

Use as diretrizes a seguir, listadas em ordem de importância, para minimizar o número de entradas de permissão em um objeto de serviço de diretório ACL:
  • Permita controle total, em vez de permissões individuais, se a intenção é conceder acesso total ao objeto.
  • Permita ler todas as propriedades ou gravar todas as propriedades se refinadas acesso às propriedades não for necessário.
  • Permitir a leitura ou acesso de gravação aos conjuntos de propriedades em vez de propriedades individuais, quando o acesso a um subconjunto de todas as propriedades é necessário.
  • Permita criar todos os objetos filho ou excluir todos os objetos filho se houver necessidade de conceder, criar ou excluir filho permissão para um subconjunto do filho tipos de objeto.
  • Permita todos os direitos estendidos permissão se refinadas acesso ao direitos estendidos individuais não é necessário.
  • Permita todas as gravações validadas permissão se refinadas acesso ao individuais gravações validadas não é necessário.
As recomendações acima se aplicam a Deny ACEs, bem como permitir ACEs. As diretrizes associadas com permissões de propriedade são mais importantes, porque o número potencial de permissões individual da propriedade é muito maior que o número potencial de tipos de objetos filho, estendido direitos e validado direitos.

Outras práticas recomendadas:
  • Minimize o número de ACEs herdáveis que se aplicam a objetos filho, para que números excessivos de ACEs não são propagados para uma subárvore inteira de objetos.
  • Use grupos para delegar autoridade sobre o diretório usando ACLs. Se um conjunto de usuários precisa de permissões de leitura e outro conjunto de usuários precisa alterar permissões, em seguida, crie um grupo para cada conjunto de usuários e use os grupos na ACL. Se precisarem de vários grupos globais o mesmo acesso, criar um grupo local contendo os grupos globais e atribuir permissões ao grupo local.

Propriedades

ID do artigo: 271876 - Última revisão: segunda-feira, 21 de outubro de 2013 - Revisão: 2.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 271876

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com