Grandes n�meros de ACEs na ACL, Access Control List prejudicar o desempenho do servi�o de direct�rio

Artigo: 271876 - Ver produtos para os quais este artigo se aplica.

Ver isen��o de responsabilidades para tradu��o autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Reduzir tudo

Sum�rio

O desempenho do Active Directory pode ser danificado gravemente por uma pol�tica de controlo de acesso demasiado complexa. Para obter o m�ximo desempenho, deve minimizar o n�mero de objectos do Active Directory � qual atribui acesso espec�fico listas de controlo (ACL, Access Control List) e minimizar o n�mero de entradas na lista de controlo de acesso de cada objecto.

Se tiver um problema de desempenho com o Active Directory depois de alterar as permiss�es ou se estiver a planear alterar as permiss�es do Active Directory, utilize as seguintes directrizes para criar a estrutura de permiss�o para minimizar o impacto no desempenho.

Mais Informa��o

ACLs em objectos do servi�o de direct�rio permitem controlo de acesso muito espec�ficas, seguintes funcionalidades de controlo de acesso de suporte:

Permiss�es de propriedade: Ler e escrever permiss�o em conjuntos de propriedades e propriedades individuais de um objecto.
Criar subordinados e eliminar permiss�es: permiss�o Criar subordinados e eliminar subordinado para cada tipo de objecto subordinado.
Direitos expandidos: Permiss�es para opera��es especiais individuais, conhecidas colectivamente como direitos expandido, num objecto
Validar escritas: Permiss�o para efectuar escritas validadas �s propriedades que suportam validado escritas (como, verifica��o valor sem�ntica aplicada durante as actualiza��es e assim sucessivamente).

Apesar do controlo de acesso complexa � por vezes, necess�rios para suportar pol�tica de seguran�a de neg�cio, utiliza��o do controlo de acesso complexa pode resultar na ACL com muito grandes quantidades de entradas de permiss�o. Para ilustrar, � criada uma entrada de permiss�o individual para cada um dos seguintes tipos de permiss�es:

<PropertySetName> de leitura ou escrita <PropertySetName>
<Nomedapropriedade> de leitura ou escrita <nomedapropriedade>
Criar objectos <ChildObjectType> ou eliminar <ChildObjectType> objectos
<specificextendedright>
Escrita validada para <validatableproperty> ou <specificvalidatedoperation>

O custo na inform�tica recursos (o disco r�gido e a CPU) de efectuar uma verifica��o de acesso de um objecto � directamente proporcional ao n�mero de ACEs na ACL nesse objecto. Uma vez que uma procura, normalmente, tem de efectuar verifica��es de acesso contra um n�mero de objectos, o custo total de acesso verifica��o durante uma procura ultrapassa muito rapidamente com o n�mero de ACEs em cada objecto procurado. Quando o n�mero de ACEs � muito grande, o desempenho de verifica��es de acesso pode ser reduzido para um n�vel indesej�vel.

Um problema de segundo, menos �bvio ocorre com Coloca��o em cache. Partes da base de dados do Active Directory s�o colocadas em cache na mem�ria f�sica. Quando os objectos s�o colocados em cache, os respectivos descritores de seguran�a s�o colocados em cache bem. Se os descritores de seguran�a nos muitos objectos na base de dados forem grandes, menos objectos ser�o colocados em cache e desempenho geral do direct�rio pode sofrer como resultado de menos acertos da cache.

Utilize as seguintes directrizes, listadas por ordem de import�ncia, para minimizar o n�mero de entradas de permiss�es num objecto de servi�o de direct�rio ACL, Access Control List:

Permitir controlo total, em vez permiss�es individuais, se a inten��o � conceder acesso completo ao objecto.
Permitir ler todas as propriedades ou escrever todas as propriedades se granularidade acesso �s propriedades n�o � necess�rio.
Permitir a leitura ou acesso de escrita para conjuntos de propriedades em vez de propriedades individuais, quando � necess�rio o acesso a um subconjunto de todas as propriedades.
Permitir criar todos os objectos subordinados ou eliminar todos os objectos subordinados se n�o � necess�rio conceder, criar ou eliminar subordinado permiss�o para um subconjunto do filho tipos de objecto.
Permitir todos os direitos expandidos permiss�o se granularidade acesso direitos expandidos individuais n�o � necess�rio.
Permitir permiss�o validadas todas as escritas se granularidade acesso individuais validadas escrita n�o � necess�rio.

Aplicam as recomenda��es anteriores a ACE negar, bem como permitir ACE. As directrizes associadas com permiss�es de propriedade s�o os mais importantes, porque o n�mero potencial de permiss�es da propriedade individual � muito maior do que o n�mero potencial de tipos de objecto subordinado, direitos expandidos e, validado direitos.

Outros procedimentos recomendados:

Minimize o n�mero do ACE herd�vel que se aplicam a objectos subordinados, para que os n�meros excessivos de ACEs n�o s�o propagados a uma sub�rvore completa de objectos.
Utilize grupos para delegar autoridade sobre o direct�rio utilizando ACL, Access Control List. Se um conjunto de utilizadores tem permiss�es de leitura e outro conjunto de utilizadores tem de alterar as permiss�es, em seguida, criar um grupo para cada conjunto de utilizadores e utilize os grupos na ACL. Se necessitar de v�rios grupos globais o mesmo acesso, criar um grupo local que cont�m os grupos globais e atribua permiss�es ao grupo local.

Propriedades

Artigo: 271876 - �ltima revis�o: quinta-feira, 1 de Mar�o de 2007 - Revis�o: 2.3

A informa��o contida neste artigo aplica-se a:

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 271876

(http://support.microsoft.com/kb/271876/en-us/ )