ACL içindeki ACE'ler, büyük sayılar dizin hizmeti performans kısıtlayabilir.

Makale çevirileri Makale çevirileri
Makale numarası: 271876 - Bu makalenin geçerli olduğu ürünleri görün.
Bu makale arşivlenmiştir. "Olduğu gibi" sunulmaktadır ve bundan sonra güncelleştirilmeyecektir.
Hepsini aç | Hepsini kapa

Özet

Active Directory'nin performansı bir çok fazla karmaşık erişim denetimi ilkesi tarafından ciddi bir şekilde görme. En yüksek performans için belirli bir erişim denetim listelerini (ACL) atadığınız Active Directory nesnelerinin sayısını en aza indirmek ve gerekir her nesnenin erişim denetimi listesinde (ingilizce) girdilerinin sayısını en aza.

Izinleri değiştirdikten sonra Active Directory ile ilgili bir performans sorunla karşılaşırsanız veya Active Directory izinleri değiştirmek planlıyorsanız, performans etkisini en aza indirmek için izni yapınızı tasarlamak için aşağıdaki yönergeleri kullanın.

Daha fazla bilgi

Dizin hizmeti nesnelerini ACL'lerin aşağıdaki erişim denetim özellikleri destekleyerek, çok parçalı bir erişim denetimi ver:
  • Özellik izinleri: Okuma ve özellik kümeleri ve nesne özelliklerini tek tek izin yaz.
  • Alt oluştur ve Sil izinleri: her alt nesne türü için alt oluştur ve alt Sil izni.
  • Genişletilmiş hak: Bir nesne üzerinde hakları genişletilmiş, toplu olarak bilinen özel tek tek operasyonlar izinler
  • Yazma doğrulandı: (anlambilim değeri denetimi güncelleştirmeleri vb. sırasında Zorlanmış gibi) yazma destekleyen özelliklere doğrulanmış yazma işlemleri gerçekleştirme izni doğrulandı.

Karmaşık bir erişim denetimi iş güvenlik ilkesi desteklemek için bazen gereklidir, ancak karmaşık erişim denetimi kullanımını ACL çok sayıda izin girdilerini ile sonuçlanabilir. Bir tek tek izin girişi göstermek için <a0></a0>, her izinleri aşağıdaki türlerde oluşturulur:

  • <PropertySetName>Okunamıyor veya <PropertySetName>Yaz
  • <PropertyName>Okunamıyor veya <PropertyName>Yaz
  • <ChildObjectType>Nesneleri oluşturmak veya <ChildObjectType>Sil nesneleri
  • <specificextendedright>
  • Doğrulanmış yazma <validatableproperty>veya <specificvalidatedoperation>

Bir nesne üzerinde erişim denetimi gerçekleştirme kaynakları (CPU ve sabit disk) bilgisayar, Maliyet, ACE'leri Nesne ACL'SINI içinde sayısı doğrudan orantılıdır. Arama karşı çok sayıda nesne erişimi denetimini genellikle gerçekleştirmeniz gerekir, çünkü arama sırasında denetleme erişim toplam maliyetini ACE'ler sayısıyla aradı, her nesne üzerinde çok hızlı bir şekilde artar. ACE'leri sayısı çok büyük olduğunda, erişim denetimleri, performans, istenmeyen bir düzeye azalabilir.

Önbelleğe alma ile ikinci, daha az belirgin bir sorun oluşur. Active Directory veritabanının bölümlerini, fiziksel bellekte önbelleğe alınır. Nesneleri önbelleğe alınıp alınmayacağını, bunların güvenlik tanımlayıcılarını de önbelleğe alınır. Veritabanında çok sayıda nesne üzerinde güvenlik tanımlayıcıları büyük, daha az sayıda nesne önbelleğe, ve genel dizin performans nedeniyle daha az Önbellek isabet düşebilir.

Dizin hizmeti nesnesi ACL üzerinde izin girdilerinin sayısını en aza indirmek için önem derecelerine göre listelenen aşağıdaki yönergeleri kullanın:
  • Amaç, nesne için tam erişim vermek için ise, tek tek izinler yerine, tam denetim sağlar.
  • Hassas özelliklerine erişimi gerekli değilse, tüm özellikleri okuma veya yazma, tüm özellikleri sağlar.
  • Tüm özelliklerin bir altkümesine erişimi gerekli olduğunda, okuma veya yazma erişimi için tek tek özellikler yerine özellik kümesi sağlar.
  • Alt alt alt izin vermek, oluşturuyor veya gerek varsa, tüm alt nesneleri oluştur ya da tüm alt nesneleri Sil nesne türlerine izin vermek.
  • Tek tek genişletilmiş haklar hassas erişimi gerekli değilse, tüm genişletilmiş haklar izin.
  • Hassas tek tek doğrulanmış yazma erişimi gerekli değilse, tüm doğrulanmış yazma işlemleri izin.
Yukarıdaki öneriler izin ACE'ler yanı sıra, deny ACE'ler için geçerlidir. Özellik izinlerle ilgili yönergeleri en kritiği, tek tek özellik izinleri olası sayısı çok büyük olduğundan olası numarası alt nesne türlerinin hakları genişletilmiş ve hakları doğrulandı.

Diğer en iyi yöntemleri:
  • Böylece ACE'ler aşırı sayıda nesne için tüm alt ağacın yayılır, bağımlı nesnelere uyanlarla Devralınabilir ACE sayısını en aza indirin.
  • ACL kullanarak dizin üzerinde yetki atanacak grupları'nı kullanın. Tek bir kullanıcı kümesi okuma izni ve başka bir kullanıcı grubu izinleri değiştirmeniz, sonra her kullanıcı kümesi için bir grup oluşturun ve ACL gruplar kullanın. Birden çok genel gruba aynı erişim gerekiyorsa, genel grupları içeren yerel bir grup oluşturun ve izinleri yerel gruba atayın.

Özellikler

Makale numarası: 271876 - Last Review: 3 Şubat 2014 Pazartesi - Gözden geçirme: 2.3
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Anahtar Kelimeler: 
kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:271876

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com