大量的 ACL 中的 ACE 影響目錄服務效能

文章翻譯 文章翻譯
文章編號: 271876 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

結論

Active Directory 效能可以會嚴重損害過於複雜存取控制原則。最大效能應該您指定特定的存取控制清單 (ACL) 的 Active Directory 物件的數目減至最少,並在每個物件存取控制清單中的項目數目減至最少。

如果您遇到效能問題 Active Directory 後變更權限,或者您打算變更 Active Directory 的權限,使用下列方針設計您的權限結構效能衝擊降至最低。

其他相關資訊

目錄服務物件上的 ACL 允許藉由支援下列的存取控制功能非常細微的存取控制:
  • 屬性權限: 讀取和寫入權限在屬性集和物件的個別屬性。
  • 子建立和刪除權限: 每種類型的子物件的建立子系和刪除子權限。
  • 個別的特殊作業,統稱為延伸權限在物件上的延伸權利: 權限
  • 驗證寫入: 執行 驗證寫入 至支援的屬性的權限驗證寫入,(例如,語意值檢查強制執行更新和等期間)。

雖然複雜存取控制有時需要支援企業安全性原則,使用複雜的存取控制可能會造成 ACL 非常大的數字的使用權限項目。為了說明,下列類型的權限的每個會建立一個個別的使用權限項目:

  • 讀取 <PropertySetName>或寫入 <PropertySetName>
  • 讀取 <PropertyName>或寫入 <PropertyName>
  • 建立 <ChildObjectType>物件] 或 [刪除 <ChildObjectType>物件
  • <specificextendedright>
  • 已確認的寫入 <validatableproperty>或 <specificvalidatedoperation>

在運算執行存取檢查在物件上的資源 (硬碟磁碟和 CPU) 的 成本 為正比於該物件 ACL 中的 ACE 的數目。因為搜尋通常必須執行存取檢查,對物件的數目,存取檢查搜尋期間的總成本上升很快 ACE 數目與搜尋每個物件上。當 ACE 的數量非常大時存取檢查效能可能會降低至可不希望發生的程度。

使用快取,就會發生第二個、 較不明顯的問題。在實體記憶體中快取 Active Directory 資料庫的部分。當快取物件其安全性描述元也會快取。如果安全性描述元,在資料庫中的許多物件上很大,較少的物件將會快取,並整體目錄效能可能會遭受較少的快取點擊的結果。

使用 [將目錄服務物件 ACL 的權限項目數目減至最少的 [下列指導方針的重要性,順序列出]:
  • 如果目的是要授與該物件的完整權限允許完全控制,而不是個別權限。
  • 不需要精細存取屬性時,可允許讀取全部內容或寫入全部內容。
  • 需要存取權的所有屬性子集時,允許 「 讀取 」 或 「 寫入 」 存取屬性集,而不是個別的內容。
  • 允許建立所有的子物件或刪除所有的子物件如果不需要授與、 建立,或刪除子集的 「 子 」 權限,子系的物件型別。
  • 如果精細存取個別的延伸權限並不需要,讓所有延伸權限的權限。
  • 如果細微的存取權寫入數個別驗證並不需要,請允許所有驗證的寫入權限。
上述建議適用於拒絕 ACE,以及允許的 ACE。屬性權限相關聯的方針是最重要,因為潛在的個別屬性的權限數目是遠大於潛在的子物件型別數目延伸權利,並驗證權限。

其他的最佳作法:
  • 套用到子物件的可繼承 ACE 數目最小化,以便 ACE 的過多的數字不會傳播到物件的整個樹狀子目錄。
  • 使用群組來透過目錄使用 ACL 委派授權。如果一組使用者需要讀取權限,和另一組使用者需要變更權限,然後建立一個群組,每一組的使用者,並使用 ACL 中的群組] 即可。如果多個全域群組需要相同的存取權,建立本機群組,包含通用群組,並將權限指派給本機群組。

屬性

文章編號: 271876 - 上次校閱: 2013年10月21日 - 版次: 2.3
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:271876
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com