أرقام كبيرة من ACEs في ACLs يؤثر على أداء خدمة الدليل

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

271876
تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الموجز
أداء Active يمكن أن يكون هناك تأثير كبير إبطالها بواسطة بنهج تحكم وصول معقدة للغاية. للحصول على أقصى أداء التي يجب تقليل عدد كائنات "Active Directory" التي قمت بتعيين وصول محدد قوائم التحكم (ACLs) وكذلك تقليل عدد الإدخالات في قائمة التحكم بالوصول كل كائن.

إذا واجهت مشكلة في أداء "Active Directory" بعد تغيير الأذونات أو إذا كنت تخطط لتغيير الأذونات على "Active Directory" استخدم الإرشادات التالية تصميم بنية الإذن الخاص بك لتقليل تأثير الأداء.
معلومات أخرى
السماح ACLs على كائنات خدمة الدليل التحكم بالوصول المحبب جداً عن طريق دعم الميزات التحكم الوصول التالية:
  • الأذونات الخاصية: القراءة والكتابة الإذن على مجموعات خصائص وخصائص الفردية الكائن.
  • إنشاء التابعة وأذونات حذف: إذن إنشاء التابعة "و" حذف التابعة لكل نوع من الكائن التابع.
  • حقوق موسّع: أذونات عمليات خاصة الفردية المعروفة كدالات "الحقوق الموسعة" على كائن
  • التحقق من صحة الكتابة: التحقق إذن لإجراء التحقق من صحة الكتابة إلى الخصائص التي تدعم صحة عمليات الكتابة (مثل ، فرض التحقق من قيمة دلالية أثناء التحديثات وما).

بالرغم من ضرورة التحكم بالوصول معقدة أحياناً اعتماد نهج الأمان الأعمال, قد يؤدي استخدام التحكم بالوصول معقدة ACLs مع عدد كبير جداً من إدخالات الأذونات. لتوضيح ، يتم إنشاء إدخال إذن فردية لكل من الأنواع التالية من أذونات:

  • قراءة <PropertySetName>أو كتابة <PropertySetName>
  • قراءة <PropertyName>أو كتابة <PropertyName>
  • إنشاء كائنات <ChildObjectType>أو حذف <ChildObjectType>كائنات
  • <specificextendedright>
  • تم التحقق من صحة الكتابة إلى <validatableproperty>أو <specificvalidatedoperation>

تكون تكلفة في الحوسبة الموارد (القرص الثابت و CPU) تنفيذ فحص وصول على كائن متناسب مباشرة إلى رقم ACEs في ACL على ذلك الكائن. لأن بحث عادةً يجب إجراء تدقيقات الوصول مقابل عدد الكائنات ، التكلفة الإجمالية الوصول التحقق أثناء بحث ترتفع جداً بسرعة مع عدد ACE على كل كائن البحث فيها. عند كبيرة عدد ACEs وربما يتم تخفيض أداء تدقيقات الوصول إلى مستوى غير مرغوب فيها.

تحدث مشكلة الثاني ، واضحة أقل مع التخزين المؤقت. يتم التخزين المؤقت أجزاء من قاعدة بيانات "Active Directory" في الذاكرة الفعلية. عندما يتم التخزين المؤقت الكائنات الخاصة بها واصفات الأمان مؤقتاً أيضاً. في حالة كبيرة واصفات الأمان على العديد من الكائنات في قاعدة البيانات سوف المخزنة مؤقتاً الكائنات أقل وهناك قد تعاني الأداء الكلي الدليل كنتيجة أقل عدد مرات الدخول إلى ذاكرة التخزين المؤقت.

استخدم الإرشادات التالية المذكورة في ترتيب أهمية ، لتقليل عدد إدخالات الأذونات على كائن "خدمة الدليل" ACL:
  • يسمح "التحكم الكامل" بدلاً من الأذونات الفردية إذا كنت ترغب منح حق الوصول الكامل إلى الكائن.
  • يسمح قراءة كافة الخصائص أو كتابة كافة الخصائص إذا لم تكن تفصيلية الوصول إلى خصائص مطلوبة.
  • تسمح القراءة أو حق وصول الكتابة إلى خاصية مجموعات بدلاً من خصائص فردية عند الوصول إلى مجموعة فرعية من كافة الخصائص المطلوبة.
  • يسمح إنشاء كافة الكائنات التابعة أو حذف كافة الكائنات التابعة إذا كان هناك حاجة منح أو إنشاء أو حذف إذن التابعة إلى مجموعة فرعية من التابعة أنواع الكائنات.
  • يسمح إذن "كافة الحقوق الموسعة" إذا لم تكن تفصيلية الوصول إلى "حقوق الموسّع" الفردية مطلوبة.
  • يسمح إذن "الكتابة التحقق من صحة كافة" إذا لم تكن تفصيلية الوصول إلى التحقق من صحة الفردية "الكتابة" مطلوبة.
تنطبق التوصيات أعلاه الرفض ACEs بالإضافة إلى السماح ACEs. إرشادات المقترنة أذونات الخاصية هي الأكثر أهمية و لأن أكبر بكثير من عدد المحتملة الأذونات الفردية الخاصية المحتملة عدد أنواع الكائنات التابعة الموسعة حقوق ثم التحقق من صحة حقوق.

الأخرى أفضل الممارسات:
  • قم بتصغير عدد ACEs القابلة للتوريث تطبيقها على الكائنات التابعة بحيث لا يتم نشر أرقام الزائد من ACE إلى الشجرة فرعية بالكامل من الكائنات.
  • استخدام مجموعات تفويض تخويل عبر الدليل باستخدام ACLs. في حالة يحتاج مجموعة واحدة من المستخدمين أذونات قراءة يحتاج مجموعة أخرى من المستخدمين من تغيير الأذونات ثم قم بإنشاء مجموعة واحدة لكل مجموعة من المستخدمين ثم استخدام المجموعات في قائمة التحكم بالوصول (ACL). إذا متعددة المجموعات العمومية في حاجة إلى نفس الوصول قم إنشاء مجموعة محلية يحتوي على المجموعات العمومية وتعيين أذونات إلى المجموعة المحلية.
إبطاء

تحذير: تمت ترجمة هذا المقال تلقائياً

خصائص

رقم الموضوع: 271876 - آخر مراجعة: 01/29/2014 03:28:57 - المراجعة: 2.3

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtar
تعليقات