JustinXiang 10 Geschrieben 26. September 2007 Melden Teilen Geschrieben 26. September 2007 Hallo Leute! Hab mal eine ziemlich dämliche frage! Wir in der Firma schreiben ein eigenens Programm! Und wollen die Zugriffsberechtigungen übers AD laufen lassen (abfrage via LDAP)! Jetzt wollte mein Programmierer von mir wissen ob wir auch Prozessberechtigungen (mit Prozesse meine ich geschichten wie: Kunden im neuen Prog anlegen usw.) übers AD steuern können. Ich meinte drauf eigentlich schon! Im Gespräch hat sich dann herausgestellt das er von mir will das wir ganze Geschäftsprozesse übers AD abwickln sollen und zwar so das er diese Prozesse in seinem Programm hinterlegt ich aber im AD über die Gruppenberechtigungen steuere welche Rechte der User in seinem Programm hat! Und dann haben wir mal so kurzer Hand uns überlegt wieviele Gruppen das ungefähre sein müssten! Wir haben nach ca. 1000 geschäftsprozessen aufgehört zu überlegen. Weil er die Frage gestellt hat ob wir alle möglichen Prozesse überhaupt im AD unterbringen! Ich meinte noch immer es sollte kein problem sein! Es wird nur die Replikation etwas länger daueren oder habe ich mich damit etwas in die nesseln gesetzt? Ich denke nicht! Kann mir vielleicht auch wer sagen wieviele Gruppen bzw. Objekte man im AD anlegen kann bevor es schreit oder so! Denn um die Handhabung muß ich mich ja sowieso kümmern! Hab schon ein bisschen gegooglt und auch auf ms seiten rumgesucht aber irgendwie waren die antworten nicht so wirklich befriedigend! Hat von euch schon mal jemand sowas probiert? Sagt mir kurz mal bescheid bitte! LG JustinXiang -------------------------------------------------------------------------------- PS: Sagt mir bitte nicht das ich es als MCSE eigentlich wissen sollte! Zitieren Link zu diesem Kommentar
PathFinder 10 Geschrieben 26. September 2007 Melden Teilen Geschrieben 26. September 2007 Ich bin kein Programmierer deshalb kann ich keine fundierte Meinung zu eurem Vorhaben abgeben, aber das AD verwaltet mehrere Millionen Objekte, da wird weniger die Grenze eurer Idee liegen. Frei nach dem Motto, bis die Platte voll ist :P Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. September 2007 Melden Teilen Geschrieben 26. September 2007 Hi, Weder die Anzahl der User, noch der Gruppen werden in deinem AD ein Problem darstellen. Kritisch kann die Anzahl der Gruppen werden, in denen die User Mitglied sein sollen. >1010 Memberships/User ist definitiv Schluss, >500 kann es kritisch werden bzw. sind schon Probleme bekannt. cu blub Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 26. September 2007 Melden Teilen Geschrieben 26. September 2007 Servus, eine Gruppe unter Windows 2000 kann/darf max. 5.000 Mitglieder haben. Gruppenmitgliedschaften sind im Active Directory unter Windows 2000 ein mehrwertiges Attribut, was soviel heißt, dass bei einer Änderung dieser Gruppe, die gesamte Gruppe repliziert wird und nicht nur der z.B. hinzugekommene Benutzer. Weiterhin wird das Ticket das der Benutzer bei der Anmelddung erhält größer, da in dem Ticket die SIDs der Gruppen in denen der Benutzer Mitglied ist enthalten ist. Dabei zählen die Gruppen in denen der Benutzer direkt oder verschachtelt Mitglied ist. Dieses Verhalten hat sich unter Windows Server 2003 - da auch nur, wenn sich die Gesamtstruktur im Gesamtstrukturfunktionsmodus "Windows Server 2003" befindet - verbessert. Dort gibt es diese Grenze von 5.000 Benutzern nicht mehr. Das Stichwort dazu lautet: Linked Value Replication (LVR). Der Benutzer kann zwar in beliebig vielen Gruppen Mitglied sein, aber in das Access-Token des Benutzer können maximal 1.024 SIDs eingetragen werden. Users Who Are Members of More Than 1,015 Groups May Fail Logon Authentication Tatsächlich kann es aber schon weit unter dem Wert (1.024) zu Problemen kommen. Unter Windows 2000 - dort je nach SP-Stand - kann es schon ab 120 Gruppenmitgliedschaften zu Problemen kommen. New resolution for problems with Kerberos authentication when users belong to many groups Unter Windows Server 2003 kann es schon bei ca. 70 Gruppenmitgliedschaften zu Problemen führen: Microsoft Corporation Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 26. September 2007 Melden Teilen Geschrieben 26. September 2007 Unter Windows 2000 - dort je nach SP-Stand - kann es schon ab 120 Gruppenmitgliedschaften zu Problemen kommen.New resolution for problems with Kerberos authentication when users belong to many groups Unter Windows Server 2003 kann es schon bei ca. 70 Gruppenmitgliedschaften zu Problemen führen: Microsoft Corporation Full ACK. Habe einen Kunden, da gabs (unter 2003) nach der Migration von NT4.0 wegen bei einigen Usern große Probleme wegen der mitgeführten SID-History. Die waren so in ca. 130-140 Gruppen und damit das Token zu groß. Aber die Anzahl der Objeke im AD kann wirklich groß sein, und das AD getesteterweise noch performant. grizzly999 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. September 2007 Melden Teilen Geschrieben 26. September 2007 ...und um noch zwei weitere Aspekte zu nennen: 1. Beim Auflösen der Gruppenmitgliedschaften durch 3rd Party Applikationen oder beim Logon des Benutzers kann es bei einer hohen Anzahl an Gruppenmitgliedschaften zu einer hohen Auslastung der DCs kommen (Stichwort lsass.exe). Ist also nicht empfehlenswert. 2. Weiterhin ist es nur möglich, ab Windows Server 2003 jeweils 1.500 Attributwerte in einem Datenbankquery abzufragen - dazu gehören auch die Gruppenmitgliedschaften. Mehrere inkrementelle Abfragen ermöglichen es dann, alle Attributwerte nacheinander auszulesen. Das bedeutet, daß die verwendete 3rd Party Applikation diese inkrementellen Abfragen beherrschen muß - die MS-eigenen Mechanismen sind (natürlich) dazu in der Lage. Gruß olc Zitieren Link zu diesem Kommentar
JustinXiang 10 Geschrieben 27. September 2007 Autor Melden Teilen Geschrieben 27. September 2007 Viel Dank erstmal an alle! @olc: danke für die info bezüglich den Attributswerten, denke aber das es für unseren Programmierer wenn er das weiß kein problem darstellen sollte es so zu programmieren, das es dann auch inkrementelle abfragen gibt, da wir ja das ganze programm selber programmieren und uns daher auf nur teileweise auf 3rd party tools verlassen müssen! Falls ich noch Fragen habe melde ich mich bei euch nochmal! Aber danke schon im Voraus LG Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 27. September 2007 Melden Teilen Geschrieben 27. September 2007 Hallo JustinXiang, freut mich, wenn es Dir hilft. Anbei noch ein Link zu dem Thema: Searching Using Range Retrieval (Windows) Gruß olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.