AD 그룹의 구성원으로서 이미 구성원 인 그룹의 결과는 무엇입니까 (주기적인 참조)

수천 개의 그룹이있는 Active Directory를보고 있는데, 그룹 쌍은 서로의 구성원입니다.

GroupA는 GroupB를 회원으로 보유합니다. GroupB에는 GroupA가 회원으로 있습니다.

야 나는이 순환 적 중첩 그룹의 가능한 결과를 통해 생각하려고한다.

우선, 너무 많은 그룹의 구성원 인 사용자가 없어야합니다. 이렇게하면 토큰이 너무 커져 다음과 같은 결과가 발생할 수 있습니다.

또한 GPO 처리, 시작 스크립트 등이 중지됩니다.

이것은 귀하의 질문에 직접 대답하는 것은 아니지만 많은 중첩 된 그룹 이이 문제를 분명히 악화시킬 수 있습니다. 그룹이 서로의 구성원이라는 본질적으로 끔찍한 것은 없습니다. 즉, 시공간 연속체가 찢어지지 않습니다 ... 내가 생각할 수있는 유일한 것은 LDAP 쿼리를 광범위하게 사용하는 일부 응용 프로그램 (Exchange 등)을 혼동 할 수 있다는 것입니다.

그래서, 그것이 나쁘다고 말하지는 않지만 그렇게 할 수 있습니다. 몇 가지 이유가 있는데 그 중 하나는 스크립팅과 관련이 있습니다. 스크립트는 많은 재귀 함수를 사용하기 때문에 순환 중첩은 본질적으로 "무한 루프"입니다. 이로 인해 스크립트 오류 등이 발생할 수 있습니다.

그런 다음 AD에는 원형 중첩이 본질적으로 반대되는 '단순화'라는 아이디어가 있습니다.

technet 갤러리에는 원형 중첩 그룹을 찾는 데 도움이되는 powershell 스크립트가 있습니다. 여기에서 찾을 수 있으며 원형 그룹을 찾는 데 도움이됩니다. 원형 중첩 그룹 찾기

중첩 된 그룹을 그릴 수있게하여 빠르게 순환 중첩을 찾는 데 도움이되는 두 개의 다른 PowerShell 스크립트 :

최소한 Active Directory에 관한 한 결과는 없습니다.

이 조건의 배포는 여러 번 보았습니다. 그것이 깨는 유일한 것은 그룹을 재귀 적으로 열거하는 잘못 작성된 코드입니다. 이 경우 코드에서 이러한 종류의 루프를 확인하고 이미 열거 한 그룹을 무시하거나 재귀 수준을 제한하는 것이 간단합니다.