我们公司正试图重新思考我们的方法来pipe理员工访问我们域中项目文件的权限。 我们正在考虑为每个办公室项目创build一个新的广告组,然后在用户从事项目时将用户添加到组中。 (现在,用户帐户在join或离开项目时,通过脚本单独添加或从相关项目文件夹中删除)。
我们担心的是,我们每年有300个新项目,可能会有数千个这样的小组。 此外,用户可能会在多年的项目中工作,所以每个用户可能会成为数百个组的成员。
这些数字中的任何一个都值得关注? 我们不想创造一个导致域控制器挣扎或推动AD的极限的情况。
您并没有真正定义您的复制拓扑,这可以在这里发挥作用。 假设你有一个站点在同一局域网中的所有数据中心,复制不会是你的问题。 通常只有成千上万的群体不是问题,除非你对复制有严格的限制(就像你在全国范围内通过两个汤jar和一个string)。
您可能会遇到的问题是用户的访问令牌只能包含1024个SID。 一旦用户是大约1000个组的成员,则某些SID不能添加到令牌中,这会在尝试使用需要该令牌的资源时导致访问失败。
简而言之,如果您有一个用户成为1,000个组的成员,您将遇到问题。 如果没有,你很好。
本TechNet文章很好地涵盖了这个问题,并且这个Microsoft文档深入地解释了它 (警告:word文档直接链接)。
这取决于你计划如何扩展。
首先,您应该使用嵌套组和RBAC方法。
为了扩展你将需要其他的域控制器来承担主要的负载。 您将需要devise应用程序以便能够为DNS,LDAP和Kerberos服务进行故障转移。 您可能需要在不同的OU中拆分结构。 这将帮助您委派并在OU中拥有较less的对象。
在做大的改变之前,search一下,尝试在testing环境中重现你当前的设置,并根据当前的查询(做一个基线)来加载testing。 然后在testing环境中进行更改,然后再次执行负载testing,并承担更多的请求。