Grandes números de ACEs na ACL, Access Control List prejudicar o desempenho do serviço de directório

Traduções de Artigos Traduções de Artigos
Artigo: 271876 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Sumário

O desempenho do Active Directory pode ser danificado gravemente por uma política de controlo de acesso demasiado complexa. Para obter o máximo desempenho, deve minimizar o número de objectos do Active Directory à qual atribui acesso específico listas de controlo (ACL, Access Control List) e minimizar o número de entradas na lista de controlo de acesso de cada objecto.

Se tiver um problema de desempenho com o Active Directory depois de alterar as permissões ou se estiver a planear alterar as permissões do Active Directory, utilize as seguintes directrizes para criar a estrutura de permissão para minimizar o impacto no desempenho.

Mais Informação

ACLs em objectos do serviço de directório permitem controlo de acesso muito específicas, seguintes funcionalidades de controlo de acesso de suporte:
  • Permissões de propriedade: Ler e escrever permissão em conjuntos de propriedades e propriedades individuais de um objecto.
  • Criar subordinados e eliminar permissões: permissão Criar subordinados e eliminar subordinado para cada tipo de objecto subordinado.
  • Direitos expandidos: Permissões para operações especiais individuais, conhecidas colectivamente como direitos expandido, num objecto
  • Validar escritas: Permissão para efectuar escritas validadas às propriedades que suportam validado escritas (como, verificação valor semântica aplicada durante as actualizações e assim sucessivamente).

Apesar do controlo de acesso complexa é por vezes, necessários para suportar política de segurança de negócio, utilização do controlo de acesso complexa pode resultar na ACL com muito grandes quantidades de entradas de permissão. Para ilustrar, é criada uma entrada de permissão individual para cada um dos seguintes tipos de permissões:

  • <PropertySetName> de leitura ou escrita <PropertySetName>
  • <Nomedapropriedade> de leitura ou escrita <nomedapropriedade>
  • Criar objectos <ChildObjectType> ou eliminar <ChildObjectType> objectos
  • <specificextendedright>
  • Escrita validada para <validatableproperty> ou <specificvalidatedoperation>

O custo na informática recursos (o disco rígido e a CPU) de efectuar uma verificação de acesso de um objecto é directamente proporcional ao número de ACEs na ACL nesse objecto. Uma vez que uma procura, normalmente, tem de efectuar verificações de acesso contra um número de objectos, o custo total de acesso verificação durante uma procura ultrapassa muito rapidamente com o número de ACEs em cada objecto procurado. Quando o número de ACEs é muito grande, o desempenho de verificações de acesso pode ser reduzido para um nível indesejável.

Um problema de segundo, menos óbvio ocorre com Colocação em cache. Partes da base de dados do Active Directory são colocadas em cache na memória física. Quando os objectos são colocados em cache, os respectivos descritores de segurança são colocados em cache bem. Se os descritores de segurança nos muitos objectos na base de dados forem grandes, menos objectos serão colocados em cache e desempenho geral do directório pode sofrer como resultado de menos acertos da cache.

Utilize as seguintes directrizes, listadas por ordem de importância, para minimizar o número de entradas de permissões num objecto de serviço de directório ACL, Access Control List:
  • Permitir controlo total, em vez permissões individuais, se a intenção é conceder acesso completo ao objecto.
  • Permitir ler todas as propriedades ou escrever todas as propriedades se granularidade acesso às propriedades não é necessário.
  • Permitir a leitura ou acesso de escrita para conjuntos de propriedades em vez de propriedades individuais, quando é necessário o acesso a um subconjunto de todas as propriedades.
  • Permitir criar todos os objectos subordinados ou eliminar todos os objectos subordinados se não é necessário conceder, criar ou eliminar subordinado permissão para um subconjunto do filho tipos de objecto.
  • Permitir todos os direitos expandidos permissão se granularidade acesso direitos expandidos individuais não é necessário.
  • Permitir permissão validadas todas as escritas se granularidade acesso individuais validadas escrita não é necessário.
Aplicam as recomendações anteriores a ACE negar, bem como permitir ACE. As directrizes associadas com permissões de propriedade são os mais importantes, porque o número potencial de permissões da propriedade individual é muito maior do que o número potencial de tipos de objecto subordinado, direitos expandidos e, validado direitos.

Outros procedimentos recomendados:
  • Minimize o número do ACE herdável que se aplicam a objectos subordinados, para que os números excessivos de ACEs não são propagados a uma subárvore completa de objectos.
  • Utilize grupos para delegar autoridade sobre o directório utilizando ACL, Access Control List. Se um conjunto de utilizadores tem permissões de leitura e outro conjunto de utilizadores tem de alterar as permissões, em seguida, criar um grupo para cada conjunto de utilizadores e utilize os grupos na ACL. Se necessitar de vários grupos globais o mesmo acesso, criar um grupo local que contém os grupos globais e atribua permissões ao grupo local.

Propriedades

Artigo: 271876 - Última revisão: 23 de janeiro de 2014 - Revisão: 2.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 271876

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com