我有一个场景,要求在Active Directory中处理安全性。
我有数千名用户。 我有成千上万的合同。 我有6个不同的角色,任何用户都可以在任何给定的合同上拥有。
最初的实现(不要责怪我,我刚到这里!)为每个合同角色创建了一个新的安全组。一旦用户被分配到适当的组(在某些情况下为1800+),这些用户的登录和LDAP查询性能就会变得难以忍受(11分钟以上的登录)。
所以我正在寻找更好的选择,您将如何解决这种关联?构建关系的其他方法是什么?自定义类/属性?想法?
答案 0 :(得分:0)
看起来您需要重新考虑,在Active Directory可伸缩性限制文档中快速搜索显示:
安全主体(即用户,组和计算机帐户)最多可包含1,015个组。此限制是由于为每个安全主体创建的访问令牌的大小限制。该限制不受组如何嵌套或不嵌套的影响。