Quali sono le conseguenze di un gruppo AD che ha come membro un gruppo, che è già un membro (riferimenti ciclici)
Risposte:
Bene, prima di tutto, fai attenzione a non avere utenti che sono membri di troppi gruppi - questo può far sì che il loro token sia troppo grande e finisci con cose come questa:
E anche gli oggetti Criteri di gruppo smetteranno di essere elaborati, script di avvio, ecc.
Questo non risponde direttamente alla tua domanda, ma un gruppo di gruppi nidificati può sicuramente esacerbare questo problema. Non c'è nulla di intrinsecamente terribile nel fatto che i gruppi siano membri l'uno dell'altro. cioè il continuum spazio-temporale non si aprirà ... l'unica cosa che mi viene in mente è che potresti confondere alcune applicazioni che fanno ampio uso di query LDAP ... cose come Exchange, ecc.
Quindi, non direi che è male, ma può essere. Ci sono alcuni motivi, uno di questi ha a che fare con lo scripting. L'annidamento circolare è essenzialmente un "ciclo infinito" perché gli script utilizzano molte funzioni ricorsive. Ciò ovviamente causerebbe un errore di uno script, ecc.
Poi c'è l'idea di "semplificazione" in AD a cui la nidificazione circolare è intrinsecamente contraria.
Esiste uno script PowerShell nella galleria Technet che aiuta a individuare gruppi nidificati circolari, puoi trovarlo qui e ti aiuterà a localizzare i gruppi circolari: Trova gruppi nidificati circolari
Altri due script di PowerShell che consentono di disegnare gruppi nidificati e quindi aiutano a trovare un annidamento circolare rapido:
Non ci sono conseguenze - almeno non per quanto riguarda Active Directory.
Ho visto distribuzioni con questa condizione più volte; l'unica cosa che si rompe è il codice scritto male che enumera ricorsivamente i gruppi. E in quei casi, è una cosa semplice controllare questo tipo di loop nel codice e ignorare i gruppi che hai già elencato, oppure limitare semplicemente la profondità di ricorsione.