Hậu quả của nhóm AD là thành viên của nhóm là gì, đó đã là thành viên (Tài liệu tham khảo theo chu kỳ)

Tôi đã xem xét một Active Directory có vài nghìn nhóm, trong đó các cặp nhóm là thành viên của nhau.

GroupA có GroupB là Thành viên. GroupB có GroupA là Thành viên.

Oy. Tôi đang cố gắng suy nghĩ về những hậu quả có thể xảy ra của việc lồng các nhóm này.

Đầu tiên, hãy cẩn thận rằng bạn không có người dùng là thành viên của quá nhiều nhóm - điều này có thể khiến mã thông báo của họ quá lớn và bạn kết thúc với những thứ như thế này:

Và GPO cũng sẽ ngừng được xử lý, các kịch bản khởi động, v.v.

Điều này không trực tiếp trả lời câu hỏi của bạn, nhưng một nhóm các nhóm lồng nhau chắc chắn có thể làm trầm trọng thêm vấn đề này. Không có gì khủng khiếp về các nhóm là thành viên của nhau. tức là tính liên tục trong không gian thời gian sẽ không mở ra ... điều duy nhất tôi có thể nghĩ là bạn có thể nhầm lẫn một số ứng dụng sử dụng rộng rãi các truy vấn LDAP ... những thứ như Exchange, v.v.

Vì vậy, tôi sẽ không nói nó xấu, nhưng nó có thể. Có một vài lý do, một trong số đó phải làm với kịch bản. Lồng nhau tròn về cơ bản là một "vòng lặp vô hạn" vì các tập lệnh sử dụng rất nhiều hàm đệ quy. Điều này rõ ràng sẽ gây ra một kịch bản lỗi, vv

Sau đó, có ý tưởng về 'đơn giản hóa' trong AD rằng lồng vòng tròn vốn đã đi ngược lại.

Có một tập lệnh powershell trên bộ sưu tập Technet giúp định vị các nhóm lồng nhau, bạn có thể tìm thấy nó ở đây và nó sẽ giúp ích trong việc định vị các nhóm tròn: Tìm các nhóm lồng nhau

Hai tập lệnh PowerShell khác cho phép vẽ các nhóm lồng nhau và do đó giúp tìm nhanh lồng nhau:

Không có hậu quả - ít nhất là không liên quan đến Active Directory.

Tôi đã thấy triển khai với điều kiện này nhiều lần; điều duy nhất nó phá vỡ là mã được viết kém mà liệt kê đệ quy các nhóm. Và trong những trường hợp đó, việc kiểm tra loại vòng lặp này trong mã là một điều đơn giản và bỏ qua các nhóm mà bạn đã liệt kê, hoặc nếu không thì chỉ giới hạn độ sâu đệ quy.