Pregunta ¿Cuáles son las consecuencias de un grupo de AD que tiene como miembro un grupo que ya es miembro (referencias cíclicas)?


He estado buscando en un Active Directory que tiene varios miles de grupos, donde los pares de grupos son miembros entre sí.

GroupA tiene GroupB como miembro. GroupB tiene GroupA como miembro.

Oy. Estoy tratando de pensar en las posibles consecuencias de esta anidación circular de grupos.


8
2018-01-19 15:15


origen




Respuestas:


Bueno, primero que nada, tenga cuidado de no tener usuarios que sean miembros de demasiados grupos; esto puede hacer que su token sea demasiado grande y terminará con cosas como esta:

enter image description here

Y también los GPO dejarán de ser procesados, los scripts de inicio, etc.

Esto no responde directamente a su pregunta, pero un grupo de grupos anidados definitivamente puede exacerbar este problema. No hay nada inherentemente terrible acerca de que los grupos sean miembros unos de otros. es decir, el continuo espacio-tiempo no se abrirá ... lo único que se me ocurre es que puede confundir algunas aplicaciones que hacen un uso extensivo de las consultas LDAP ... cosas como Exchange, etc.


3
2018-01-19 16:33



@Sahuagin Creo que el OP, que aceptó esta respuesta, leyó la frase "No hay nada inherentemente terrible en esto", mientras que quizás no se molestó en leer tan lejos. - Ryan Ries


Entonces, no diría que es malo, pero puede ser. Hay algunas razones, una de ellas tiene que ver con las secuencias de comandos. El agrupamiento circular es esencialmente un "bucle infinito" porque los scripts usan muchas funciones recursivas. Obviamente, esto causaría un error en el script, etc.

Luego está la idea de "simplificación" en AD que el anidamiento circular va en contra inherentemente.

Hay una secuencia de comandos powershell en la galería de tecnología que ayuda a ubicar grupos anidados circulares, puede encontrarlo aquí y lo ayudará en la ubicación de grupos circulares: Encontrar grupos anidados circulares

Otros dos scripts de PowerShell que permiten dibujar grupos anidados y, por lo tanto, ayudan a encontrar anidamientos circulares rápidamente:

  • Grafique los grupos de seguridad de AD anidados por propiedad de enlace de retroceso
  • Graficar grupos de seguridad de AD anidados por propiedad de miembro

  • 6
    2018-01-19 16:31





    No hay consecuencias, al menos no en lo que respecta a Active Directory.

    He visto despliegues con esta condición varias veces; lo único que rompe es un código mal escrito que enumera recursivamente los grupos. Y en esos casos, es una cosa simple comprobar este tipo de bucle en el código e ignorar los grupos que ya ha enumerado, o simplemente limitar la profundidad de la recursión.


    2
    2018-01-19 16:33



    Estoy dispuesto a apostar a que podría tener un éxito de rendimiento generando tokens / calculando la membresía de grupo. - notbad.jpeg