none
Gruppenrichtlinien: verschachtelte Gruppen RRS feed

  • Frage

  • Hallo Forum,

    beim Aufräumen und neu strukturieren der Gruppenrichtlinien bin ich auf die Frage gekommen, ob verschachtelte Gruppen in den Security Filtering Gruppen zu Performanceeinbusen führen können.

    Das ist nur eine Überlegung und keine Feststellung, da ich allerdings hier im Forum (und auch sonst nirgends) auf eine Antwort gestoßen bin, hier die Frage.

    Nochmal eine genauere Fragestellung:

    Ich habe mehrere Gruppen, die Mitglied von einer übergeordneten Gruppe sind. Diese übergeordnete Gruppe füge ich nun den Security Filtering Gruppen einer Gruppenrichtlinie hinzu. Macht das einen Unterschied, wenn ich direkt die untergeordneten Gruppen der Richtline hinzufüge oder wenn ich die übergeordnete Gruppe hinzufüge? Bringt die Vorgehensweise über übergeordnete Gruppen Vorteile oder Nachteile mit sich?

    Danke im Voraus für Eure Hilfe.

    Ich würde mich freuen, wenn ich hier eine Antwort bekomme.

    Sonnige Grüße

    Darkholylein

     

    Montag, 28. Februar 2011 17:44

Antworten

  • Howdie!
     
    On 28.02.2011 18:44, Darkholylein wrote:
    > Ich habe mehrere Gruppen, die Mitglied von einer übergeordneten Gruppe
    > sind. Diese übergeordnete Gruppe füge ich nun den Security Filtering
    > Gruppen einer Gruppenrichtlinie hinzu. Macht das einen Unterschied, wenn
    > ich direkt die untergeordneten Gruppen der Richtline hinzufüge oder wenn
    > ich die übergeordnete Gruppe hinzufüge? Bringt die Vorgehensweise über
    > übergeordnete Gruppen Vorteile oder Nachteile mit sich?
     
    Prinzipiell nicht, da die _expandierte_ Liste der
    Gruppenmitgliedschaften (=SIDs) im PAC des Benutzers stehen. Client oder
    DC müssen somit nicht erst mühsam errechnen, ob ein Benutzer Mitglied
    einer Gruppe ist oder nicht - das wird aus dem Token ersichtlich. Was du
    natürlich bedenken musst, sind die maximale Tokengrösse und universelle
    Gruppen mit GC-Abhängigkeit bei Mehrdomänen-Forests - das würde aber
    auch bei "normalen" Anmeldungen zu einem Problem werden.
     
    Cheers,
    Florian
     

    The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer.
    Montag, 28. Februar 2011 18:00
  • Hi

    Am 04.03.2011 12:15, schrieb Darkholylein:

    Hast du zufällig noch einen KB-Artikel oder ein Statement von seiten
    Microsoft zu diesem Thema?

    New resolution for problems with Kerberos authentication when users
    belong to many groups
    http://support.microsoft.com/kb/327825/en-us

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert Darkholylein Freitag, 4. März 2011 14:01
    Freitag, 4. März 2011 12:20

Alle Antworten

  • Howdie!
     
    On 28.02.2011 18:44, Darkholylein wrote:
    > Ich habe mehrere Gruppen, die Mitglied von einer übergeordneten Gruppe
    > sind. Diese übergeordnete Gruppe füge ich nun den Security Filtering
    > Gruppen einer Gruppenrichtlinie hinzu. Macht das einen Unterschied, wenn
    > ich direkt die untergeordneten Gruppen der Richtline hinzufüge oder wenn
    > ich die übergeordnete Gruppe hinzufüge? Bringt die Vorgehensweise über
    > übergeordnete Gruppen Vorteile oder Nachteile mit sich?
     
    Prinzipiell nicht, da die _expandierte_ Liste der
    Gruppenmitgliedschaften (=SIDs) im PAC des Benutzers stehen. Client oder
    DC müssen somit nicht erst mühsam errechnen, ob ein Benutzer Mitglied
    einer Gruppe ist oder nicht - das wird aus dem Token ersichtlich. Was du
    natürlich bedenken musst, sind die maximale Tokengrösse und universelle
    Gruppen mit GC-Abhängigkeit bei Mehrdomänen-Forests - das würde aber
    auch bei "normalen" Anmeldungen zu einem Problem werden.
     
    Cheers,
    Florian
     

    The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer.
    Montag, 28. Februar 2011 18:00
  • Moin Moin,

    ok, vielen Dank schon einmal für deine Hilfe. Hast du zufällig noch einen KB-Artikel oder ein Statement von seiten Microsoft zu diesem Thema?

    Schönes Wochenende,

    Darky

    Freitag, 4. März 2011 11:15
  • Hi

    Am 04.03.2011 12:15, schrieb Darkholylein:

    Hast du zufällig noch einen KB-Artikel oder ein Statement von seiten
    Microsoft zu diesem Thema?

    New resolution for problems with Kerberos authentication when users
    belong to many groups
    http://support.microsoft.com/kb/327825/en-us

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert Darkholylein Freitag, 4. März 2011 14:01
    Freitag, 4. März 2011 12:20
  • Hey, vielen vielen Dank :) Gruß Darkholylein
    Freitag, 4. März 2011 14:00