|
相信大多数的读者都没有机会不幸遭遇这些只有在大型企业应用中才可能遇到的限制但是这并不意味着本文对我们没有意义相反我们能够从另一个角度观察AD的运行原理 也许已经有用户发现随着AD应用越多就越发现一些AD的限制这些限制包括来自AD本身的也有来自AD管理应用程序的在AD中存在的这些限制主要源于开发者对AD正常运行和性能的保护-因为大部分这些限制表现在供显示和处理的对象数量上例如在一个Windows NT 域中最大可以容纳个用户账号与此相比AD域能够支持比这要大得多的数量虽然我无法提供明确的最大值但(一个为韩国公民提供各种Web服务的Internet门户网站)已经在AD域中创建了超过百万的用户账号下面我将为大家列举一些AD的限制以及当这些限制成为困扰你的问题时如何调整参数来克服它们 理解AD AD以及它的相关工具都不同程度的含有一些限制这些限制都不是为了困扰用户相反它们的存在是为了保护AD免受攻击和性能影响了解这些限制并且知道如何解决这些问题不仅能够帮助你快速定位问题的症结同时也赋予你对AD运行机制更深的理解 MMC文件夹显示限制 在使用Windows 的微软管理控制台(MMC)AD用户和计算机浏览组织单元(OU)或者其他容器中的对象时界面内不会显示数量超过的对象这种情况发生时AD会显示一条消息通知用户AD无法显示所有对象并建议用户更改默认设置如果使用的是Windows Server 系统能够提供更详细的消息并且帮助你调整设置 要调整默认显示的对象数量在AD用户和计算机中点击查看*筛选器选项然后更改每一文件夹中显示的最多项目数要注意存在该限制并非没有理由因为如果你尝试打开一个超过个对象的组织单元系统所耗时间要比你预想的要多得多 组成员关系的限制 如果你供职于一个大型或者中型企业那么有可能在Windows AD中遭遇个组成员关系的限制个组成员关系的限制与上面讨论过的其他限制不同它实际上是一个最大值是AD所采用的Jet数据库引擎在存储和复制大于一定数量的数据时无法处理写操作的最大值Windows 的AD通过引入Linked Value Replication(LVR)解决了这个问题在使用了LVR之后当组成员关系发生改变AD不会复制所有的属性和值而只是复制成员关系中个别的属性和值除了克服个组成员关系的限制新的复制方法与前一版本中的相比要有效率得多不仅支持更低的带宽而且减少了DC的资源消耗 实际上个成员关系的限制不仅限于AD的用户组其他任何包含成员的属性都存在此限制由于组成员关系是应用最多的所以也是被发现几率最大的成员关系换而言之就是AD用户管理中的隶属于例如假设Sales组有三个组成员TomDick和Harry如果在AD中查看TomDick和Harry对象你会在每个用户的隶属于选项卡中看见他们都属于Sales组这就是成员管理的典型例子 要在Windows 的AD中解决这些限制只能采用用户账号分层次分组的方法根据你公司的组织结构尽量将用户归纳入不同的组再设置组嵌套当然过多的组会增加管理难度但这是唯一选择 |
