在域级别应用权限

 

上一次修改主题: 2005-04-18

在域命名上下文上应用委派权限时,不管权限是否只应用于一个特定的类对象,这些权限都将被所有对象(用户、联系人、组、域 DNS、计算机等)继承。

正在运行 Microsoft Windows 2000 Server 的域控制器上,如果在域级别添加可继承的 ACE,将导致该域中每个对象的 DACL 发生更改。取决于所添加的 ACE 数量和域中的对象数,这些更改可以导致“ACL 膨胀”(就是说,对象不需要的 ACE 使 ACL 的大小增加)。ACL 膨胀最终将使域中所有域控制器上的 NTDS.DIT 文件的物理大小增加。

正在运行 Windows Server 2003 的域控制器上,唯一的安全描述符只会存储一次,而不会为继承它的每个对象都进行存储。对于继承安全描述符或不继承但存储相同安全描述符的每个对象来说,这些对象只存储指针。此更改消除了由于不可继承的 ACE 发生更改而导致的数据冗余和数据库增长。

 
显示: