Eu estive olhando para um Active Directory que possui vários milhares de grupos, onde pares de grupos são membros um do outro.
O Grupo A tem o Grupo B como um membro. O Grupo B possui o Grupo A como membro.
Oi. Estou tentando pensar nas possíveis consequências desse agrupamento circular de grupos.
Respostas:
Bem, antes de tudo, tenha cuidado para não ter usuários membros de muitos grupos - isso pode fazer com que o token seja muito grande e você acabe com coisas assim:
E também os GPOs deixarão de ser processados, scripts de inicialização etc.
Isso não está respondendo diretamente à sua pergunta, mas vários grupos aninhados podem definitivamente agravar esse problema. Não há nada de inerentemente terrível em grupos serem membros um do outro. ou seja, o continuum espaço-tempo não será aberto ... as únicas coisas em que consigo pensar é que você pode confundir alguns aplicativos que fazem uso extensivo de consultas LDAP ... coisas como Exchange etc.
Então, eu não diria que é ruim, mas pode ser. Existem algumas razões, uma delas tem a ver com scripts. O aninhamento circular é essencialmente um "loop infinito" porque os scripts usam muitas funções recursivas. Obviamente, isso causaria um erro no script, etc.
Depois, há a idéia de "simplificação" no AD que o aninhamento circular é inerentemente contrário.
Há um script do powershell na galeria do technet que ajuda a localizar grupos aninhados circulares, você pode encontrá-lo aqui e ajuda na localização de grupos circulares: Localizar grupos aninhados circulares
Dois outros scripts do PowerShell que permitem desenhar grupos aninhados e, assim, ajudar a encontrar o aninhamento circular rapidamente:
Não há consequências - pelo menos não no que diz respeito ao Active Directory.
Já vi implantações com essa condição várias vezes; a única coisa que quebra é um código mal escrito que recursivamente enumera grupos. E nesses casos, é uma coisa simples verificar esse tipo de loop no código e ignorar os grupos que você já enumerou, ou apenas limitar a profundidade da recursão.