DetailPage-MSS-KB

기술 자료

기술 자료: 271876 - 마지막 검토: 2007년 3월 1일 목요일 - 수정: 2.3

 

요약

Active Directory 성능이 지나치게 복잡한 액세스 제어 정책에 의해 심각하게 손상될 수 있습니다. 최대 성능을 위해 Active Directory 개체 컨트롤 목록 (ACL)을 특정 액세스 할당 최소화 및 각 개체의 액세스 제어 목록의 항목 수를 최소화합니다.

사용 권한을 변경한 후 Active Directory 성능 문제가 발생할 경우 또는 Active Directory 사용 권한을 변경할 계획이 있는 경우 성능에 미치는 영향을 최소화하기 위해 권한 구조를 디자인하려면 다음 지침을 따르십시오.

추가 정보

디렉터리 서비스 개체에 대한 ACL을 다음 액세스 제어 기능을 지원하여 매우 세밀한 액세스 제어를 허용:
  • 속성 권한: 읽기 및 권한 속성 집합 및 개체의 개별 속성 쓰기.
  • 자식 만들기 및 삭제 권한: 자식 개체의 각 유형에 대한 자식 만들기 및 삭제 자식 권한.
  • 집합적으로 확장 권한 개체에 대해 알려진 특수 개별 작업에 대한 사용 권한 확장 권한:
  • 쓰기 유효성이: (의미 값을 확인하는 업데이트 등을 중에 강제로 등, 유효성이 쓰기를 지원하는 속성에 수행하려면 권한 쓰기를 유효성이.

비즈니스 보안 정책을 지원하기 위해 때때로 복잡한 액세스 제어 필요하지만 복잡한 액세스 제어 사용하여 사용 권한 항목 매우 많은 수의 ACL로 생길 수 있습니다. 설명하기 위해 개별 사용 권한 항목은 각각 다음과 같은 유형의 사용 권한 만듭니다.

  • <PropertySetName>읽기 또는 쓰기 <PropertySetName>
  • <PropertyName>읽기 또는 쓰기 <PropertyName>
  • <ChildObjectType>개체 만들기 또는 삭제 <ChildObjectType>개체
  • <specificextendedright>
  • 유효한 쓰기 <validatableproperty>또는 <specificvalidatedoperation>

개체에 대해 액세스 검사를 수행하는 리소스 (하드 디스크 및 CPU) 컴퓨팅 비용 을 해당 개체에 대한 ACL에 ACE 수가 직접 비례합니다. 검색 일반적으로 개체 수에 대해 액세스 검사를 수행해야 하기 때문에 액세스 검사를 검색 중에 총 비용 매우 빠르게 검색할 각 개체에 대한 ACE 수와 함께 상승합니다. ACE 수가 매우 큰 경우 원치 않는 수준으로 액세스 검사 성능이 제한될 수 있습니다.

캐싱을 사용하면 두 번째, 덜 분명한 문제가 발생합니다. Active Directory 데이터베이스의 일부는 실제 메모리가 캐시됩니다. 보안 설명자 개체를 캐시할 때 뿐만 아니라 캐시됩니다. 데이터베이스의 여러 개체에 대한 보안 설명자를 큰 경우 적은 수의 개체를 캐시할 및 캐시 적중 적은 전체 디렉터리 성능이 저하될 수 있습니다.

디렉터리 서비스 개체에 ACL 사용 권한 항목을 수를 최소화하려면 중요도, 순서대로 다음 지침을 따르십시오.
  • 설정할지를 개체의 모든 권한을 부여할 경우 모든 권한 대신 개별 사용 권한을 허용하십시오.
  • 속성에 대한 세부적인 액세스를 필요하지 않은 경우 모든 속성 읽기 또는 모든 속성 쓰기 수 있습니다.
  • 모든 속성의 하위 액세스가 필요할 때 읽기 또는 쓰기 액세스 개별 속성 대신 속성 집합 수 있습니다.
  • 부여하거나 만들기, 자식 하위 자식 권한을 삭제할 필요가 없으면 모든 자식 개체 만들기 또는 모든 자식 개체 삭제 개체 형식 수 있습니다.
  • 개별 확장 권한 세밀한 액세스가 필요하지 않은 경우 모든 확장 권한 사용 권한을 허용하십시오.
  • 세밀한 액세스 개별 유효한 쓰기 권한을 필요하지 않은 경우 모든 유효한 쓰기 권한을 허용하십시오.
위의 권장 사항은 허용 ACE 뿐만 아니라 거부 ACE가 적용됩니다. 속성 사용 권한과 관련된 지침을 가장 중요한, 개별 속성 권한 잠재적인 수가 훨씬 때문에 잠재적인 자식 개체 형식의 수를 권한, 확장 및 권한 유효성을.

다른 유용한:
  • 과도한 수의 ACE 개체의 전체 하위 트리가 전파되는 것을 자식 개체에 적용 상속 가능한 ACE 수를 최소화하십시오.
  • 그룹을 ACL을 사용하여 디렉터리를 통해 권한을 위임할 수 있습니다. 하나의 집합을 사용자에게 읽기 권한이 필요한 다른 사용자 집합에 사용 권한을 변경해야 하는 경우, 각 사용자 집합에 대해 한 그룹을 만든 다음 ACL에 있는 그룹을 사용하십시오. 여러 글로벌 그룹에 같은 액세스가 필요하면 글로벌 그룹을 포함하는 로컬 그룹을 만들고 로컬 그룹에 권한을 할당하십시오.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
키워드: 
kbmt kbactivedirectoryrepl kbinfo KB271876 KbMtko
기계 번역된 문서기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.