相信大多数的读者都没有机会“不幸”遭遇这些只有在大型企业应用中才可能遇到的限制。但是这并不意味着本文对我们没有意义,相反我们能够从另一个角度观察AD的运行原理。
也许已经有用户发现,随着AD应用越多,就越发现一些AD的限制,这些限制包括来自AD本身的,也有来自AD管理应用程序的。在AD中存在的这些限制主要源于开发者对AD正常运行和性能的保护-因为大部分这些限制表现在供显示和处理的对象数量上。例如,在一个Windows NT 4.0域中,最大可以容纳40000个用户账号。与此相比,AD域能够支持比这要大得多的数量。虽然我无法提供明确的最大值,但Korean.com(一个为韩国公民提供各种Web服务的Internet门户网站)已经在AD域中创建了超过8百万的用户账号。下面我将为大家列举一些AD的限制,以及当这些限制成为困扰你的问题时如何调整参数来克服它们。
理解AD
AD以及它的相关工具都不同程度的含有一些限制。这些限制都不是为了困扰用户;相反,它们的存在是为了保护AD免受攻击和性能影响。了解这些限制并且知道如何解决这些问题,不仅能够帮助你快速定位问题的症结,同时也赋予你对AD运行机制更深的理解。
MMC文件夹显示限制
在使用Windows 2000的微软管理控制台(MMC)“AD用户和计算机”,浏览组织单元(OU)或者其他容器中的对象时,界面内不会显示数量超过2000的对象,这种情况发生时,AD会显示一条消息,通知用户AD无法显示所有对象,并建议用户更改默认设置。如果使用的是Windows Server 2003,系统能够提供更详细的消息并且帮助你调整设置。
要调整默认显示的对象数量,在“AD用户和计算机”中,点击“查看”*“筛选器选项”,然后更改每一文件夹中显示的最多项目数。要注意,存在该限制并非没有理由,因为如果你尝试打开一个超过30000个对象的组织单元,系统所耗时间要比你预想的要多得多。
组成员关系的限制
如果你供职于一个大型或者中型企业,那么有可能在Windows 2000 AD中遭遇5000个组成员关系的限制。5000个组成员关系的限制与上面讨论过的其他限制不同,它实际上是一个最大值。是AD所采用的Jet数据库引擎在存储和复制大于一定数量的数据时,无法处理写操作的最大值。Windows 2003的AD通过引入Linked Value Replication(LVR)解决了这个问题。在使用了LVR之后,当组成员关系发生改变,AD不会复制所有的属性和值,而只是复制成员关系中个别的属性和值。除了克服5000个组成员关系的限制,新的复制方法与前一版本中的相比要有效率得多,不仅支持更低的带宽而且减少了DC的资源消耗。
实际上,5000个成员关系的限制不仅限于AD的用户组,其他任何包含成员的属性都存在此限制。由于组成员关系是应用最多的,所以也是被发现几率最大的。成员关系换而言之就是AD用户管理中的“隶属于”。例如:假设Sales组有三个组成员Tom,Dick和Harry。如果在AD中查看Tom,Dick和Harry对象,你会在每个用户的“隶属于”选项卡中看见他们都属于Sales组。这就是成员管理的典型例子。
要在Windows 2000的AD中解决这些限制,只能采用用户账号分层次、分组的方法。根据你公司的组织结构尽量将用户归纳入不同的组,再设置组嵌套。当然过多的组会增加管理难度,但这是唯一选择。
