GroupPrincipal.Members.Remove()不适用于大型AD组
在云计算领域,GroupPrincipal.Members.Remove() 是一个常见的操作,用于从 Active Directory (AD) 中删除组成员。然而,在处理大型 AD 组时,这个操作可能会遇到一些限制。
在大型 AD 组中,GroupPrincipal.Members.Remove() 可能会因为以下原因而不适用:
- 性能问题:大型 AD 组可能包含数千个成员,这可能导致 GroupPrincipal.Members.Remove() 操作非常耗时,从而影响整个 AD 的性能。
- 权限问题:执行 GroupPrincipal.Members.Remove() 操作的用户可能没有足够的权限来删除大型 AD 组的成员。
- 复杂性问题:大型 AD 组可能包含多个嵌套组,这可能导致 GroupPrincipal.Members.Remove() 操作变得复杂,需要逐个删除成员并更新组成员关系。
为了解决这些问题,可以考虑以下方案:
- 分解大型 AD 组:将大型 AD 组分解为多个小型 AD 组,每个小型 AD 组包含一部分成员。这样可以减少每个组的成员数量,从而提高 GroupPrincipal.Members.Remove() 操作的性能和可用性。
- 使用 PowerShell 脚本:可以编写 PowerShell 脚本来执行 GroupPrincipal.Members.Remove() 操作,从而提高操作效率和准确性。
- 使用第三方工具:可以使用第三方工具来帮助管理大型 AD 组,例如 Azure AD Connect、Microsoft Identity Manager (MIM) 等。这些工具可以提供更高效、更灵活的方式来管理 AD 组成员关系。
总之,在处理大型 AD 组时,应该考虑使用更高效、更灵活的方式来管理组成员关系,以提高 AD 的性能和可用性。
相关·内容
我使用名称空间类来管理几个组的成员资格。这些群体控制着我们印刷会计系统的人口,其中一些人非常庞大。从这些大的组中删除任何用户时,我遇到了一个问题。我有一个测试程序来说明这个问题。注意,我测试的组不是嵌套的,但是user.IsMemberOf()似乎也有同样的问题,而GetAuthorizationGroups()正确地显示了用户所属的组。有问题的组有大约81K的成员,这比它应该有的成员要多,因为Remove()不起作用,通常大约是65K左右。
我很有兴趣听到其他人谁有这个问题,并解决了它。
浏览 1提问于2009-12-07得票数 5
回答已采纳
当我在工作项中创建该字段时,我希望将值限制为特定的AD组。我正在寻找类似于标准模板中的“分配给”字段的功能。但是,如果我将此AD组添加到其中一个TFS组中,它们都会被添加为TFS中的有效用户,而这不是我要寻找的行为。我只是希望将字段的值限制为特定的AD组。我尝试将AD组添加到VALIDUSER字段定义规则的" group“属性,但收到以下错误:Error
------
浏览 18提问于2012-05-22得票数 2
回答已采纳
2回答
组映射不适用于AD组
、、、、
到目前为止,我们已经完成了这个部分的工作,但是我们需要所有用户都成为本地组“用户”的一部分。就我所理解的组映射而言,这是可行的。: 12929 Group type: Local Group但是,当我以AD所有AD组显示正确,也显示组"BUILTIN\users“和”BUILTIN\管理员“,但没有显示组"users”。广告<
浏览 0提问于2016-04-05得票数 5
1回答
我使用Windows身份验证和AD组作为角色。我让下面的代码正常工作: @User.IsInRole("DOMAIN\ADGroupName") 经过一些测试,这似乎只适用于显示名称,而不适用于AD组的别名。我们域中的大多数组都有复杂的命名,如下所示: @User.IsInRole("DOMAIN\*DEPT/TEAM/A&BC Developers") 这将返回false,即使您在同名的组</
浏览 13提问于2019-04-21得票数 0
我试图为AD域帐户配置IIS URL授权规则,发现它可以很好地处理帐户和安全组类型,但不适用于通讯组类型。它是否类似于不能应用于分配组类型的ACL ??
浏览 0提问于2019-07-24得票数 1
回答已采纳
1回答
在AD中,我如何才能找到一个组属于哪些组?我知道,对于用户来说,我可以这样做:但这不适用于一个团体。
特纳克
浏览 1提问于2014-07-15得票数 0
回答已采纳
1回答
我希望将IIS配置为只接受来自特定AD组的用户的请求。此配置在默认网站级别上是必需的。因此,在默认网站上,我启用了Windows身份验证,转到授权规则选项,选择添加允许规则,并将AD组放在“指定的角色或用户组:”中。有人能帮我弄清楚我错过了什么吗?如前所
浏览 3提问于2016-10-22得票数 1
对于将用户添加到Azure资源组,我有疑问。如果我需要向Azure AD添加一个内部用户,我可以执行need,然后执行New来向资源组授予权限。如果它是针对外部用户的呢?在这种情况下,我们需要使用need,它向外部用户发送邀请,我已经从azure门户验证了用户确实被添加到Azure AD中。但是,由于AzureRmRoleAssignment似乎不适用于非组织帐户,我如何向RG授予该用户的权限?
浏览 0提问于2018-09-25得票数 0
回答已采纳
我有一个使用ActiveDirecotry授权的应用程序,并且已经决定它需要支持嵌套的AD组,例如: |
|-> SUB_GROUP我希望能够递归地查找用户,搜索嵌套在MAIN_AD_GROUP中的组。我使用的是.NET 3.5,而.NET 3.5中的System.DirectoryServices.AccountManagement中有一个错误,即UserPrincipal.IsMemberOf()方法将不适用于超
浏览 5提问于2011-03-15得票数 24
回答已采纳
(memberOf=\*Alaska\*)换句话说,我正在为我知道存在的成员/组关系寻找组成员,但它不是通过Class = Common Classes
浏览 0提问于2015-03-16得票数 1
回答已采纳
3回答
--Deny All Others--> </authorization>
但是,我想要做的是,只允许在我们的AD服务器上的特定GAL组中的用户,这似乎不适用于这些设置。我发现所有引用AD的东西都想使用表单!我可不想这样。
浏览 0提问于2009-10-05得票数 0
回答已采纳
我使用上面的语法是因为下面的代码可以工作(它获取机器的AD组并将每个组放到一个列表框中):foreach ($processname in $processnames_t)[void]$AD_list_current.Items.Add($processname)为什么它只适用于AD<
浏览 0提问于2012-05-20得票数 0
回答已采纳
在中,声明内存存储不适合大型部署,但没有说明原因:
“此缓存存储不适用于大型应用程序部署”
浏览 0提问于2016-07-22得票数 0
aks集群并通过遵循https://docs.microsoft.com/en-us/azure/aks/aad-integration的说明与azure广告集成时,我能够成功地在azure广告用户和用户组上建立基于角色的访问控制不幸的是,这个过程不适用于在azure ad中创建的服务主体。
浏览 31提问于2020-01-22得票数 1
客户已经进入Azure AD,需要澄清他所看到的两种行为,以便广泛推广到组织并离开prem。1-现在,他们在Azure AD中配置了“keep me signed”,但是他们在零售店中共享设备- iPad -在那里他们不想要这种行为,并希望人们每次登录网站时都要登录。有没有办法设置一个用户子组,让我保持登录状态不适用于?目前,他们只看到一个策略设置,用于为整个组织配置它的打开或关闭。他们是否可以为不同的用户组设置不同的选项来重置密码和确认身份-零售业做q&a -
浏览 19提问于2020-02-01得票数 0
1回答
域帐户与用户帐户
、、
问题是,它适用于管理员帐户,但不适用于我的本地NT帐户。我正在试着弄清楚这两者之间的区别。我做了一些研究,基于我的理解,我认为ObjectSID是一个用户属性,因此它不会出现在域帐户中。我是否应该将其添加到AD中的某些组中?谈到LDAP/AD,我还是个新手
调试代码后,我注意到它只返回NT帐户的域属性(使用Scope.BASE)和管理员帐户的用户属性(使用Scope.SUBTREE)。我的PC/NT帐户是域组的一部分。
浏览 0提问于2016-01-05得票数 1
2回答
如果不在我们的web服务器上安装,有没有办法远程创建一个通讯组列表?有一些第三方组件允许您创建个人通讯组列表,但这些组件仅存在于用户联系人文件夹中,并不适用于公司内的所有用户。理想情况下,应该有某种用于交换的web服务调用,或者我们可以使用的API。Exchange SDK提供了管理Exchange数据(例如电子邮件、联系人、日历等)的功能。看起来通讯组列表作为具有特殊Exchange属性的组对象存储在AD中,但似乎没有任何文档说明它们是如何工作的。编
浏览 6提问于2008-09-29得票数 2
1回答
来自AD的用户可以登录到web服务器。但我不知道如何在ACL中为DB指定AD用户。如果我尝试使用@UserName的页面,我只会从AD用户那里获得“名称姓”,而不会获得任何带有域名或组织名称的其他信息。我试过给所有不同的名字打屁股,没有任何运气。如何从AD中为用户获得正确的用户名形式?
浏览 0提问于2015-08-26得票数 0
回答已采纳
我正在尝试设置RLS,并希望利用AD组。DB是在Azure中创建的,我知道AD正在工作,因为我可以使用AD与SSMS连接。第一台测试本地机器,正在按预期工作(img 1)现在试试Azure在Azure中,IS_MEMBER()似乎不像AD组预期的那样工作,但它将其识别为域/组的有效AD域(请参见前2行)干杯
浏览 0提问于2017-03-02得票数 6
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
