Active Directory — структура очень гибкая и масштабируемая, однако она все же имеет свои ограничения. Некоторые из них возможно достичь лишь в теории, с другими мы сталкиваемся регулярно. Начнем с наиболее глобальных.
Максимальное количество доменов в лесу
Для Windows 2000 максимальное рекомендованное количество доменов в лесу составляло не более 800, а начиная с Windows Server 2003 (функциональный уровень леса Windows Server 2003) было увеличено до 1200 доменов. Это ограничение связано с максимальным размером записи базы данных AD.
Максимальное количество домен-контроллеров в домене
Максимальное рекомендуемое количество домен-контроллеров (DC) в домене — 1200. Эта цифра обусловлена ограничением службы репликации (File Replication System, FRS), которая не в состоянии осуществлять репликацию папки SYSVOL между большим количеством объектов.
Максимальное количество объектов
Каждый контроллер домена в лесу Active Directory за время своего существования может создать чуть меньше 2.15 миллиарда объектов. Ограничение касается всех объектов из всех разделов AD, хранящихся на данном контроллере домена. Связано это ограничение с тем, что каждый DC имеет собственный пул идентификаторов Distinguished Name Tags (DNTs). Диапазон значений DNTs лежит в диапазоне от 0 до 2 147 483 393. При создании каждого объекта из этого пула выделяется уникальный DNT, который не может быть использован повторно, даже если объект будет удален. Таким образом, контроллеры домена ограничены в создании примерно 2-мя миллиардами объектов (включая объекты, создаваемые путем репликации).
Максимальное количество идентификаторов безопасности
По умолчанию в домене AD можно создать около одного миллиарда субъектов безопасности (пользователей, компьютеров или групп). Ограничение связано с тем, что каждому субъекту безопасности при создании назначается уникальный идентификатор (Relative ID, RID) из общего пула. В Windows Server 2008 R2 и более ранних операционных системах общий размер пула RID ограничен 230 (1 073 741 823) идентификаторами. Начиная с Windows Server 2012 при достижении этого предела есть возможность разблокировать 31-й разряд, тем самым увеличив пул RID вдвое — до 231 (2 147 483 628) идентификаторов.
Максимальное количество примененных GPO
К каждому аккаунту пользователя или компьютера в домене можно применить не более 999 объектов групповых политик (Group Policy objects, GPO). Это не значит, что общее количество GPO в системе жестко ограничено, просто один пользователь или компьютер не сможет обработать больше 999 GPO. Ограничение это установлено для повышения производительности.
Ограничение на членство в группах
Каждый из субъектов безопасности (пользователей, компьютеров или групп) может быть членом не более чем 1015 групп, вне зависимости от их вложенности. Это связано с ограничением на размер токена доступа, который создается для каждого субъекта безопасности.
Максимальное количество членов группы
В домене Windows 2000 максимальное рекомендованное число членов группы составляет 5000. Эта рекомендация основана на количестве одновременных атомарных изменений, которые могут быть совершены в одной транзакции базы данных. Начиная с Windows Server 2003 (уровень функционирования леса Windows Server 2003) для репликации используется технология Linked Value Replication (LVR), позволяющая реплицировать отдельные значения многозначного атрибута. Т.е. в Windows 2000 при изменении одного из членов группы (группа как вариант многозначного атрибута) вся группа должна быть реплицирована, тогда как при использовании LVR реплицируется только тот член группы, который был изменен. Это позволяет превысить ограничение на 5 000 членов в группе.
На данный момент каких либо новых рекомендаций на этот счет нет. Согласно данным Microsoft, в производственной среде зафиксировано более 4 миллионов членов группы, а в тестовой — 500 миллионов.
Максимальное количество записей в ACL
Доступ к объектам в AD регулируется списками доступа (AccessControl List, ACL) — Discretionaly ACL (DACL), который определяет пользователей и группы, которым разрешен или запрещен доступ к объекту и Security ACL (SACL), который отвечает за аудит доступа к объекту.
Каждый ACL содержит записи контроля доступа (Access Control Entry, ACE), в которых хранится SID пользователя или группы и маска доступа, определяющая его права. Максимальный размер ACL составляет 64К, поэтому, исходя из того, что ACE различаются по размеру, максимальное количество записей составляет около 1820.
Ограничение на имена и пути файлов
Файловые объекты, использующиеся службой AD, такие как папка SYSVOL, файл базы данных ntds.dit и лог-файлы ограничены длиной имени в 260 символов. Это ограничение обусловлено параметром MAX_PATH для Win32 API. Поэтому при выборе места для SYSVOL и базы данных следует избегать вложенных структур папок, которые делают полный путь к файлу длиннее 260 символов.
Ограничение на полное доменное имя
Полное доменное имя (Fully Qualified Domain Name, FQDN) должно быть не более 64 символов, включая точки и дефисы. Это важное ограничение, которое необходимо иметь в виду при выборе доменного имени. Связано ограничение также с параметром MAX_PATH, ограничивающим длину пути к папке SYSVOL. Типичный UNC-путь для доступа к групповой политике выглядит примерно так:
\\<domain-name>\sysvol\<domain-name>\Policies\<GUID>\<Machine|User>\<GroupPolicy-Extension-Specific-Path>
Если этот путь превысит ограничение MAX_PATH в 260 символов, то политика не сможет быть прочитана и применена.
Дополнительные ограничения на длину имен
• NetBIOS имя компьютера или домена не должно превышать 15 символов;
• DNS имя компьютера должно быть не более 24 символов;
• имя организационной единицы (OU) не должно превышать 64 символов;
• user logon name — имя входа пользователя. Имеет ограничение в 256 символов;
• sAMAccountName, известное также как pre-Windows 2000 logon name — в схеме имеет ограничение в 256 символов. Однако для обеспечения обратной совместимости для него установлен лимит в 20 символов для пользователя и 16 для компьютера;
• display name — отображаемое имя пользователя. Представляет из себя комбинацию имен First name, Initials и Last name и может иметь максимальную длину 256 символов;
• common name (cn) — предоставляемое имя объекта, используется для поиска. Максимальная длина 64 символа;
• distinguished name (dn) — различающееся имя. Однозначно определяет объект и указывает его расположение в структуре AD. Например ″CN=Vasily Pupkin, OU=Employees, OU=Accounts, DC=Contoso, DC=com″. Максимальная длина dn составляет 256 символов, при превышении этой длины LDAP-клиент не сможет получить доступ к объекту и выдаст ошибку.
Такие вот ограничения. Помнить их все наизусть вовсе необязательно, но если вы работаете с AD, то нужно хотя-бы знать об их существовании. Более подробно об ограничениях Active Directory можно узнать из статьи Active Directory Maximum Limits — Scalability.