Active Directory - структура дуже гнучка і масштабується, проте вона все ж має свої обмеження. Деякі з них можливо досягти лише в теорії, з іншими ми стикаємося регулярно. Почнемо з найбільш глобальних.

Максимальна кількість доменів в лісі

Для Windows 2000 максимальне рекомендовану кількість доменів в лісі становила трохи більше 800, а починаючи з Windows Server 2003 (функціональний рівень лісу Windows Server 2003) було збільшено до 1200 доменів.Це обмеження пов'язане з максимальним розміром записи бази даних AD.

Максимальна кількість домен-контролерів в домені

Максимальна рекомендована кількість домен-контролерів (DC) в домені - 1200. Ця цифра обумовлена ​​обмеженням служби реплікації (File Replication System, FRS), яка не в змозі здійснювати реплікацію папки SYSVOL між великою кількістю об'єктів.

Максимальна кількість об'єктів

Кожен контролер домену в лісі Active Directory за час свого існування може створити трохи менше 2.15 мільярда об'єктів. Обмеження стосується всіх об'єктів з усіх розділів AD, що зберігаються на даному контролері домену. Пов'язано це обмеження з тим, що кожен DC має власний пул ідентифікаторів Distinguished Name Tags (DNTs).Діапазон значень DNTs лежить в діапазоні від 0 до 2 147 483 393. При створенні кожного об'єкта з цього пулу виділяється унікальний DNT, який не може бути використаний повторно, навіть якщо об'єкт буде видалений. Таким чином, контролери домену обмежені в створенні приблизно 2-ма мільярдами об'єктів (включаючи об'єкти, створювані шляхом реплікації).

Максимальна кількість ідентифікаторів безпеки

За замовчуванням в домені AD можна створити близько одного мільярда суб'єктів безпеки (користувачів, комп'ютерів або груп). Обмеження пов'язане з тим, що кожному суб'єкту безпеки при створенні призначається унікальний ідентифікатор (Relative ID, RID) із загального пулу.У Windows Server 2008 R2 і більш ранніх операційних системах загальний розмір пулу RID обмежений 230 (1 073 741 823) ідентифікаторами. Починаючи з Windows Server 2012 при досягненні цієї межі є можливість розблокувати 31-й розряд, тим самим збільшивши пул RID вдвічі - до 231 (2 147 483 628) ідентифікаторів.

Максимальна кількість застосованих GPO

До кожного аккаунту користувача або комп'ютера в домені можна застосувати не більше 999 об'єктів групових політик (Group Policy objects, GPO).Це не означає, що загальна кількість GPO в системі жорстко обмежена, просто один користувач або комп'ютер не зможе обробити більше 999 GPO. Обмеження це встановлено для підвищення продуктивності.

Обмеження на членство в групах

Кожен із суб'єктів безпеки (користувачів, комп'ютерів або груп) може бути членом не більше ніж 1015 груп, незалежно від їх вкладеності.Це пов'язано з обмеженням на розмір токена доступу, який створюється для кожного суб'єкта безпеки.

Максимальна кількість членів групи

В домені Windows 2000 максимальне рекомендоване число членів групи становить 5000. Ця рекомендація заснована на кількості одночасних атомарних змін, які можуть бути здійснені в одній транзакції бази даних.Починаючи з Windows Server 2003 (рівень функціонування лісу Windows Server 2003) для реплікації використовується технологія Linked Value Replication (LVR), що дозволяє реплицировать окремі значення багатозначного атрибута. Тобто в Windows 2000 при зміні одного з членів групи (група як варіант багатозначного атрибута) вся група повинна бути реплицирована, тоді як при використанні LVR реплікується тільки той член групи, який був змінений.Це дозволяє перевищити обмеження на 5 000 членів в групі.

На даний момент жодних нових рекомендацій з цього приводу немає. Згідно з даними Microsoft, в виробничому середовищі зафіксовано більше 4 мільйонів членів групи, а в тестовій - 500 мільйонів.

Максимальна кількість записів в ACL

Доступ до об'єктів в AD регулюється списками доступу (AccessControl List, ACL) - Discretionaly ACL (DACL), який визначає користувачів і групи, яким дозволений або заборонений доступ до об'єкта і Security ACL (SACL), який відповідає за аудит доступу до об'єкта.

Кожен ACL містить записи контролю доступу (Access Control Entry, ACE), в яких зберігається SID користувача або групи і маска доступу, визначає його права. Максимальний розмір ACL складає 64К, тому, виходячи з того, що ACE розрізняються за розміром, максимальна кількість записів складає близько 1 820.

Обмеження на імена та шляхи файлів

Файлові об'єкти, що використовуються службою AD, такі як папка SYSVOL, файл бази даних ntds.dit і лог-файли обмежені довжиною імені в 260 символів. Це обмеження обумовлено параметром MAX_PATH для Win32 API. Тому при виборі місця для SYSVOL і бази даних слід уникати вкладених структур папок, які роблять повний шлях до файлу довше 260 символів.

Обмеження на повне доменне ім'я

Повне доменне ім'я (Fully Qualified Domain Name, FQDN) має бути не більше 64 символів, включаючи точки та дефіси. Це важливе обмеження, яке необхідно мати на увазі при виборі доменного імені. Пов'язано обмеження також з параметром MAX_PATH, які обмежують довжину шляху до папки SYSVOL.Типовий UNC-шлях для доступу до групової політики виглядає приблизно так:

\\\ sysvol \\ Policies \\\

Якщо цей шлях перевищить обмеження MAX_PATH в 260 символів, то політика не зможе бути прочитана і застосована.

Додаткові обмеження на довжину імен

• NetBIOS ім'я комп'ютера або домену не повинно перевищувати 15 символів;
• DNS ім'я комп'ютера повинно бути не більше 24 символів;
• ім'я організаційної одиниці (OU) не повинно перевищувати 64 символів;
• user logon name - ім'я входу користувача.Має обмеження в 256 символів;
• sAMAccountName, відоме також як pre-Windows 2000 logon name - в схемі має обмеження в 256 символів. Однак для забезпечення зворотної сумісності для нього встановлений ліміт в 20 символів для користувача і 16 для комп'ютера;
• display name - ім'я, що відображається користувача.Являє собою комбінацію імен First name, Initials і Last name і може мати максимальну довжину 256 символів;
• common name (cn) - надається ім'я об'єкта, використовується для пошуку. Максимальна довжина 64 символу;
• distinguished name (dn) - различающееся ім'я. Однозначно визначає об'єкт і вказує його розташування в структурі AD.Наприклад "CN = Vasily Pupkin, OU = Employees, OU = Accounts, DC = Contoso, DC = com". Максимальна довжина dn становить 256 символів, при перевищенні цієї довжини LDAP-клієнт не зможе отримати доступ до об'єкта і видасть помилку.

Такі ось обмеження. Пам'ятати їх усі напам'ять зовсім необов'язково, але якщо ви працюєте з AD, то потрібно хоча-б знати про їхнє існування.Більш докладно про обмеження Active Directory можна дізнатися зі статті Active Directory Maximum Limits - Scalability.

.