Logo faq-o-matic.net
Logo faq-o-matic.net

dsacls in Extremsituation

11 Mrz 2010
von veröffentlicht am11. März 2010, 17:33 Uhr Kurzlink http://faq-o-matic.net/?p=2175 Zitatlink
Kategorie Kategorie: Active Directory, AD: Daten bearbeiten   Translate with Microsoft Translator Translate EN

dsacls.exe ist das Kommandozeilenwerkzeug, mit dem man Berechtigungen auf Objekte in Active Directory manipulieren kann. Heute hatte ich Gelegenheit, es in einer Extremsituation zu nutzen.

In einem Testszenario sollten für 16.308 Benutzerkonten die AD-Zugriffsberechtigungen geändert werden. Für jedes einzelne Objekt gab es sieben Änderungen: Zwei vorhandene Berechtigungen wurden entfernt und fünf neue hinzugefügt. Das Ganze wurde über eine große Batchdatei gesteuert, die für jedes der Objekte die sieben dsacls-Kommandos ausführte. Das passierte auf einem Domänencontroller unter Windows Server 2008 R2, der in einer nicht optimierten VM lief (nur 512 MB RAM und eine einzige virtuelle Festplatte).

Der Vorgang dauerte etwas weniger als zwei Stunden. Erst war ich überrascht über die lange Bearbeitungszeit, aber dann habe ich mal nachgerechnet:

  • 16.308 Objekte mit jeweils sieben ACL-Änderungen ergibt 114.156 einzelne ACL-Änderungen.
  • Die Ausführung dauerte etwas weniger als zwei Stunden, was etwa 1000 ACL-Änderungen pro Minute ergibt.
  • Das wiederum bedeutet, dass etwas mehr als 15 Änderungen pro Sekunde erfolgten.
  • Hierbei muss man – neben dem geringen Arbeitsspeicher des Servers – berücksichtigen, dass jede Änderung im Ereignisprotokoll mitgeschrieben wurde und dass dsacls bei jeder Ausführung die Berechtigungen des Objekts als Text ausgibt, hier umgeleitet in eine Datei.
  • Die Datenbank-Dateigröße des AD änderte sich durch diesen Vorgang übrigens nicht, was wahrscheinlich auf die pro Objekt geringe Anzahl geänderter ACLs zurückzuführen ist.

Verwandte Beiträge:

  1. dsacls-Ergebnis im Skript effizient prüfen
    dsacls ist das Kommandozeilenprogramm, mit dem man in Active Directory Zugriffsberechtigungen definieren kann. Neben seiner etwas kruden Syntax hat es...
  2. “Objekt vor zufälligem Löschen schützen” per Skript setzen
    Seit Windows Server 2008 gibt es eine neue Option beim Erzeugen von Organisationseinheiten (OU) in Active Directory: Sie nennt sich...
  3. AD-Adressen im Sekretariat bearbeiten lassen
    Active Directory ist in vielen Unternehmen die zentrale Adressdatenbank für alle Mitarbeiterinnen und Mitarbeiter – vor allem, wenn Exchange eingesetzt...
  4. Massenänderungen mit ADModify
    Sie wollten schon immer mal bei 400 Benutzern das Login-Skript ändern? Oder ihre Benutzer sollen eine neue Telefonnummer abhängig von...
  5. Active-Directory-Massenoperationen mit AdMod und AdFind
    Windows Server 2003 enthält die so genannten "ds*-Tools": Eine Sammlung von Kommandozeilenprogrammen, die Massenoperationen an Active Directory zulassen. Zu diesen...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=2175
<<
>>

© 2005-2012 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!