既にメンバーであるグループをメンバーとして持つADグループの結果（循環参照）

私は、グループのペアが互いにメンバーである、数千のグループを持つActive Directoryを見てきました。

GroupAはGroupBをメンバーとして持っています。GroupBはGroupAをメンバーとして持っています。

オイ。私は、このグループの循環的な入れ子の考えられる結果を考えています。

まず最初に、あまりにも多くのグループのメンバーであるユーザーがいないように注意してください。これにより、トークンが大きくなりすぎて、次のような結果になります。

また、GPOの処理、起動スクリプトなども停止します。

これはあなたの質問に直接答えるものではありませんが、多数のネストされたグループがこの問題をさらに悪化させる可能性があります。グループが互いにメンバーであることについて、本質的にひどいことは何もありません。つまり、時空の連続体は裂けません...私が考えることができる唯一のことは、LDAPクエリを広範囲に使用するいくつかのアプリケーションを混乱させるかもしれないということです... Exchangeのようなものなど。

だから、私はそれが悪いとは言いませんが、それは悪いかもしれません。いくつかの理由がありますが、そのうちの1つはスクリプトに関係しています。スクリプトは多くの再帰関数を使用するため、循環ネストは基本的に「無限ループ」です。これは明らかにスクリプトがエラーになるなどの原因になります。

次に、ADには循環ネストが本質的に反対する「単純化」の考え方があります。

technetギャラリーには、入れ子になった循環グループを見つけるのに役立つPowerShellスクリプトがあります。ここで見つけることができ、循環グループの検索に役立ちます： 循環ネストグループの検索

ネストされたグループの描画を可能にする他の2つのPowerShellスクリプトにより、循環的なネストをすばやく見つけることができます。

結果はありません-少なくともActive Directoryに関する限りではありません。

この状態のデプロイメントを何度か見ました。それが壊れる唯一のものは、グループを再帰的に列挙する不十分に書かれたコードです。これらの場合、コードでこの種のループをチェックして、既に列挙したグループを無視するか、再帰の深さを制限するのは簡単です。