Limites Active Directory
Hola,
Hoy me ha mandado un mail un amigo preguntandome acerca del número máximo de grupos al que podía pertener un usuario de active directory y me ha inspirado para escribir este post en el que detallo los limites que soporta active directory en sus versiones de windows 2000, 2003 y 2008.
– Número máximo de objetos: Cada controlar de dominio puede crear un máximo de 2,15 billones de objetos, puesto que cada objeto creado tiene su propio DTN (Distinguished Name Tag) y la numeración de los mismos va desde 0 hasta 2.147.483.393. Es importante mencionar que los DTNs de los objetos eliminados no son liberados.
– Número máximo de SIDS: Aproximadamente 1 billon para todo el dominio, debido a que los RID son pools de 30 bits.
– Numero máximo de entradas por DACL: Viene dado por el tamaño de la DACL que se define en el objeto ntSecurityDescriptor. Por ejemplo, si lo tuvieramos definido en 64k tendríamos un máximo aproximado de 1820 por DACL.
– Membresia a grupos de seguridad: Cada objeto puede ser miembro de un máximo de aproximado de 1015 grupos. Está limitación es debida al tamaño máximo del token del objeto.
– Longitud máxima de la cadena FQDN: Las cadena FQDN de un objeto puede ser de 64 caracteres como máximo de larga.
– Longitud máxima del path del ficheros de active directory: La longitud máxima para el path de los ficheros de nuestro directory activo como puede ser las carpetas Netlogon, sysvol y los archivos de las mismas es de 260 caracteres. Es la misma que para el resto de archivos que almacenamos en nuestro servidor.
– Nombres Netbios: Están limitados a 15 caracteres.
– Nombres DNS: Tiene un limite de 24 caracteres.
– Nombre de OU (unidades organizativas): Como mucho pueden tener 64 caracteres
– Número máximo de GPOS aplicadas: Hay un máximo de 999 Gpos aplicadas por usuario o por equipo, sin embargo no hay máximo de Gpos para definir en el dominio. Este limite se estable únicamente por temas de performance.
– Numero máximo de cuentas por transacción LDAP: El limite teorico para no alcanzar los recuros máximos de AD es de 5000 objetos por transacción ldap, por lo tanto es muy recomendable que las transacciones ldap de nuestros scripts no superen esta cifra.
– Número máximo de usuarios por grupo: Igualmente por temas de performance Microsoft no recoumienda tener grupos con más de 5000 miembros.
– Número máximo de dominios en un bosque: Microsoft no recomiendo tener más de 1200 dominios en un bosque.
– Número máxiomo de controladores de dominio en un bosque: En este caso también podemos estar hablando de un limite de unos 1200 para poder asegurar la consistencia en la replicación de la sysvol.
Un saludo
