• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Gruppenmitgliedschaften greifen nicht – GPOs ziehen nicht – MaxTokenSize zu klein?

Mrz 1, 2019 (Letztes Update) | Posted by Joerg Hoffmann Administration |

 

Es kann vorkommen, dass Anmeldungen nicht funktionieren, Berechtigungen nicht greifen oder Gruppenrichtlinien nicht durchlaufen werden.

Dann kann es daran liegen, dass der Anwender in zu vielen Active Directory Gruppen eingetragen ist.

Zu viele Gruppenmitgliedschaften?

Wenn ein Anwender zu vielen Gruppenmitgliedschaften hat, lässt sich dies ändern.

Hier müssen die direkten Gruppenmitgliedschaften eines Anwenders, die verschachtelten Gruppenmitgliedschaften sowie Gruppenmitgliedschaften aufgrund des Attributs SIDHistory berücksichtigt werden.

Wie das im gelöst wird, zeigt der neue Artikel: AD Migration – Maximale Anzahl Gruppenmitgliedschaften

AD Gruppen - automatisch - DynamicGroup

MaxTokenSize zu klein?

Sollte Ihr Anwender in mehreren 100 Gruppen als Mitglied eingetragen sein, sollten Sie den Wert MaxTokenSize erhöhen.

Der Wert kann manuell per Registrykey oder per Gruppenrichtlinie auf den Systemen der Anwender gesetzt werden:

HK_Local_Machine\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\MaxTokenSize   DWORD   Value:  48000 Decimal

Aufgrund der HTTP Base64 encodierung in Windows 2012 Systemen wird ein Wert von max 48.000 empfohlen.
Der maximale Wert liegt bei 65535 Bytes. Ein Anwender kann in max. 1015 Gruppen + 9 BuiltIn-Gruppen = 1.024 Gruppen aufgenommen werden.

Mit Hilfe des Microsoft Tools tokensz.exe kann der aktuelle Wert ermittelt werden:  tokensz.exe /compute_tokensize:

Current PackageInfo->MaxToken: 12000 (Standard Wert bei Windows 7)
MaxToken (complete context)  xxxx (aktueller Wert auf Ihrem System)

Berechnung der Token-Größe (Quelle Microsoft KB 327825):

TokenSize = 1200 + 40d + 8s

  • d: The number of domain local groups a user is a member of plus the number of universal groups outside the user’s account domain
    plus the number of groups represented in security ID (SID) history.
  • s: The number of security global groups that a user is a member of plus the number of universal groups in a user’s account domain.
  • 1200: The estimated value for ticket overhead. This value can vary depending on factors such as DNS domain name length, client name, and other factors.

 

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 04.02.2013
0

You also might be interested in

Windows Server 2008 R1/R2 Failover Cluster & Active Directory Berechtigungen

Aug 8, 2012

Bei einem Kunden traten im Zusammenhang mit geänderter Rechtedelegation im[...]

PowerShell badPwdCount

badPwdCount und badPasswordTime mit PowerShell korrekt auslesen

Jul 3, 2017

Interessant ist es für viele Administratoren, das Anmeldeverhalten ihrer Nutzer[...]

Probleme mit Directory Snychronisation

QMM Exchange DirSync – protocolSettings

Dez 10, 2014

QMM Exchange DirSync – protocolSettings kann nicht konfiguriert werden. Heute[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next