Gruppenmitgliedschaften greifen nicht – GPOs ziehen nicht – MaxTokenSize zu klein?

Es kann vorkommen, dass Anmeldungen nicht funktionieren, Berechtigungen nicht greifen oder Gruppenrichtlinien nicht durchlaufen werden.

Dann kann es daran liegen, dass der Anwender in zu vielen Active Directory Gruppen eingetragen ist.

Zu viele Gruppenmitgliedschaften?

Wenn ein Anwender zu vielen Gruppenmitgliedschaften hat, lässt sich dies ändern.

Hier müssen die direkten Gruppenmitgliedschaften eines Anwenders, die verschachtelten Gruppenmitgliedschaften sowie Gruppenmitgliedschaften aufgrund des Attributs SIDHistory berücksichtigt werden.

Wie das im gelöst wird, zeigt der neue Artikel: AD Migration – Maximale Anzahl Gruppenmitgliedschaften

MaxTokenSize zu klein?

Sollte Ihr Anwender in mehreren 100 Gruppen als Mitglied eingetragen sein, sollten Sie den Wert MaxTokenSize erhöhen.

Der Wert kann manuell per Registrykey oder per Gruppenrichtlinie auf den Systemen der Anwender gesetzt werden:

HK_Local_Machine\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\MaxTokenSize   DWORD   Value:  48000 Decimal

Aufgrund der HTTP Base64 encodierung in Windows 2012 Systemen wird ein Wert von max 48.000 empfohlen.
Der maximale Wert liegt bei 65535 Bytes. Ein Anwender kann in max. 1015 Gruppen + 9 BuiltIn-Gruppen = 1.024 Gruppen aufgenommen werden.

Mit Hilfe des Microsoft Tools tokensz.exe kann der aktuelle Wert ermittelt werden:  tokensz.exe /compute_tokensize:

Current PackageInfo->MaxToken: 12000 (Standard Wert bei Windows 7)
MaxToken (complete context)  xxxx (aktueller Wert auf Ihrem System)

Berechnung der Token-Größe (Quelle Microsoft KB 327825):

TokenSize = 1200 + 40d + 8s

• d: The number of domain local groups a user is a member of plus the number of universal groups outside the user’s account domain
  plus the number of groups represented in security ID (SID) history.
• s: The number of security global groups that a user is a member of plus the number of universal groups in a user’s account domain.
• 1200: The estimated value for ticket overhead. This value can vary depending on factors such as DNS domain name length, client name, and other factors.