• administration
  • migration
  • powershell
  • kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQ Active Directory FAQ
  • administration
  • migration
  • powershell
  • kontakt
  • EN

Gruppenmitgliedschaften greifen nicht – GPOs ziehen nicht – MaxTokenSize zu klein?

Mrz 1, 2019 (Letztes Update) | Posted by Joerg Hoffmann | Administration |

 

Es kann vorkommen, dass Anmeldungen nicht funktionieren, Berechtigungen nicht greifen oder Gruppenrichtlinien nicht durchlaufen werden.

Dann kann es daran liegen, dass der Anwender in zu vielen Active Directory Gruppen eingetragen ist.

Zu viele Gruppenmitgliedschaften?

Wenn ein Anwender zu vielen Gruppenmitgliedschaften hat, lässt sich dies ändern.

Hier müssen die direkten Gruppenmitgliedschaften eines Anwenders, die verschachtelten Gruppenmitgliedschaften sowie Gruppenmitgliedschaften aufgrund des Attributs SIDHistory berücksichtigt werden.

Wie das im gelöst wird, zeigt der neue Artikel: AD Migration – Maximale Anzahl Gruppenmitgliedschaften

AD Gruppen - automatisch - DynamicGroup

MaxTokenSize zu klein?

Sollte Ihr Anwender in mehreren 100 Gruppen als Mitglied eingetragen sein, sollten Sie den Wert MaxTokenSize erhöhen.

Der Wert kann manuell per Registrykey oder per Gruppenrichtlinie auf den Systemen der Anwender gesetzt werden:

HK_Local_Machine\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\MaxTokenSize   DWORD   Value:  48000 Decimal

Aufgrund der HTTP Base64 encodierung in Windows 2012 Systemen wird ein Wert von max 48.000 empfohlen.
Der maximale Wert liegt bei 65535 Bytes. Ein Anwender kann in max. 1015 Gruppen + 9 BuiltIn-Gruppen = 1.024 Gruppen aufgenommen werden.

Mit Hilfe des Microsoft Tools tokensz.exe kann der aktuelle Wert ermittelt werden:  tokensz.exe /compute_tokensize:

Current PackageInfo->MaxToken: 12000 (Standard Wert bei Windows 7)
MaxToken (complete context)  xxxx (aktueller Wert auf Ihrem System)

Berechnung der Token-Größe (Quelle Microsoft KB 327825):

TokenSize = 1200 + 40d + 8s

  • d: The number of domain local groups a user is a member of plus the number of universal groups outside the user’s account domain
    plus the number of groups represented in security ID (SID) history.
  • s: The number of security global groups that a user is a member of plus the number of universal groups in a user’s account domain.
  • 1200: The estimated value for ticket overhead. This value can vary depending on factors such as DNS domain name length, client name, and other factors.

 

 

Artikel weiterempfehlen:
  • xingen
  • sharen
  • tweeten
  • teilen
  • Google+
  • mailen
Artikel erstellt am: 04.02.2013
0

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

Cancel Reply

Neueste Artikel

  • Windows Server 2019 Übersicht
  • Native Linux-Bash unter Windows
  • AD DS und AD LDS im Direktvergleich
  • Powershell 6 & .NET-Core – Die Zukunft?
  • Seltene AD Attribute mit PowerShell setzen
  • OUs einfach exportieren und importieren
  • Tasks per PowerShell anlegen
  • PowerShell Skripte zeitgesteuert ausführen mit Task Scheduler
  • Primäre E-Mail-Adresse ändern mit PowerShell
  • Einfaches Datenmapping mit Calculated Properties (PS)

Links

  • FirstAttribute – AD Consulting
  • FirstAttribute – Migrationen
  • Jobs bei FirstAttribute
  • FirstAttribute – Software

Kategorien

  • Administration
  • Citrix
  • Cloud
  • Exchange
  • KnowHow
  • Konfiguration
  • Migration
  • PowerShell
  • Programmierung
  • Quest Migration Manager
  • SharePoint
  • Tools

AD Gruppen dynamisch machen

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt azure Azure AD Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM Exchange Quest Migration Manager Schema Set-ADUser SharePoint SID SID History Update Windows 10 Windows Server 2012 R2

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Ohne nachdenken. Active Directory ganz anders. FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt azure Azure AD Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM Exchange Quest Migration Manager Schema Set-ADUser SharePoint SID SID History Update Windows 10 Windows Server 2012 R2

Neue Kommentare

  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
  • Dennis bei AD PowerShell Basics 1: New-ADUser
Login

© 2019 · Active-Directory-FAQ by firstattribute.com

Prev Next