• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Gruppenmitgliedschaften greifen nicht – GPOs ziehen nicht – MaxTokenSize zu klein?

Mrz 1, 2019 (Letztes Update) | Posted by Joerg Hoffmann Administration |

 

Es kann vorkommen, dass Anmeldungen nicht funktionieren, Berechtigungen nicht greifen oder Gruppenrichtlinien nicht durchlaufen werden.

Dann kann es daran liegen, dass der Anwender in zu vielen Active Directory Gruppen eingetragen ist.

Zu viele Gruppenmitgliedschaften?

Wenn ein Anwender zu vielen Gruppenmitgliedschaften hat, lässt sich dies ändern.

Hier müssen die direkten Gruppenmitgliedschaften eines Anwenders, die verschachtelten Gruppenmitgliedschaften sowie Gruppenmitgliedschaften aufgrund des Attributs SIDHistory berücksichtigt werden.

Wie das im gelöst wird, zeigt der neue Artikel: AD Migration – Maximale Anzahl Gruppenmitgliedschaften

AD Gruppen - automatisch - DynamicGroup

MaxTokenSize zu klein?

Sollte Ihr Anwender in mehreren 100 Gruppen als Mitglied eingetragen sein, sollten Sie den Wert MaxTokenSize erhöhen.

Der Wert kann manuell per Registrykey oder per Gruppenrichtlinie auf den Systemen der Anwender gesetzt werden:

HK_Local_Machine\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters\MaxTokenSize   DWORD   Value:  48000 Decimal

Aufgrund der HTTP Base64 encodierung in Windows 2012 Systemen wird ein Wert von max 48.000 empfohlen.
Der maximale Wert liegt bei 65535 Bytes. Ein Anwender kann in max. 1015 Gruppen + 9 BuiltIn-Gruppen = 1.024 Gruppen aufgenommen werden.

Mit Hilfe des Microsoft Tools tokensz.exe kann der aktuelle Wert ermittelt werden:  tokensz.exe /compute_tokensize:

Current PackageInfo->MaxToken: 12000 (Standard Wert bei Windows 7)
MaxToken (complete context)  xxxx (aktueller Wert auf Ihrem System)

Berechnung der Token-Größe (Quelle Microsoft KB 327825):

TokenSize = 1200 + 40d + 8s

  • d: The number of domain local groups a user is a member of plus the number of universal groups outside the user’s account domain
    plus the number of groups represented in security ID (SID) history.
  • s: The number of security global groups that a user is a member of plus the number of universal groups in a user’s account domain.
  • 1200: The estimated value for ticket overhead. This value can vary depending on factors such as DNS domain name length, client name, and other factors.

 

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 04.02.2013
0

You also might be interested in

SharePoint 2010 – Verteilung der Komponenten in der Suchtopology

Sep 9, 2013

Die Suche ist eine der zentralen Komponenten bei SharePoint 2010 und[...]

AD-Telefonnummern-automatisiert-anpassen
AD-Telefonnummern-automatisiert-anpassen

AD Telefonnummern automatisch korrigieren

Jul 2, 2019

Die Verwaltung von Telefonnummern ist erfahrungsgemäß ein unbeliebter Aspekt der[...]

QMM Quest Migration Manager for AD – Directory Synchronization DSA überprüfen

Nov 11, 2011

Ich habe nach einer Möglichkeit gesucht die Synchronisation von Benutzerobjekten[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • LastLogon vs. LastLogonTimestamp
  • Teams Benennungsrichtlinien definieren
  • Bitlocker-Recovery Password mit PowerShell auslesen
  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Alex bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Kupfer Küchenmischbatterie bei PowerShell – Gruppen-Manager Berechtigung setzen
  • Kevin bei Verschachtelung von Gruppen im AD
Login
Impressum
Datenschutzerklärung

© 2021 · Active-Directory-FAQ by firstattribute.com

Prev Next