• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AD Migration und maximale Anzahl von Gruppenmitgliedschaften

Mrz 1, 2019 (Letztes Update) | Posted by Jens Künzler Administration, Migration |

 

AD Migration und maximale Anzahl von Gruppenmitgliedschaften

Nach einer AD Migration kann es zu Fehlern bei der Benutzeranmeldung kommen. Wenn ein User zu viele Gruppenmitgliedschaften hat, schlägt die Anmeldung fehl: „During a logon attempt, the user’s security context accumulated too many security IDs.“ In diesem Artikel möchte ich folgenden Fragen nachgehen:

  • Was ist die maximale Anzahl von Gruppenmitgliedschaften eines Benutzer?
  • Was genau passiert bei einer AD Migration, wenn zusätzlich die SID History der Quell-Gruppe übernommen wird?
  • Wie kann man feststellen, wie viele Gruppenmitgliedschaften ein Benutzer bereits hat?
  • Wie berechnet man die Anzahl SIDs eines Benutzerobjekts?

Inhaltsverzeichnis

  • 1 Maximale Anzahl von Gruppenmitgliedschaften
  • 2 Übernahme der SIDHistory bei AD Migration
  • 3 Fehler bei Anmeldung: „…too many security IDs“
  • 4 Anzahl der SIDs eines Benutzerobjektes berechnen
    • 4.1 Attribut Tokengroups zeigt SIDs an
    • 4.2 Auslesen der Tokengroups mit PowerShell
    • 4.3 Größe des Kerberos Tokens beachten
    • 4.4 Versuchsaufbau
  • 5 Fazit

Maximale Anzahl von Gruppenmitgliedschaften

Der Security Token eines Windows Clients kann maximal eine Anzahl von 1024 SIDs speichern. Sobald ein Benutzerobjekt in mehr Gruppen Mitglied ist, schlägt die Anmeldung fehl. Genau gesagt, liegt das Limit bereits bei ca. 1010 Gruppen, da einige Speicherplätze bereits durch sog. „well known SIDs“ belegt sind. Lesen Sie mehr über das Thema auf der Microsoft Support-Seite hier.

Übernahme der SIDHistory bei AD Migration

Werden nun Gruppen im Zuge einer Active Directory Domain Migration in eine neue Domain migriert und wird hier zusätzlich die SIDHistory der Quell-Gruppe mit übernommen, so belegt eine Gruppe plötzlich 2 der 1010 „SID-Speicherplätze“ im Security Token. Ist ein Benutzerkonto in der Quell Domain in 500 Gruppen Mitglied, so belegen diese 500 Gruppen in der Ziel Domain bereits 2 x 500 = 1000 der 1010 „SID-Speicherplätze“ (vorausgesetzt alle 500 Gruppen wurden migriert).

Fehler bei Anmeldung: „…too many security IDs“

Versuchsaufbau: ich habe einen Testbenutzer in 1010 zufällig generierte Gruppen aufgenommen und die Anzahl der Gruppenmitgliedschaften schrittweise um eins erhöht. Bei Gruppe 1013 war Schluss, eine Anmeldung an einem Windows 10 Client war nicht mehr möglich.

Die Fehlermeldung bei Windows 10 hat sich im Vergleich zu früher sehr verbessert, sie läßt die Ursache zumindest vermuten:

„During a logon attempt, the user’s security context accumulated too many security IDs.“

Too many security IDs

Windows 10 Fehlermeldung

Zur Vollständigkeit noch die Fehlermeldung von Windows 7:

Too many security IDs

Windows 7 Fehlermeldung

Anzahl der SIDs eines Benutzerobjektes berechnen

In einem Migrationsprojekt sollte natürlich vermieden werden, dass Anwender sich am Tag des Roll-Outs mit ihren neuen Accounts NICHT anmelden können, da ihr Benutzerkonto aufgrund der SIDHistory zu viele SIDs im Token hat. Um diesen Fall im Vorfeld aufzudecken, kann man mit PowerShell die Anzahl der SIDs für einzelne Benutzerobjekte berechnen lassen.

Attribut Tokengroups zeigt SIDs an

Das Attribute „tokengroups“ enthält (fast) alle SIDs, welche dem Security Token bei der Anmeldung hinzugefügt werden. (zzgl. der „well known groups“ und der „primary group“). Das Attribut „tokengroups“ ist ein sog. „Constructed Value Attribute„. Das bedeutet, dass es keinen gespeicherten Wert hat, sondern beim Auslesen quasi „on demand“ gefüllt wird.

Auslesen der Tokengroups mit PowerShell

Da das „tokengroups“ Attribut ein „constructed value“ ist, muss es auf eine andere Weise ausgelesen werden.

So geht es nicht…

Wenn man das Benutzerobjekt mit „Get-ADUser“ bindet und dann die Eigenschaft „tokengroups.count“ ausgibt, erhält man keine Ausgabe:

PowerShell
1
2
$user=get-aduser username -Properties *
$user.tokenGroups.count

Besser so: „-Properties tokengroups„

Damit das Attribut „tokengroups“ beim Binden das Benutzerobjekts berechnet wird, muss es mit dem Parameter „-Properties“ direkt adressiert werden:

PowerShell
1
2
3
$user=get-aduser username
$token=(get-aduser $user -Properties tokengroups).tokengroups
$token.count

Bei dem oben beschriebenen Versuchsaufbau mit einem Benutzerkonto, welches in 1013 Gruppen Mitglied ist, hatte „tokengroups“ einen Wert von 1015. Dieser Wert reichte aus, um eine Anmeldung unmöglich zu machen.

Größe des Kerberos Tokens beachten

Nicht nur die Anzahl der Gruppen, sondern auch die maximale Größe des Kerberos Tokens kann eine Rolle spielen, wie bereits in diesem Artikel beschrieben wurde: Gruppenmitgliedschaften greifen nicht, GPOs ziehen nicht, MaxTokenSize zu klein?

Versuchsaufbau

Falls jemand den Versuch nachstellen möchte, so habe ich die 1013 Gruppen erzeugt:

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
[int]$count="0"
do
{
    $count=$count +"1"
    $RND=Get-Random -minimum 100000 -maximum 999999
    $groupname="TestGroup" + $RND
    $groupname
    New-ADGroup -Name $groupname -SamAccountName $groupname -GroupCategory Security -GroupScope Global -Path $OU
    $NewGroup=get-adgroup $groupname
    Add-ADGroupMember -identity $NewGroup -Members $user
}
while ($count -ne "1013")

Fazit

Über diesen Weg lässt sich eine Auflistung aller Benutzerkonten mit der Anzahl der künftigen SIDs erstellen und auswerten. Die verdächtigen Fälle lassen sich im Vorfeld herausfinden und bereinigen, noch bevor es zu Problemen bei der Anmeldung kommt.


 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting
| AD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 11.07.2017
Tags: Gruppenmitgliedschaftensecurity tokenSIDSID Historytokengroups
5

You also might be interested in

Kerberos: Probleme nach Schema-Update auf Server 2012 R2

Sep 28, 2015

Nach einem Schema-Update von Windows 2008 R2 auf Windows 2012[...]

DNS Records aktualisieren sich nicht

Okt 30, 2014

Aktualisierung von DNS-Records im Active Directory Neulich hat mich ein[...]

SID-Filtering deaktivieren

Jul 20, 2011

Bei einer Active Directory Migration werden eine oder mehrere Domänen parallel[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next