AD Migration und maximale Anzahl von Gruppenmitgliedschaften

Nach einer AD Migration kann es zu Fehlern bei der Benutzeranmeldung kommen. Wenn ein User zu viele Gruppenmitgliedschaften hat, schlägt die Anmeldung fehl: “During a logon attempt, the user’s security context accumulated too many security IDs.” In diesem Artikel möchte ich folgenden Fragen nachgehen:

• Was ist die maximale Anzahl von Gruppenmitgliedschaften eines Benutzer?
• Was genau passiert bei einer AD Migration, wenn zusätzlich die SID History der Quell-Gruppe übernommen wird?
• Wie kann man feststellen, wie viele Gruppenmitgliedschaften ein Benutzer bereits hat?
• Wie berechnet man die Anzahl SIDs eines Benutzerobjekts?

Maximale Anzahl von Gruppenmitgliedschaften

Der Security Token eines Windows Clients kann maximal eine Anzahl von 1024 SIDs speichern. Sobald ein Benutzerobjekt in mehr Gruppen Mitglied ist, schlägt die Anmeldung fehl. Genau gesagt, liegt das Limit bereits bei ca. 1010 Gruppen, da einige Speicherplätze bereits durch sog. “well known SIDs” belegt sind. Lesen Sie mehr über das Thema auf der Microsoft Support-Seite hier.

Übernahme der SIDHistory bei AD Migration

Werden nun Gruppen im Zuge einer Active Directory Domain Migration in eine neue Domain migriert und wird hier zusätzlich die SIDHistory der Quell-Gruppe mit übernommen, so belegt eine Gruppe plötzlich 2 der 1010 “SID-Speicherplätze” im Security Token. Ist ein Benutzerkonto in der Quell Domain in 500 Gruppen Mitglied, so belegen diese 500 Gruppen in der Ziel Domain bereits 2 x 500 = 1000 der 1010 “SID-Speicherplätze” (vorausgesetzt alle 500 Gruppen wurden migriert).

Fehler bei Anmeldung: “…too many security IDs”

Versuchsaufbau: ich habe einen Testbenutzer in 1010 zufällig generierte Gruppen aufgenommen und die Anzahl der Gruppenmitgliedschaften schrittweise um eins erhöht. Bei Gruppe 1013 war Schluss, eine Anmeldung an einem Windows 10 Client war nicht mehr möglich.

Die Fehlermeldung bei Windows 10 hat sich im Vergleich zu früher sehr verbessert, sie läßt die Ursache zumindest vermuten:

“During a logon attempt, the user’s security context accumulated too many security IDs.”

Windows 10 Fehlermeldung

Zur Vollständigkeit noch die Fehlermeldung von Windows 7:

Windows 7 Fehlermeldung

Anzahl der SIDs eines Benutzerobjektes berechnen

In einem Migrationsprojekt sollte natürlich vermieden werden, dass Anwender sich am Tag des Roll-Outs mit ihren neuen Accounts NICHT anmelden können, da ihr Benutzerkonto aufgrund der SIDHistory zu viele SIDs im Token hat. Um diesen Fall im Vorfeld aufzudecken, kann man mit PowerShell die Anzahl der SIDs für einzelne Benutzerobjekte berechnen lassen.

Attribut Tokengroups zeigt SIDs an

Das Attribute “tokengroups” enthält (fast) alle SIDs, welche dem Security Token bei der Anmeldung hinzugefügt werden. (zzgl. der “well known groups” und der “primary group”). Das Attribut “tokengroups” ist ein sog. “Constructed Value Attribute“. Das bedeutet, dass es keinen gespeicherten Wert hat, sondern beim Auslesen quasi “on demand” gefüllt wird.

Auslesen der Tokengroups mit PowerShell

Da das “tokengroups” Attribut ein “constructed value” ist, muss es auf eine andere Weise ausgelesen werden.

So geht es nicht…

Wenn man das Benutzerobjekt mit “Get-ADUser” bindet und dann die Eigenschaft “tokengroups.count” ausgibt, erhält man keine Ausgabe:

Besser so: “-Properties tokengroups“

Damit das Attribut “tokengroups” beim Binden das Benutzerobjekts berechnet wird, muss es mit dem Parameter “-Properties” direkt adressiert werden:

Bei dem oben beschriebenen Versuchsaufbau mit einem Benutzerkonto, welches in 1013 Gruppen Mitglied ist, hatte “tokengroups” einen Wert von 1015. Dieser Wert reichte aus, um eine Anmeldung unmöglich zu machen.

Größe des Kerberos Tokens beachten

Nicht nur die Anzahl der Gruppen, sondern auch die maximale Größe des Kerberos Tokens kann eine Rolle spielen, wie bereits in diesem Artikel beschrieben wurde: Gruppenmitgliedschaften greifen nicht, GPOs ziehen nicht, MaxTokenSize zu klein?

Versuchsaufbau

Falls jemand den Versuch nachstellen möchte, so habe ich die 1013 Gruppen erzeugt:

Fazit

Über diesen Weg lässt sich eine Auflistung aller Benutzerkonten mit der Anzahl der künftigen SIDs erstellen und auswerten. Die verdächtigen Fälle lassen sich im Vorfeld herausfinden und bereinigen, noch bevor es zu Problemen bei der Anmeldung kommt.