Gruppenwahnsinn…

Wer spricht denn heute noch von der Schweinegrippe, der Vogelgrippe oder dem Rinderwahnsinn? Der Gruppenwahnsinn ist schon viel länger existent – nämlich schon seit NT4. Um was geht es hier überhaupt? Naja: Es geht kurzum gesagt um umfangreiche Gruppenmitgliedschaften von Benutzern. Damit sind nicht nur die direkten Gruppenmitgliedschaften gemeint, sondern auch alle dadurch vererbten Mitgliedschaften auf die weiteren Ressourcen- und Benutzergruppen.

Bei grösseren Umgebungen, kann dies schon einmal recht massive Formen annehmen – so kann es vorkommen (aktuell passiert), dass ein Benutzer ein Mitglied von 521 Gruppen ist (natürlich nicht direkt, sondern über die Verschachtelung der direkten Mitgliedschaften in weitere Gruppen, etc.). Wenn nun ein solcher Benutzer und dessen zugehörige Gruppen in eine neue Domäne migriert werden, verdoppelt sich diese Anzahl, da jedes Objekt noch eine SID im SIDHistory-Attribut in der neuen Domän aufweist. Somit ist dieser Benutzer plötzlich ein Mitglied von 1042 Gruppen – und dies ist nun einfach zuviel für Windows, welches ein Limit von 1’000 Gruppen vordefiniert hat und sonst eine Anmeldung verweigert… Es gibt gar einen KnowledgeBase-Artikel von MS dazu – eine Lösung ist darin auch zu finden – nämlich die folgende:

Microsoft has confirmed that this is a problem in the Microsoft products that are listed in the „Applies to“ section.This behavior is by design.

Kurz und gut: MS erkennt dies als ein Problem an, stellt dann jedoch fest, dass es „by design“ so sein soll. Meine Frage ist nun: Ist es ein Problem oder nicht??? Eigentlich sollte es Windows ja egal sein, da über die MaxTokenSize (RegKey) die maximale Grösse des AccessTokens eingestellt werden kann. Dies sollte doch eigentlich genug der Sperre sein, da so jeder selbst entscheiden kann, wie viele Gruppenmitgliedschaften wirklich sinnvoll sind…

PS: Nur, um etwas klarzustellen: Das Gruppenkonzept kam nicht von mir und ich bin auch kein Fan, von solch komplexen Verschachtelungen. Ich kann jedoch in dieser Umgebung nachvollziehen, weshalb dies so gemacht wurde – zudem ist der Aufbau logisch und verfolgt ein klares Konzept… Ich bin jedoch auch kein Fan von Umgebungen, in welchen einfach nur ein paar wenige globale Gruppen erstellt werden, ohne nach dem Konzept „A G DL P“ konfiguriert zu sein… Sinnvolle Gruppenverschachtelung ist nicht sehr schwierig – benötigt jedoch ein Konzept – ein paar Ansätze dazu, sind auch in der „Geschreibsel“-Sektion meiner Seite zu finden…

PS2: Hier übrigens noch der Link zum KB-Artikel von MS: http://support.microsoft.com/kb/275266/en-us

VN:F [1.9.22_1171]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)
Gruppenwahnsinn..., 10.0 out of 10 based on 2 ratings

2 Gedanken zu “Gruppenwahnsinn…

  1. Schön und gut.Doch wie lösen wir das Problem wenn wir all diese Groups migrieren wollen? Einfach den MaxTokenSize erhöhen,auf neuen Server migrieren und danach die SID-History spülen?

  2. Yepp: Da gibt es wohl keine andere Möglichkeit, wenn die Anzahl der SIDs im Token die magische 1’024-Grenze überschreitet. Möglichst schnell die SIDs alt/neu umsetzen und dann die sIDHistory löschen (von den aufgeräumten Objekten). „This behavior is by design“ – sagt MS ;-D…

Schreib einen Kommentar