«

»

Das Tokensize-Problem

Die Tokensize:

Die Größe der Security-Token der Microsoft-Accounts muss ständig überwacht werden, denn wenn ein bestimmter Wert überschritten wird, hat das zur Folge, dass sich die User nicht mehr am System anmelden können. Wenn man die Berechtigungen nach dem A-G-DL-P-Prinzip verwaltet, gibt es einen direkten Zusammenhang mit der Anzahl der Gruppen im AD und der Anzahl der Gruppenmitgliedschaften. Aus diesem Grund ist es wichtig, das richtige Konzept für die Gruppen zu wählen. Das kann durchaus auch das A-DL-P-Prinzip sein, weil es in dieser Form  einige Gruppen weniger sind, in denen der Account Mitglied ist, was allerdings Nachteile mit sich bringen kann.

Wenn man sich an A-G-DL-P orientiert, entstehen pro Verzeichnis, das mit dedizierten Berechtigungen gesteuert wird, mindestens zwei neue Gruppen. Eine z.B. für “Ändern” und eine für “Lesen und Ausführen”. In diesen Gruppen wird dann der User direkt oder indirekt über eine Globale Gruppe Mitglied. Wenn das über sehr viele Verzeichnisse individuell geschieht, kann ein User schnell in vielen Gruppen Mitglied sein, was sich in der Folge direkt auf die Tokensize auswirkt. Hinzu kommen noch die Listberechtigungen, die für das Browsen benötigt werden. Hier gibt es einige Stellschrauben, an denen man Einfluss nehmen kann, sie werden auf der folgenden Seite gesondert dargestellt.

Die direkten und indirekten Gruppenmitgliedschaften werden ständig von migRaven überwacht und ausgewertet. Wenn die gesetzte Größe ihrer Active Directory-Umgebung von einzelnen Accounts überschritten wird, informiert Sie migRaven automatisch darüber.

Die Größe des Token kann man nach dieser Regel selbst berechnen:

1200 für die Verwaltungsinformation
+ 40 * Anzahl der Mitgliedschaften in domänenlokalen Gruppen
+ 40 * Anzahl der Mitgliedschaften in universellen Gruppen anderer Domänen
+ 40 * Anzahl der SIDs in der SID-History
+ 8 * Anzahl der Mitgliedschaften in globalen Security-Gruppen
+ 8 * Anzahl der Mitgliedschaften in universellen Gruppen der eigenen Domäne
=======================
Gesamtgröße des Tokens

Mit jeder Windows-Version vergrößerte sich der Wert für die maximale Token-Size, die man in notwendigen Fällen noch auf die Größe von 64 kb erhöhen kann. Weiter sollte man diesen Wert nicht erhöhen, da andere Systeme nicht damit umgehen können.

Details finden Sie noch mal unter: http://www.msxfaq.de/verschiedenes/kerberosticketsize.htm

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*
= 3 + 1

Wordpress SEO Plugin by SEOPressor