GPOs ziehen nicht bei allen Benutzern - Max Token Size

smartino · 2. Juli 2009

Hallo zusammen,

wir haben hier og. DCs und die Clients sind alle XP. Bei Usern, die sehr viele Gruppenmitgliedschaften haben (140) ziehen nicht immer die GPOs. Dazu kann man entweder die Gruppenmitgliedschaften reduzieren oder die MaxTokenSize erhöhen. Hier der Artikel dazu:

***

Locate and click the following key in the registry:

HKLM\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters

3.

If this key is not present, create the key. To do so:

Click the following key in the registry:

System\CurrentControlSet\Control\Lsa\Kerberos

On the Edit menu, click Add Key.

Create a Parameters key.

Click the new Parameters key.

4.

On the Edit menu, click Add Value, and then add the following registry value:

Value name: MaxTokenSize

Data type: REG_DWORD

Radix: Decimal

Value data: 65535

5.

Quit Registry Editor.

The default value for MaxTokenSize is 12000 decimal. We recommend that you set this value to 65535 decimal, FFFF hexadecimal. If you set this value incorrectly to 65535 hexadecimal (an extremely large value) Kerberos authentication operations may fail, and programs may return errors.

***

Wir haben auch schon die SID History gelöscht, wie hier empfohlen:

How To Use Visual Basic Script to Clear SidHistory

Nun kämpfen wir immer mal wieder mit diesem Problem obwohl die SID-History gelöscht wurde. Mich würde interessieren wie ich herausfinden kann, wie voll dieser Token beim Client ist. Gibt es da eine Möglichkeit?

Kein ganz einfaches Problem aber mich würde eine Lösung echt interessieren.

Grüße

Thomas

smartino · 3. Juli 2009

Hi,

hat keiner eine Idee? Ich weiß, nicht alltäglich - entsprechend habe ich auch nichts oder nur sehr wenig dazu im Netz gefunden und hoffe daher, daß jemand hier eine Idee dazu hat.

Grüße

Thomas

olc · 6. Juli 2009

Hi,

es gibt ein, zwei Tools, die die Tokensize auslesen können, so etwa http://www.microsoft.com/downloads/details.aspx?familyid=4A303FA5-CF20-43FB-9483-0F0B0DAE265C .

Im Grunde reicht jedoch auch ein schlichtes "whoami /all". Dann kannst Du die Gruppen einfach "zählen". Bedenke dabei, daß es schon ab einer geringeren Menge an Gruppenmitgliedschaften als 1.024 Probleme geben kann. Daher erklären sich auch ggf. die Probleme mit 140 Gruppen (BTW: direkte Gruppenmitgliedschaften oder verschachtelt weitere?).

Wie gesagt, schau Dir einmal ein "whoami /all" an.

Viele Grüße

olc

smartino · 6. Juli 2009

Hi olc,

es sind verschachtelt sicher noch mehr :( Vielen Dank für Deine Antwort. Ich teste das aus.

Grüße

Thomas

smartino · 10. Juli 2009

Bedenke dabei, daß es schon ab einer geringeren Menge an Gruppenmitgliedschaften als 1.024 Probleme geben kann. Daher erklären sich auch ggf. die Probleme mit 140 Gruppen (BTW: direkte Grupp

Gibt es dazu eine definitive Aussage von MS, ab wann es Probleme geben kann? Ich habe nichts gefunden.

Grüße

Thomas

olc · 10. Juli 2009

Hi,

es gibt viele unterschiedliche Szenarien, in denen die Anzahl der möglichen Gruppen variieren kann. Siehe dazu z.B. hier: Users who are members of more than 1,015 groups may fail logon authentication

Viele Grüße

olc