Jump to content

Active Directory - MaxTokenSize Ideen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Mit Admins,

ich stehe vor einer Herausforderung.

 

Wir haben vor einiger Zeit das Berechtigungskonzept auf Gruppen umgebaut.

Sprich es gibt für jeden Ordner, dessen Vererbung aufgebrochen wurde, entsprechende Gruppen.

 

Dies sind mittlerweile eine ganze Menge und gerade der Bereich IT ist in vielen Gruppen Mitglied.

Teilweise nähern wir uns der 1000.

 

Auf der anderen Seite ist die Umstellung noch nicht mal zu 100% abgeschlossen.

 

Gleichzeitig kann ich nicht mit Verteilergruppen arbeiten, da die ntfs technisch nicht ziehen.

 

Wie löst ihr das? Einfach X beliebige Gruppen im Filesystem berechtigen? Wie kann man dann noch nachvollziehen wer was darf?

Kann der SQL Server mit Verteilergruppen umgehen?

Das Lösen über Gruppen ist ja MS Standard, wieso diese Sperre bei 1000 Gruppen? Wird es da mal eine deutliche Anpassung geben?

 

Danke schön für eure Antworten

Gruß Thomas

bearbeitet von Coloneltw
Link zu diesem Kommentar

Hi,

 

wofür genau braucht Ihr so viele Gruppen? Ich kenne große Organisationen die 80-120 Gruppenmitgliedschaften pro User haben und da hatten wir schon Probleme in Kundenprojekten (Aufruf einer Website brachte HTTP Error 400.13 - "Request Header is too long" usw.). Allgemein meine ich mich zu erinnern das theoretisch 1024 Gruppenmitgliedschaften möglich sind, man bereits aber bei rund 100 Gruppen in Probleme läuft (siehe mein Beispiel). Vielleicht solltet Ihr doch noch einmal euer Berechtigungskonzept überarbeiten denn so schnell wird sich an diesem Limit nichts ändern wie ich fürchte.

 

Viele Grüße!

bearbeitet von Timsk
Link zu diesem Kommentar

Die Idee kam daher, dass es kaum möglich ist herauszubekommen wer auf was zugreifen darf.

Also haben wir ntfs Gruppen / je Verzeichnis mit aufgebrochener Vererbung gebaut.

Softwaregruppen umfassen dann alle notwendigen ntfs und andere gruppen die notwendig sind um eine Software nutzen zu können.

Im AD ist es dann transparent, was eine Software benötigt um zu funktionieren und welche Rechte ein User genau hat. Zur zeit werden gerade die SQL Server auf Gruppenberechtigungen umgestellt, da hier die Benutzer z.B. nicht automatisch gelöscht werden, wenn sie im AD verschwinden oder die Software nicht mehr benötigen.

Viele User haben unter 100 Gruppen, viele bis 200. Aber ein Viertel kommt bis auf 800 ran.

Die meisten sind davon aber ITler oder User mit weit gefächerten Aufgabenbereich. Wir betreuen 6 Firmen die zusammengehören und wenn eine Software auf 5 Verzeichnisse und 2 SQL DBs zugreifen muss sind das mal eben 7 Gruppen + die Softwaregruppe. An sich nicht schlimm. Nun einige müssen diese Aufgabe in allen Unternehmen durchführen. Also 6*7 Gruppen.

Das summiert sich. Wir wollen Brüche in den Vererbungen aufräumen/verhindern aber das ist nicht immer ganz leicht.

Zuvor war es halt sehr undurchsichtig. Klar ich kann die Softwaregruppe direkt auf alle Verzeichnisse berechtigen, aber das ist nicht transparent. Und dokumentieren will das auch keiner.

Wenn man dann wissen wer, wer darf was, muss man Tools wie 8man einsetzen und sich 1000 Seitige Berichte erzeugen lassen.

Und frei nach dem Motto macht alle zu Domänenadmins, dann funktioniert alles können wir auch nicht verfahren.

Es ist doof, das man die verteilergruppe nicht verwenden kann. Es währe hilfreich wenn man beim Zugriff auf ein Verzeichnis einfach eine Abfrage am DC machen könnte. Das erzeugt Last auf dem DC aber Hardware ist billig und beliebig erweiterbar.

Link zu diesem Kommentar

Naja das Unterbrechen der Vererbung ist nicht unsere Idee, sondern Anforderung. Es darf nicht jeder auf jeden Ordner zugreifen.

Ich habe schon einige Ideen wie ich das eindämmen kann.

Ist das von MS wirklich zu Ende gedacht?

Auf der einen Seite sagen sie man soll über Gruppen berechtigen, damit das AD gleichzeitig die Dokumentation ist und dann reduzieren sie die maximale Anzahl von Gruppen je User.

Wie machen das große Unternehmen mit zig tausenden von Gruppen?

Danke schön auf alle Fälle schonmal

Link zu diesem Kommentar

Moin,

die Anzahl der Gruppenmitgliedschaften ist nicht willkürlich beschränkt worden, sondern die Folge technischer Design-Entscheidungen. Das entsprechende Feld im Token nimmt einfach nicht mehr Werte auf. Anpassungen sind grundsätzlich möglich und wurden auch vorgenommen (z.B. in Windows Server 2012), aber gehen immer zu Lasten der Kompatibilität.

Da gerade in einer Umgebung mit vielen differenzierten Berechtigungen durchaus schnell sehr viele Gruppen zusammenkommen, kann nur ein grundsätzlicher Design-Entwuf zur Problemlösung beitragen. Dazu kann gehören, die Berechtigungs- und Gruppensysteme zentral neu zu entwerfen, um die Zahl der Variationen einzugrenzen. Ein anderer Ansatz ist, mit verschiedenen Ressourcen-Domänen zu arbeiten, da die Domänenlokalen Gruppen ja nur innerhalb der jeweiligen Domäne existieren.

[faq-o-matic.net » Windows-Gruppen richtig nutzen]
http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Ebenfalls zu prüfen wäre, ob die neue "Dynamic Access Control" in Windows Server 2012 das Problem einzudämmen hilft. Das wäre dann das Prinzip "Es wäre hilfreich wenn man beim Zugriff auf ein Verzeichnis einfach eine Abfrage am DC machen könnte."

[faq-o-matic.net » WINone: Folien und Nachträge zu Windows Server 8]
http://www.faq-o-matic.net/2012/02/06/winone-folien-und-nachtrge-zu-windows-server-8/
(dort ist noch der Ausdruck "Flexible Access")

Auf jeden Fall wird man das ohne hohen Design-Aufwand nicht lösen können.

Schöne Grüße, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Hallo zusammen,

 

ich stimme mal meinen Vorrednern zu, es wird nicht ohne ReDesign/Umstrukturierung der Gruppenmechanik gehen. Denn vor Win2012 gibt es eine fixe Grenze für die Größe des Access Tokens, und die liegt genau bei 1014 Gruppenmitgliedschaften. Daraus resultieren dann nicht nur Zugriffsprobleme bei Filezugriff oder DB-Zugriff oder HTTP "Request Header too long" Fehler, sondern auch so häßliche Nebeneffekte dass z.B. plötzlich die Verarbeitung der Gruppenrichtlinien nicht mehr funktioniert. Sehr hinterhältig, deswegen besser frühzeitig die Gruppen und Mitgliedschaften restrukturieren...

 

Zur Info: In das Access Token kommen nicht nur die SIDs der Gruppen, in denen ein User- oder Computer-Account unmittelbar enthalten ist, sondern die SIDs auch derjenigen, in denen eine Mitgliedschaft nur über Gruppenverschachtelung existiert. Da kommt dann schnell was zusammen in größeren Umgebungen.

 

Sichtbar wird das am AD-Attribut  "tokenGroups", hier sind die SIDs ALLER Gruppen sichtbar, in denen man direkt und indirekt enthalten ist. Sichtbar mit ADSIEdit, oder der W2K8 Registerkarte "Attribut-Editor" in der AD-Verwaltung...oder mit einem LDAP Browser.

 

Gruß,

Philipp

Link zu diesem Kommentar

das erreicht man auch ohne Unterbrechung.

Ja sofern man davon ausgeht, dass NUR mehr Rechte aber nicht weniger vergeben werden.

Es ist durchaus möglich, wenn nicht sogar häufig, dass alle User z.B. Zugriff auf das Abteilungslaufwerk haben, aber der Leiter unterhalb einen Ordner nur für sich hat. In denen könnte er dann Bewertungen, Personalsachen etc. lagern.

Darum wollten wir so flexibel wie möglich sein.

Wenn wir alles anfassen dann richtig war das Motto.

Das funktioniert soweit auch prima bis zur Tokengröße.

 

Ich denke wir werden im ersten Schritt eine globale ntfs Gruppe bauen, die auf alle Ordner Zugriff bekommt. Dort können dann die User rein, die auf alles Zugriff benötigen. Das würde das Problem eindämmen, da Diese dann vermutlich auf unter 500 Mitgliedschaften fallen.

Als 2. Schritt werden wir prüfen ob der Vererbungsbruch noch sinnvoll ist.

Das mit Windows Server 2012 hört sich spannend an. Vielleicht komme ich bald dazu einen ersten dieser Server installieren zu können. Die Fileserver/Domänencontroller könnten dann bestimmt bald folgen.

Aber das wird wohl eher Jahre dauern bis wir die Altsysteme losgeworden sind. Es läuft zum Teil sogar noch der ein oder andere Win2000 Server, da wir diese Krücke nicht loswerden.

 

Danke schön

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...