Jump to content

Max. Gruppenanzahl im AD


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute!

 

Hab mal eine ziemlich dämliche frage! Wir in der Firma schreiben ein eigenens Programm! Und wollen die Zugriffsberechtigungen übers AD laufen lassen (abfrage via LDAP)! Jetzt wollte mein Programmierer von mir wissen ob wir auch Prozessberechtigungen (mit Prozesse meine ich geschichten wie: Kunden im neuen Prog anlegen usw.) übers AD steuern können. Ich meinte drauf eigentlich schon! Im Gespräch hat sich dann herausgestellt das er von mir will das wir ganze Geschäftsprozesse übers AD abwickln sollen und zwar so das er diese Prozesse in seinem Programm hinterlegt ich aber im AD über die Gruppenberechtigungen steuere welche Rechte der User in seinem Programm hat! Und dann haben wir mal so kurzer Hand uns überlegt wieviele Gruppen das ungefähre sein müssten! Wir haben nach ca. 1000 geschäftsprozessen aufgehört zu überlegen. Weil er die Frage gestellt hat ob wir alle möglichen Prozesse überhaupt im AD unterbringen! Ich meinte noch immer es sollte kein problem sein! Es wird nur die Replikation etwas länger daueren oder habe ich mich damit etwas in die nesseln gesetzt?

 

Ich denke nicht!

 

Kann mir vielleicht auch wer sagen wieviele Gruppen bzw. Objekte man im AD anlegen kann bevor es schreit oder so! Denn um die Handhabung muß ich mich ja sowieso kümmern! Hab schon ein bisschen gegooglt und auch auf ms seiten rumgesucht aber irgendwie waren die antworten nicht so wirklich befriedigend!

 

Hat von euch schon mal jemand sowas probiert?

 

Sagt mir kurz mal bescheid bitte!

 

LG

 

JustinXiang

--------------------------------------------------------------------------------

PS: Sagt mir bitte nicht das ich es als MCSE eigentlich wissen sollte!

Link zu diesem Kommentar

Servus,

 

eine Gruppe unter Windows 2000 kann/darf max. 5.000 Mitglieder haben.

Gruppenmitgliedschaften sind im Active Directory unter Windows 2000 ein mehrwertiges Attribut, was soviel heißt, dass bei einer Änderung dieser Gruppe, die gesamte Gruppe repliziert wird und nicht nur der z.B. hinzugekommene Benutzer. Weiterhin wird das Ticket das der Benutzer bei der Anmelddung erhält größer, da in dem Ticket die SIDs der Gruppen in denen der Benutzer Mitglied ist enthalten ist. Dabei zählen die Gruppen in denen der Benutzer direkt oder verschachtelt Mitglied ist.

 

Dieses Verhalten hat sich unter Windows Server 2003 - da auch nur, wenn sich die Gesamtstruktur im Gesamtstrukturfunktionsmodus "Windows Server 2003" befindet - verbessert. Dort gibt es diese Grenze von 5.000 Benutzern nicht mehr.

Das Stichwort dazu lautet: Linked Value Replication (LVR).

 

Der Benutzer kann zwar in beliebig vielen Gruppen Mitglied sein, aber in das Access-Token des Benutzer können maximal 1.024 SIDs eingetragen werden.

Users Who Are Members of More Than 1,015 Groups May Fail Logon Authentication

 

 

Tatsächlich kann es aber schon weit unter dem Wert (1.024) zu Problemen kommen.

 

Unter Windows 2000 - dort je nach SP-Stand - kann es schon ab 120 Gruppenmitgliedschaften zu Problemen kommen.

New resolution for problems with Kerberos authentication when users belong to many groups

 

 

Unter Windows Server 2003 kann es schon bei ca. 70 Gruppenmitgliedschaften zu Problemen führen:

Microsoft Corporation

Link zu diesem Kommentar
Unter Windows 2000 - dort je nach SP-Stand - kann es schon ab 120 Gruppenmitgliedschaften zu Problemen kommen.

New resolution for problems with Kerberos authentication when users belong to many groups

 

 

Unter Windows Server 2003 kann es schon bei ca. 70 Gruppenmitgliedschaften zu Problemen führen:

Microsoft Corporation

Full ACK. Habe einen Kunden, da gabs (unter 2003) nach der Migration von NT4.0 wegen bei einigen Usern große Probleme wegen der mitgeführten SID-History. Die waren so in ca. 130-140 Gruppen und damit das Token zu groß.

 

Aber die Anzahl der Objeke im AD kann wirklich groß sein, und das AD getesteterweise noch performant.

 

grizzly999

Link zu diesem Kommentar

...und um noch zwei weitere Aspekte zu nennen:

 

1. Beim Auflösen der Gruppenmitgliedschaften durch 3rd Party Applikationen oder beim Logon des Benutzers kann es bei einer hohen Anzahl an Gruppenmitgliedschaften zu einer hohen Auslastung der DCs kommen (Stichwort lsass.exe). Ist also nicht empfehlenswert.

 

2. Weiterhin ist es nur möglich, ab Windows Server 2003 jeweils 1.500 Attributwerte in einem Datenbankquery abzufragen - dazu gehören auch die Gruppenmitgliedschaften. Mehrere inkrementelle Abfragen ermöglichen es dann, alle Attributwerte nacheinander auszulesen.

Das bedeutet, daß die verwendete 3rd Party Applikation diese inkrementellen Abfragen beherrschen muß - die MS-eigenen Mechanismen sind (natürlich) dazu in der Lage.

 

Gruß olc

Link zu diesem Kommentar

Viel Dank erstmal an alle!

 

@olc: danke für die info bezüglich den Attributswerten, denke aber das es für unseren Programmierer wenn er das weiß kein problem darstellen sollte es so zu programmieren, das es dann auch inkrementelle abfragen gibt, da wir ja das ganze programm selber programmieren und uns daher auf nur teileweise auf 3rd party tools verlassen müssen!

 

Falls ich noch Fragen habe melde ich mich bei euch nochmal! Aber danke schon im Voraus

 

LG

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...