Oppossum 10 Geschrieben 12. Januar 2008 Melden Geschrieben 12. Januar 2008 Hi zusammen, kennt jemand das Limit im AD, wie vielen Gruppen ein User im AD zugeordnet sein kann? Gibt es ein Limit? Gruss Oppossum
olc 18 Geschrieben 12. Januar 2008 Melden Geschrieben 12. Januar 2008 Hallo, Du solltest nicht mehr als 1024 Gruppenmitgliedschaften haben, siehe When you try to log on to a Windows Server 2003-based domain by using a domain user account, the logon request fails In der Praxis empfiehlt sich jedoch so oder so, einen Benutzer nicht so vielen Gruppen zuzuordnen. Gruß olc
Daim 12 Geschrieben 12. Januar 2008 Melden Geschrieben 12. Januar 2008 Servus, kennt jemand das Limit im AD, wie vielen Gruppen ein User im AD zugeordnet sein kann? Gibt es ein Limit? der Benutzer kann zwar in beliebig vielen Gruppen Mitglied sein, aber in das Access-Token des Benutzer können maximal 1.024 SIDs eingetragen werden. Users Who Are Members of More Than 1,015 Groups May Fail Logon Authentication Tatsächlich kann es aber schon weit unter dem Wert (1.024) zu Problemen kommen. Unter Windows 2000 - dort je nach SP-Stand - kann es schon ab 120 Gruppenmitgliedschaften zu Problemen kommen. New resolution for problems with Kerberos authentication when users belong to many groups Group Policy may not be applied to users belonging to many groups Unter Windows Server 2003 kann es schon bei ca. 70 Gruppenmitgliedschaften zu Problemen führen. Noch dazu kommt noch unter Windows Server 2003, dass die SID-History dazu zählt. Microsoft Corporation
Oppossum 10 Geschrieben 12. Januar 2008 Autor Melden Geschrieben 12. Januar 2008 Muchas Gracias! Das bringt mich weiter. ich denke allerdings nicht, dass ich mehr als 50 Gruppen haben werde, so dass in meinem Umfeld keine Probleme zu erwarten sind... - hoffe ich. In diesem Sinne Gruss Das Oppossum
gelöscht 0 Geschrieben 13. Januar 2008 Melden Geschrieben 13. Januar 2008 Hallo, btw: unter Windows 2000 gab es auch im umgekehrten Fall immer wieder Probleme, nämlich dann wenn eine Gruppe mehr als 5000 Mitglieder hatte. ASR
Daim 12 Geschrieben 13. Januar 2008 Melden Geschrieben 13. Januar 2008 Tach, unter Windows 2000 kann eine Gruppe max. 5.000 Benutzer enthalten. Die Gruppenmitgliedschaften sind ein "multi-valued" Attribut im Active Directory. Das bedeutet konkret, wenn z.B. eine Gruppe mit 5.000 Benutzern geändert wird, wird die komplette Gruppe zwischen den DCs repliziert und nicht etwa der geänderte Wert (also das Delta). Es wird dann jedesmal das Attribut Member des Gruppen-Objekts mit samt seinen Werten durch die Gegend repliziert. Unter Windows Server 2003 wurde dieses Verhalten verbessert. Dazu muss sich allerdings der Gesamtstrukturfunktionsmodus im Modus Windows Server 2003 befinden. Dort wurde "quasi" die Grenze von 5.000 Benutzern aufgehoben. Die Technik die das ermöglicht, lautet Linked Value Replication (LVR). Hierbei werden lediglich die Deltas repliziert. Die Anzahl von 5.000 ist der von Microsoft supportete Wert und zwar auch unter Windows Server 2003. Deshalb sollten neue Gruppen mit wesentlich mehr als 5.000 Benutzern per Bach/Skriptweise eingerichtet werden, da es sonst zu "out of version store"-Fehlern führen kann.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden