File Zugriffs Gruppen

[olc 18]

Ich auch - Schreibfehler. :)

[Sandra_B 10]

Das Ergebnis von Tokensz:

 

C:\tokensz>tokensz /compute_tokensize /package:negotiate /use_delegation /target

_server:DomainController

 

Name: Negotiate Comment: Microsoft Package Negotiator

Current PackageInfo->MaxToken: 12128

 

MaxTokenSize (incomplete context): 9346

 

Wenn ich das richtig interpretiere, müsste doch die Size ausreichen :(

[Sandra_B 10]

ui da hab ich ja was losgetreten :)

 

danke für eure Mühe und gute Nacht!

[olc 18]

Hi,

 

versuch es trotzdem einmal mit dem Hochsetzen auf dem betroffenen Client auf 65535 dezimal - zum Testen.

 

Wie viele Gruppen waren im Export für den betroffenen Benutzer angegeben (Anzahl)? Du hast den TokenSZ Export als ein betroffener Benutzer ausgeführt, korrekt?

 

Übrigens würde Kerberos Event ID 4 eher auf andere Kerberos Probleme hinweisen (etwa mit fehlerhaften SPNs) anstatt der MaxTokenSize. Aber wenn Du das Problem beheben kannst, wenn Du Gruppen entfernst, deutet alles eher auf die MaxTokenSize hin. --> Oder es sind schlichtweg fehlerhafte Gruppenvergaben mit DENY auf die problematischen Ressourcen...

 

Viele Grüße

olc

[Sandra_B 10]

Guten Tag!

 

Es hat geklappt!

Lösung: Group Policy may not be applied to users belonging to many groups

Auf DC's und Client's eingetragen und Neustarten (zwingend).

 

Ich hab zuvor den RegEintrag im Falschen Schlüssel erstellt... (War auch schon spät) ;)

 

Danke für eure Hilfe!

Gruss

[olc 18]

Hi,

 

klasse - also wie vermutet die MaxTokenSize. Schön, daß es nun klappt und danke für die Rückmeldung. :)

Teste trotzdem auch alle Deine Applikationen, ob sie mit dem 64KB großen Puffer zurecht kommen - das muß (leider) nicht der Fall sein.

 

Im oben von mir genannten KB hast Du auch gleich ein ADM für die Verteilung der Einstellung per GPO.

 

Viele Grüße

olc

[NorbertFe 2.279]

Im Hotfix? Oder bin ich blind?

 

Bye

Norbert

[carlito 10]

Im Hotfix? Oder bin ich blind?

 

Dort How to use Group Policy to add the MaxTokenSize registry entry to multiple computers

[olc 18]

Hi Norbert,

 

nein, in meinem zweiten Beitrag gleich ganz zu Beginn: How to use Group Policy to add the MaxTokenSize registry entry to multiple computers :)

 

[EDIT] Zu spät. :) [/EDIT]

 

Viele Grüße

olc

[NorbertFe 2.279]

Aja danke. Soweit zurück hab ich nicht geblättert. Wann kommen bei MS die admx? ;)

 

Bye

Norbert

[olc 18]

...die kommen (indirekt), wenn Du eine schreibst. :D

[NorbertFe 2.279]

Tsts. Das bezweifle ich, dass die dann bei MS mitgeliefert würden. Die haben sich schon mit übermittelten adms mehr als schwer getan. ;)

 

Bye

Norbert

[olc 18]

Nee, ich meinte ja explizit "indirekt". Sprich von Dir, nicht von MS. ;)

 

Es gibt halt Gründe dafür, daß auch unter Windows 7 die MaxTokenSize noch auf 12KB steht. Wenn die Gnadenfrist für andere Applikationen / Dienste dann vielleicht irgendwann einmal vorbei ist, kommt vielleicht der Wert auch mal per RTM oder per ADMX. :D

 

Viele Grüße

olc

[NorbertFe 2.279]

Nee, ich meinte ja explizit "indirekt". Sprich von Dir, nicht von MS. ;)

 

Ich habs befürchtet. Naja mal schauen, ob und wann ich dazu komme. ;)

 

Es gibt halt Gründe dafür, daß auch unter Windows 7 die MaxTokenSize noch auf 12KB steht. Wenn die Gnadenfrist für andere Applikationen / Dienste dann vielleicht irgendwann einmal vorbei ist, kommt vielleicht der Wert auch mal per RTM oder per ADMX. :D

 

Ein Standardwert ist aber noch lange kein Grund, warum man kein ADMX mitliefert um diesen zu beeinflussen. ;)

 

Bye und Gute Nacht

Norbert