Coloneltw 10 Geschrieben 17. Oktober 2011 Melden Teilen Geschrieben 17. Oktober 2011 Hallo an alle und vielen Dank schonmal für eure Hilfe, wir sind gerade dabei unser AD ein wenig umzubauen. Dazu wollen wir für jede Ordnerberechtigung eine/mehrere eigene Gruppe/n bauen so dass wir bei Änderungen die User nur noch im AD in die passenden Gruppen eingliedern müssen. So sagt ja auch MS das man es so tun soll. Dies führt aber dazu, dass die User natürlich in vielen Grupen Mitglied sind (aktive wie passiv über Verschachtelung). Da dies alles Sicherheitsgruppen sind wird irgendwann die Token Größe überschritten und die Anmeldung im AD schlägt fehl. Im Standard kann man wohl so in 120 Gruppen Mitglied sein. Wir reden aber von weit mehr als 400 Gruppen. Dies sollte nicht das Problem sein, da Verteilergruppen ja nicht gewertet werden. Das sieht dann wie folgt aus: es gibt ntfs (sicherheits) Gruppen, welche auf den ordner berechtigt sind. In diesen Gruppen sind wiederrum Verteilergruppen Mitglied und hier wiederrum die User. Wenn ich das richtig gelesen habe ist das so wie MS das möchte. Sicherheitsgruppen auf Ressourcen, Verteilergruppen für die User. Wenn jetzt eine Software auf 5 verschiedene verzeichnisse Zugriff benötigt würde man eine Softwaregruppe bauen und dort die User packen. Die SW-Gruppe wird dann Mitglied in den entspr. NTFS Gruppen, welche für die Software notwendig sind. Die SW-Gruppe würde dann eine Verteilergruppe sein, die NTFS-Gruppen dann Sicherheitsgruppen. Soweit zur Theorie - in der Praxis geht das aber leider nicht. Sowie die SW-Gruppe zur Verteilergruppe wird, sind die Berechtigungen weg. Daher meine Frage wie man dies sonst machen soll? Kann ja nicht sein, dass die max. Tokengröße max. 400 Gruppen zulässt und man dies nicht über andere Gruppentypen umgehen kann. Fällt euch was dazu ein? Danke schön Gruß Thomas Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 17. Oktober 2011 Melden Teilen Geschrieben 17. Oktober 2011 Moin, faq-o-matic.net » Windows-Gruppen richtig nutzen Wie kommst du auf max. 400 Gruppen? Der Wert, der mir bekannt ist, ist zweieinhalb mal so groß (siehe obigen Artikel). Und: Verteilergruppen sind für dein Vorhaben nicht geeignet, siehe auch obigen Artikel. Gruß, Nils Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 17. Oktober 2011 Melden Teilen Geschrieben 17. Oktober 2011 Moin Thomas, das, was Du schilderst, klingt nach einer ziemlich haarsträubenden Ordnerstruktur in Eurem Filesystem. Ich habe schon des öfteren durch eine Optimierung der Ordner- und Freigabestruktur ein deutlich verbessertes Anmeldeverhalten an den Clients hinbekommen. Zitieren Link zu diesem Kommentar
morpheus 10 Geschrieben 18. Oktober 2011 Melden Teilen Geschrieben 18. Oktober 2011 Hallo Coloneltw, Ich kenne das Problem. Tokensizeprobleme können in vielen Formen auftreten, je nachdem welche Gruppenzugehörigkeit gerade im Token fehlt. Auch die änderung des maxtokensize Regkeys ist keine Gewissheit für eine funktionierende Umgebung. D.h. du packst das Thema schon richtig an - nämlich in der Konzeptionierung. Du musst auf jeden Fall Gruppen konsolidieren, indem du z.B. Gemeinsamkeiten findest und dafür nur eine Gruppe verwendest. Du solltest dir auch anschauen welcher Gruppentyp mit wieviel Byte zu buche schlägt und danach dein Gruppenkonzept designen. PS: Meiner Meinung nach ist das klassische AGDLP Prinzip in großen Umgebungen, genau aus dem Tokenproblem, nicht mehr die erste Wahl. Gruß Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 18. Oktober 2011 Melden Teilen Geschrieben 18. Oktober 2011 Moin, PS: Meiner Meinung nach ist das klassische AGDLP Prinzip in großen Umgebungen, genau aus dem Tokenproblem, nicht mehr die erste Wahl. erstens wird das Thema in meinem oben verlinkten Artikel diskutiert, zweitens spricht das Token-Size-Problem nicht grundsätzlich gegen AGDLP, drittens gibt es bei 400 Gruppen das Problem nicht. Und viertens kann von "nicht mehr" keine Rede sein, denn große Umgebungen gab es auch schon, als das Prinzipt entworfen wurde. In großen Umgebungen hat man halt etwas mehr Design-Aufwand. Dazu kann auch das von dir empfohlene Konsolidieren von Gruppen gehören. Gruß, Nils Zitieren Link zu diesem Kommentar
Coloneltw 10 Geschrieben 18. Oktober 2011 Autor Melden Teilen Geschrieben 18. Oktober 2011 Moin, faq-o-matic.net » Windows-Gruppen richtig nutzen Wie kommst du auf max. 400 Gruppen? Der Wert, der mir bekannt ist, ist zweieinhalb mal so groß (siehe obigen Artikel). Und: Verteilergruppen sind für dein Vorhaben nicht geeignet, siehe auch obigen Artikel. Gruß, Nils Hallo Nils, vielen Dank dafür ich werde es mir mal durchlesen. Zitieren Link zu diesem Kommentar
Coloneltw 10 Geschrieben 18. Oktober 2011 Autor Melden Teilen Geschrieben 18. Oktober 2011 Moin Thomas, das, was Du schilderst, klingt nach einer ziemlich haarsträubenden Ordnerstruktur in Eurem Filesystem. Ich habe schon des öfteren durch eine Optimierung der Ordner- und Freigabestruktur ein deutlich verbessertes Anmeldeverhalten an den Clients hinbekommen. Hallo Marka, genau das Gegenteil möchte ich erreichen. Zur Zeit haben wir z.B. Softwaregruppen die auf diverse Ordner zugriffsberechtigung benötigen. Nur 3 Monate später mag sich keiner mehr erinnern. Man müsste also jeden Einsatz einer gruppe dokumentieren. Das klingt in der Theorie super, nur macht das keiner. Also weiß´man am Ende nicht wenn user A Mitglied in Gruppe A wird, worauf er nun alles zugreifen kann. Daher haben wir ein neues Konzept ausgearbeitet was besagt - eine Gruppe eine Aufgabe - der Gruppenname spiegelt die Aufgabe wieder. Usergruppen sollen dann Mitglied der einzelnen Ressourcengruppen werden. Somit kann man ohne den ordner zu suchen nur anhand der Gruppennamen feststellen was ein User darf. gerade für Revisionsauswertungen ist das Prima. Da wo wir es umgesetzt haben ist das eingeschlagen wie eine Bombe und es tut genau das was es tun soll. Nun denn, wir Admins sind aber zur Überprüfung in allen möglichen Softwaregruppen drin und damit indirekt auch in allen Ressourcengruppen. Teilweise waren wir bei über 600 Gruppen. Ok man kann die Tokensize nach oben drehen aber nur bis zu einem gewissen Limit. Bevor wir das erreichen müssen wir eine Lösung haben. Daher diese Frage bevor das obere Limit erreichen. Unsere Revision dreht uns den Kpf m wenn wir nicht mal annäherend sagen können worauf welche Gruppe Zugriff hat. Zitieren Link zu diesem Kommentar
Coloneltw 10 Geschrieben 18. Oktober 2011 Autor Melden Teilen Geschrieben 18. Oktober 2011 Moin, erstens wird das Thema in meinem oben verlinkten Artikel diskutiert, zweitens spricht das Token-Size-Problem nicht grundsätzlich gegen AGDLP, drittens gibt es bei 400 Gruppen das Problem nicht. Und viertens kann von "nicht mehr" keine Rede sein, denn große Umgebungen gab es auch schon, als das Prinzipt entworfen wurde. In großen Umgebungen hat man halt etwas mehr Design-Aufwand. Dazu kann auch das von dir empfohlene Konsolidieren von Gruppen gehören. Gruß, Nils Hallo Nils, wenn ich das also richtig verstanden habe kommen wir um den Einsatz von Sicherheitsgruppen nicht herum und wenn man mehr wie 1015 davon hat braucht man eine 2. Domäne für die Ressourcen.... Ist abzusehen das MS die Token Size bei Windows Server 2010 erhöht? Eine 2. Domäne wird es nicht geben, wir werden auch die 1015 Gruppen nicht sofort erreichen - ich denke bei 600-700 im Extremfall wird es Enden - zumindest nicht in den kommenden 1-2 Jahren. Das ist nicht wirklich befriedigend - ich dachte die Verteilergruppen währen unsere Lösung.... Zitieren Link zu diesem Kommentar
morpheus 10 Geschrieben 18. Oktober 2011 Melden Teilen Geschrieben 18. Oktober 2011 Hallo, @Nilsk: Natürlich spricht ein Tokengrössenproblem nicht generell gegen agdlp, es kommt jedoch auf die Situation und Umgebung an. Befindet man sich in der Konzeptphase idt agdlp und konsequente Gruppkonsolidierung die erste Wahl. In einer grossen Umgebung die bereits lange in Betrieb ist, ist ein Redesign oftmals schwieriger als der Weg weg von agdlp - aber die Diskussion ist müsig @Coloneltw:Ein maxtoken Problem kann ab einer Tokengröße von 12000 Byte auftreten. Im ungünstigsten Fall wird dieses bei einem Faktor von 40 Byte nach Adamriese bereits bei 300 Gruppen bzw.270 Gruppen erreicht. Deswegen mein Hinweis - Größenberechnung anschauen. Mit ntdsutil group membership evaluation lässt sich die Tokengröße recht gut berechnen. Wie kommst du darauf die Ressourcen ab 1015 Gruppenmitgliedschaften in eine andere Domäne zu verlagern? Schau dir mal den Artikel an MSXFAQ.DE - ... Ticketsize Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.