Jump to content

Kerberos Anmeldung schlägt fehl -> grp nesting


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Admins,

 

mein Problem ist, das im Zuge der Umsetzung eines neuen FilePermission Konzeptes Fehler auftraten.

 

Wenige User konnten sich nicht mehr gegenüber der ADS authentifizieren. Ursache war, das sie zu viele Gruppenmitgliedschaften durch nesting hatten, und Kerberos dies nicht vertrug.

 

Wie in diesem Artikel beschrieben.

http://support.microsoft.com/kb/280830/en-us

 

Komischer Weise tritt das nur bei sehr wenigen Usern auf und die Ursache können wir nicht wirklich finden. Es scheint eher mit alten Gruppen zusammen zu hängen. Denn auch User mit über 150 Gruppenmitgliedschaften haben keine Probleme.

 

Welche Gruppen SIDs werden denn genau dem Kerb. Token übergeben?

 

kleines Beispiel:

 

Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen. Zu Fehlern kommt es aber bei diesen nicht.

 

Hat jemand eine Idee?

 

Danke!

Link zu diesem Kommentar

Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen.

 

Blickt dann da noch jemand durch? Warum habt ihr die Benutzer direkt in die Ressourcengruppen gesteckt und nicht AGDLP oder AGUDLP umgesetzt?

 

Das würde deinem eigentlichen Problem nicht helfen, da auch diese Gruppen dann in das Kerberos Token aufgenommen werden würde.

 

Hast du die im KB Artikel erwähnte Lösung denn angewendet?

Um welche Serverversion handelt es sich überhaupt?

Link zu diesem Kommentar

danke für dine Antwort!

 

Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich.

 

Wir wollten bis dato noch nicht die regedit ändern, weil noch nicht klar war wo der Fehler eigentlich wirklich liegt. Ist halt auch ein Kundenumgebung, und nichts internes.

Link zu diesem Kommentar
Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich.

Denke ich auch.

Der KB Artikel bezieht sich ja nur auf 2000. Das Problem sollte also woanders liegen. Habe aber leider auch keine Idee woran das liegen könnte.

Irgendwelche Gruppenrichtlinien die nur auf diese Benutzerkonten wirken vielleicht?

Link zu diesem Kommentar

Die gibt es natürlich, aber daran sollte es auch nicht liegen.

 

Das komische ist ja, das es bis jetzt nur 2 User betrifft. Der Kunde hat leider sofort selbst Hand angelegt, ohne das wir ein Auge drauf werfen konnten.

 

Die betroffenen User hatten wirklich viele Gruppen, und nach dem Löschen der Alten "Memberof" Gruppen an den Usern, ging auch alles wieder, aber dennoch...es gibt User die noch wesentlich mehr Gruppen haben.

 

Es muss irgendwo anders einen Grund geben. Vielleicht waren die beiden User Mitglied einer Gruppe die sehr viel nestings hatte. Hm, lässt sich nicht mehr nachvollziehen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...