Jump to content
Sign in to follow this  
Grobiii

Kerberos Anmeldung schlägt fehl -> grp nesting

Recommended Posts

Hallo Admins,

 

mein Problem ist, das im Zuge der Umsetzung eines neuen FilePermission Konzeptes Fehler auftraten.

 

Wenige User konnten sich nicht mehr gegenüber der ADS authentifizieren. Ursache war, das sie zu viele Gruppenmitgliedschaften durch nesting hatten, und Kerberos dies nicht vertrug.

 

Wie in diesem Artikel beschrieben.

http://support.microsoft.com/kb/280830/en-us

 

Komischer Weise tritt das nur bei sehr wenigen Usern auf und die Ursache können wir nicht wirklich finden. Es scheint eher mit alten Gruppen zusammen zu hängen. Denn auch User mit über 150 Gruppenmitgliedschaften haben keine Probleme.

 

Welche Gruppen SIDs werden denn genau dem Kerb. Token übergeben?

 

kleines Beispiel:

 

Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen. Zu Fehlern kommt es aber bei diesen nicht.

 

Hat jemand eine Idee?

 

Danke!

Share this post


Link to post

Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen.

 

Blickt dann da noch jemand durch? Warum habt ihr die Benutzer direkt in die Ressourcengruppen gesteckt und nicht AGDLP oder AGUDLP umgesetzt?

 

Das würde deinem eigentlichen Problem nicht helfen, da auch diese Gruppen dann in das Kerberos Token aufgenommen werden würde.

 

Hast du die im KB Artikel erwähnte Lösung denn angewendet?

Um welche Serverversion handelt es sich überhaupt?

Share this post


Link to post

danke für dine Antwort!

 

Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich.

 

Wir wollten bis dato noch nicht die regedit ändern, weil noch nicht klar war wo der Fehler eigentlich wirklich liegt. Ist halt auch ein Kundenumgebung, und nichts internes.

Share this post


Link to post
Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich.

Denke ich auch.

Der KB Artikel bezieht sich ja nur auf 2000. Das Problem sollte also woanders liegen. Habe aber leider auch keine Idee woran das liegen könnte.

Irgendwelche Gruppenrichtlinien die nur auf diese Benutzerkonten wirken vielleicht?

Share this post


Link to post

Die gibt es natürlich, aber daran sollte es auch nicht liegen.

 

Das komische ist ja, das es bis jetzt nur 2 User betrifft. Der Kunde hat leider sofort selbst Hand angelegt, ohne das wir ein Auge drauf werfen konnten.

 

Die betroffenen User hatten wirklich viele Gruppen, und nach dem Löschen der Alten "Memberof" Gruppen an den Usern, ging auch alles wieder, aber dennoch...es gibt User die noch wesentlich mehr Gruppen haben.

 

Es muss irgendwo anders einen Grund geben. Vielleicht waren die beiden User Mitglied einer Gruppe die sehr viel nestings hatte. Hm, lässt sich nicht mehr nachvollziehen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...