Jump to content
Sign in to follow this  
Followers 0
Grobiii

Kerberos Anmeldung schlägt fehl -> grp nesting

By Grobiii, in Windows Server Forum

Recommended Posts

Grobiii    10

Grobiii
Posted

Hallo Admins,

 

mein Problem ist, das im Zuge der Umsetzung eines neuen FilePermission Konzeptes Fehler auftraten.

 

Wenige User konnten sich nicht mehr gegenüber der ADS authentifizieren. Ursache war, das sie zu viele Gruppenmitgliedschaften durch nesting hatten, und Kerberos dies nicht vertrug.

 

Wie in diesem Artikel beschrieben.

http://support.microsoft.com/kb/280830/en-us

 

Komischer Weise tritt das nur bei sehr wenigen Usern auf und die Ursache können wir nicht wirklich finden. Es scheint eher mit alten Gruppen zusammen zu hängen. Denn auch User mit über 150 Gruppenmitgliedschaften haben keine Probleme.

 

Welche Gruppen SIDs werden denn genau dem Kerb. Token übergeben?

 

kleines Beispiel:

 

Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen. Zu Fehlern kommt es aber bei diesen nicht.

 

Hat jemand eine Idee?

 

Danke!

Share this post

Link to post

ChristianHemker    10

ChristianHemker
Posted

Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen.

 

Blickt dann da noch jemand durch? Warum habt ihr die Benutzer direkt in die Ressourcengruppen gesteckt und nicht AGDLP oder AGUDLP umgesetzt?

 

Das würde deinem eigentlichen Problem nicht helfen, da auch diese Gruppen dann in das Kerberos Token aufgenommen werden würde.

 

Hast du die im KB Artikel erwähnte Lösung denn angewendet?

Um welche Serverversion handelt es sich überhaupt?

Share this post

Link to post

Grobiii    10

Grobiii
Posted

danke für dine Antwort!

 

Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich.

 

Wir wollten bis dato noch nicht die regedit ändern, weil noch nicht klar war wo der Fehler eigentlich wirklich liegt. Ist halt auch ein Kundenumgebung, und nichts internes.

Share this post

Link to post

ChristianHemker    10

ChristianHemker
Posted
Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich.

Denke ich auch.

Der KB Artikel bezieht sich ja nur auf 2000. Das Problem sollte also woanders liegen. Habe aber leider auch keine Idee woran das liegen könnte.

Irgendwelche Gruppenrichtlinien die nur auf diese Benutzerkonten wirken vielleicht?

Share this post

Link to post

Grobiii    10

Grobiii
Posted

Die gibt es natürlich, aber daran sollte es auch nicht liegen.

 

Das komische ist ja, das es bis jetzt nur 2 User betrifft. Der Kunde hat leider sofort selbst Hand angelegt, ohne das wir ein Auge drauf werfen konnten.

 

Die betroffenen User hatten wirklich viele Gruppen, und nach dem Löschen der Alten "Memberof" Gruppen an den Usern, ging auch alles wieder, aber dennoch...es gibt User die noch wesentlich mehr Gruppen haben.

 

Es muss irgendwo anders einen Grund geben. Vielleicht waren die beiden User Mitglied einer Gruppe die sehr viel nestings hatte. Hm, lässt sich nicht mehr nachvollziehen.

Share this post

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Sign in to follow this  
Followers 0
Go To Topic Listing


×
×
  • Create New...