LKBDE11289: Domänenanmeldung nicht möglich mit mehr als 1000 Gruppenmitgliedschaften


This article has not been checked!

LKB | Created: 02/04/2020 | Version: 0 | Language: DE | Rating: 0 | Outdated: False | Marked for deletion: False

Author: Wim Peeters - Keskon GmbH & Co. KG


Symptom

Fehler 1384 nach Anmeldungsabbruch: "Im Verlauf eines Anmeldeversuchs sammelte der Sicherheitskontext des Benutzers zu viele Sicherheitskennungen an"

Cause

Der Benutzer ist Mitglied in zu vielen Active Directory Gruppen

Solution

Anmeldenachricht:
"Sie konnten nicht angemeldet werden ... Im Verlauf eines Anmeldeversuchs sammelte der Sicherheitskontext des Benutzers zu viele Sicherheitskennungen an..."

In Windows (Active Directory-) Domänen besteht eine Obergrenze von 1024 Gruppen, von denen ein Domänenbenutzer Mitglied sein kann. Nun, es gibt allerdings 9 allgemeine SIDs (Security Identifiers), die in die lokale Sicherheitsautorität (LSA) integriert sind; dies limitiert die möglichen Gruppenmitgliedschaften auf 1015.

Wenn ein Domänenbenutzer diese Grenze überschreitet (besonders heikel: Transitive Gruppen in einer multi-Domänen Umgebung!), kann er oder sie sich nicht mehr anmelden, bis eine ausreichende Anzahl an Gruppenmitgliedschaften wieder entfernt wurden.

Wenn dies einem Mitglied der Administratorengruppe passiert, hilft unter Umständen nur, einen Domänencontroller im so genannten "Safe Mode" oder "Safe Mode with Networking" Modus zu starten (Option beim Booten, rechtzeitig drücken). In dem Safe Mode mit dem betroffenen Konto anmelden und entsprechende Gruppen des Administrators entfernen / modifizieren.

Anmerkung:
Das Logon funktioniert im Safe Mode deshalb, da Microsoft den Algorithmus für die Tokengenerierung der LSA so modifiziert hat, dass die LSA (im Safe Mode) einen Access Token für Administratorkonten unabhängig von der Gruppenanzahl (transitiv und nicht-transitiv) des Kontos erstellt.

Auch zu berücksichtigen:
Kaskadierung von Gruppen ("Group-Nesting"), kann den Anschein erwecken, der Anwender hätte gar nicht so viele Gruppenmitgliedschaften. Beim Anmeldeprozess (bzw. bei der Tokenerstellung) werden diese kaskadierten Gruppen jedoch aufgelöst.


About the Author

Wim Peeters is electronics engineer with an additional master in IT and over 30 years of experience including time spent in support, development, consulting, training and database administration. Wim has worked with SQL Server since version 6.5. He has developed in C/C++, Java and C# on Windows and Linux in different European countries and different European languages. He writes knowledge base articles to solve IT problems and publishes them on the Lubby Knowledge Platform where he is one of the most important contributors and the main developer.

Disclaimer:

The information provided in this document is intended for your information only. Lubby makes no claims to the validity of this information. Use of this information is at own risk!