Categories

LKBDE11289: Domänenanmeldung nicht möglich mit mehr als 1000 Gruppenmitgliedschaften

Symptom

Fehler 1384 nach Anmeldungsabbruch: "Im Verlauf eines Anmeldeversuchs sammelte der Sicherheitskontext des Benutzers zu viele Sicherheitskennungen an"

Cause

Der Benutzer ist Mitglied in zu vielen Active Directory Gruppen

Solution

Anmeldenachricht:
"Sie konnten nicht angemeldet werden ... Im Verlauf eines Anmeldeversuchs sammelte der Sicherheitskontext des Benutzers zu viele Sicherheitskennungen an..."

In Windows (Active Directory-) Domänen besteht eine Obergrenze von 1024 Gruppen, von denen ein Domänenbenutzer Mitglied sein kann. Nun, es gibt allerdings 9 allgemeine SIDs (Security Identifiers), die in die lokale Sicherheitsautorität (LSA) integriert sind; dies limitiert die möglichen Gruppenmitgliedschaften auf 1015.

Wenn ein Domänenbenutzer diese Grenze überschreitet (besonders heikel: Transitive Gruppen in einer multi-Domänen Umgebung!), kann er oder sie sich nicht mehr anmelden, bis eine ausreichende Anzahl an Gruppenmitgliedschaften wieder entfernt wurden.

Wenn dies einem Mitglied der Administratorengruppe passiert, hilft unter Umständen nur, einen Domänencontroller im so genannten "Safe Mode" oder "Safe Mode with Networking" Modus zu starten (Option beim Booten, rechtzeitig drücken). In dem Safe Mode mit dem betroffenen Konto anmelden und entsprechende Gruppen des Administrators entfernen / modifizieren.

Anmerkung:
Das Logon funktioniert im Safe Mode deshalb, da Microsoft den Algorithmus für die Tokengenerierung der LSA so modifiziert hat, dass die LSA (im Safe Mode) einen Access Token für Administratorkonten unabhängig von der Gruppenanzahl (transitiv und nicht-transitiv) des Kontos erstellt.

Auch zu berücksichtigen:
Kaskadierung von Gruppen ("Group-Nesting"), kann den Anschein erwecken, der Anwender hätte gar nicht so viele Gruppenmitgliedschaften. Beim Anmeldeprozess (bzw. bei der Tokenerstellung) werden diese kaskadierten Gruppen jedoch aufgelöst.


Disclaimer:

The information provided in this document is intended for your information only. Lubby makes no claims to the validity of this information. Use of this information is at own risk!

About the Author

Author: Ingo Bock - Keskon GmbH & Co. KG

-

Latest update: 08-06-2022 | Comment: