LKBDE11289: Domänenanmeldung nicht möglich mit mehr als 1000 Gruppenmitgliedschaften
Symptom
Fehler 1384 nach Anmeldungsabbruch: "Im Verlauf eines Anmeldeversuchs sammelte der Sicherheitskontext des Benutzers zu viele Sicherheitskennungen an"
Cause
Der Benutzer ist Mitglied in zu vielen Active Directory Gruppen
Solution
Anmeldenachricht:
"Sie konnten nicht angemeldet werden ... Im Verlauf eines Anmeldeversuchs sammelte der Sicherheitskontext des Benutzers zu viele Sicherheitskennungen an..."
In Windows (Active Directory-) Domänen besteht eine Obergrenze von 1024 Gruppen, von denen ein Domänenbenutzer Mitglied sein kann. Nun, es gibt allerdings 9 allgemeine SIDs (Security Identifiers), die in die lokale Sicherheitsautorität (LSA) integriert sind; dies limitiert die möglichen Gruppenmitgliedschaften auf 1015.
Wenn ein Domänenbenutzer diese Grenze überschreitet (besonders heikel: Transitive Gruppen in einer multi-Domänen Umgebung!), kann er oder sie sich nicht mehr anmelden, bis eine ausreichende Anzahl an Gruppenmitgliedschaften wieder entfernt wurden.
Wenn dies einem Mitglied der Administratorengruppe passiert, hilft unter Umständen nur, einen Domänencontroller im so genannten "Safe Mode" oder "Safe Mode with Networking" Modus zu starten (Option beim Booten, rechtzeitig
Anmerkung:
Das Logon funktioniert im Safe Mode deshalb, da Microsoft den Algorithmus für die Tokengenerierung der LSA so modifiziert hat, dass die LSA (im Safe Mode) einen Access Token für Administratorkonten unabhängig von der Gruppenanzahl (transitiv und nicht-transitiv) des Kontos erstellt.
Auch zu berücksichtigen:
Kaskadierung von Gruppen ("Group-Nesting"), kann den Anschein erwecken, der Anwender hätte gar nicht so viele Gruppenmitgliedschaften. Beim Anmeldeprozess (bzw. bei der Tokenerstellung) werden diese kaskadierten Gruppen jedoch aufgelöst.
Disclaimer:
The information provided in this document is intended for your information only. Lubby makes no claims to the validity of this information. Use of this information is at own risk!About the Author
Author:
- Keskon GmbH & Co. KG-
Latest update: 08/06/2022 | Comment: