LKBDE11308: Domänenanmeldung fehlerhaft aufgrund zu vieler Gruppenmitgliedschaften
Symptom
Anwender kann sich nicht Anmelden oder bekommt keinen Zugriff auf Resourcen von Loginscript oder Group Policies
Cause
Anwender hat zu viele Gruppenmitgliedschaften für die Standard Tokengröße
Solution
Mögliche Fehlerbilder bei oder nach der Anmeldung:
"Error browsing user memberships - Error loading user object for user:
Andere Fehler können sein, dass Gruppenrichtlinien (GPO) nicht oder nicht vollständig angewendet werden oder der Zugriff auf Resourcen verweigert wird, für die eigentlich ausreichende Berechtigungen bestehen.
Die Lösung für diese Fehler kann durch eine Änderung des Wertes "MaxTokenSize" in der Registry bestehen:
HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
DWORD "MaxTokenSize" --> 0xFFFF (dezimal: 65535)
Achtung!
!!! Die Veränderung dieses Wertes hat Einfluss auf die Kerberos Anmeldung. Der Standardwert ist 12000 (dezimal).
!!! Diesen Wert auf über 0xFFFF (bzw. 65535) zu vergrößern, kann zu Zeitüberschreitungen ("Timeout expired") in MS SQL Server Kommunication führen oder Probleme bei WBEM / RPC für SMS Administrator hervorrufen.
Nach einem Neustart können alle Gruppenmitgliedschaften ausgelesen werden.
Anmerkung:
Es gibt eine maximale Beschränkung an Gruppenmitgliedschaften in Active Directory, unabhängig von der Tokengröße. Suchen Sie auch andere Artikel dazu in Lubby.
Disclaimer:
The information provided in this document is intended for your information only. Lubby makes no claims to the validity of this information. Use of this information is at own risk!About the Author
Author: Ingo Bock - Keskon GmbH & Co. KG
-
Latest update: 08/06/2022 | Comment: