LKBDE11308: Domänenanmeldung fehlerhaft aufgrund zu vieler Gruppenmitgliedschaften
LKB | Created: 02/04/2020 | Version: 0 | Language: DE | Rating: 0 | Outdated: False | Marked for deletion: False
Author: Wim Peeters - Keskon GmbH & Co. KG
Symptom
Anwender kann sich nicht Anmelden oder bekommt keinen Zugriff auf Resourcen von Loginscript oder Group Policies
Cause
Anwender hat zu viele Gruppenmitgliedschaften für die Standard Tokengröße
Solution
Mögliche Fehlerbilder bei oder nach der Anmeldung:
"Error browsing user memberships - Error loading user object for user:
Andere Fehler können sein, dass Gruppenrichtlinien (GPO) nicht oder nicht vollständig angewendet werden oder der Zugriff auf Resourcen verweigert wird, für die eigentlich ausreichende Berechtigungen bestehen.
Die Lösung für diese Fehler kann durch eine Änderung des Wertes "MaxTokenSize" in der Registry bestehen:
HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
DWORD "MaxTokenSize" --> 0xFFFF (dezimal: 65535)
Achtung!
!!! Die Veränderung dieses Wertes hat Einfluss auf die Kerberos Anmeldung. Der Standardwert ist 12000 (dezimal).
!!! Diesen Wert auf über 0xFFFF (bzw. 65535) zu vergrößern, kann zu Zeitüberschreitungen ("Timeout expired") in MS SQL Server Kommunication führen oder Probleme bei WBEM / RPC für SMS Administrator hervorrufen.
Nach einem Neustart können alle Gruppenmitgliedschaften ausgelesen werden.
Anmerkung:
Es gibt eine maximale Beschränkung an Gruppenmitgliedschaften in Active Directory, unabhängig von der Tokengröße. Suchen Sie auch andere Artikel dazu in Lubby.
About the Author
Wim Peeters is electronics engineer with an additional master in IT and over 30 years of experience, including time spent in support, development, consulting, training and database administration. Wim has worked with SQL Server since version 6.5. He has developed in C/C++, Java and C# on Windows and Linux. He writes knowledge base articles to solve IT problems and publishes them on the Lubby Knowledge Platform.