Kerberos: Benutzerberechtigungen greifen nicht und die maximale Anzahl von Gruppen
avatar

Wer auf seiner SharePoint Umgebung Kerberos zur Authentifizierung und viele Active-Directory Gruppen verwendet, der wird früher oder später feststellen müssen, dass ein Benutzer sich auf einer Seite nicht anmelden kann obwohl er durch eine AD Gruppe berechtigt ist. Auch eine Prüfung der Berechtigung durch das SharePoint Feature „Berechtigungen überprüfen“ liefert die Meldung, dass der Benutzer auf der Seite nicht berechtigt wäre.

Ursache ist die Kerberos Token Size. Beim Ausstellen eines Kerberos Tickets werden die Gruppenmitgliedschaften hinzugefügt. Besitzt der Benutzer sehr viele Mitgliedschaften passen diese nicht mehr in das Kerberos Ticket und werden abgeschnitten.
Die Standard Token Size liegt bei 12kb. Dieser Wert konnte früher auf 64kb erhöht werden, mit dem Erscheinen des Windows Server 2012 hat sich der maximale Wert auf 48kb gesenkt. Die Kerberos Ticket Size kann wie im folgenden Beitrag (Blogs.technet.com) beschrieben vergrößert werden. Trotz der Erweiterung der Token Size darf ein Benutzer sich nicht in mehr als 1015 Gruppen befinden, da er sich sonst nicht mehr am Computer anmelden kann.

Wenn sie vorab einschätzen möchten wie vielen Gruppenmitgliedschaften ihre Benutzer haben, können sie das Power Shell Script von Dump-Ticketsize vom msxfaq.de verwenden. Als Ausgabe erhalten sie eine CSV Datei mit allen Benutzern innerhalb ihres Active-Directorys.

Um dieser Limitierung organisatorisch entgegen zu wirken berücksichtigen sie die Tipps zur Berechtigung von Site Collections aus dem Beitrag „SharePoint Claims Authentifizierung und AD Gruppen: Wenn Berechtigungen erst nach 10h angewendet werden„. Auch wenn es sich bei diesem Beitrag um Claims Authentifizierung handelt gilt das Verfahren zur Berechtigungsvergabe auch für die Classic Authentifizierung.

Ein Gedanke zu “Kerberos: Benutzerberechtigungen greifen nicht und die maximale Anzahl von Gruppen
avatar

  1. Pingback: Kerberos: Benutzerberechtigungen greifen nicht und die maximale Anzahl von Gruppen - SharePoint Blogs in German - Bamboo Nation

Schreibe einen Kommentar