Sinnvolles Maximun für Anzahl Gruppenmitgleidschaften

30/04/2008 - 13:10 von Christian Boeke | Report spam
Hallo zusammen,

kann jemand sinnvolle Richtwerte für die maximale Anzahl von Security Groups
geben, in denen ein User in einer W2K3 Native Domain Mitglied sein sollte?
Als technische Obergrenze habe ich bei MS einen Wert von 1024 gefunden, aber
auch Hinweise darauf, dass bereits eine Mitgliedschaft in 80 - 120 Gruppen zu
Problemen im Kerberos Umfeld führen kann. Hat da jemand Erfahrungswerte a'la
"Best Practice"?

Ähnliche Frage für die maximale Anzahl von Gruppenrichtlinien, die für einen
Domain User / Coputer aktiv sind: sinnvolle Vorgabewerte?

Vielen Dank für Tipps,
Christian
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
30/04/2008 - 13:59 | Warnen spam
Servus,

"Christian Boeke" wrote:
Als technische Obergrenze habe ich bei MS einen Wert von 1024 gefunden,



korrekt, denn im Access Token das wàhrend der Benutzeranmeldung generiert
wird, können bis zu 1024 Eintràge enthalten sein. In dem Access Token ist die
SID des Benutzers, die SID-History und die SIDs aller Gruppen, denen der
Benutzer direkt oder verschachtelt angehört enthalten.

aber
auch Hinweise darauf, dass bereits eine Mitgliedschaft in 80 - 120 Gruppen zu
Problemen im Kerberos Umfeld führen kann.



Ja, dass kommt vor. Beachte dazu die Hinweise in diesem Artikel (falls noch
nicht bekannt):

[Yusuf`s Directory - Blog - Die Grenzen des Active Directory
http://blog.dikmenoglu.de/PermaLink...3cc51.aspx

Hat da jemand Erfahrungswerte a'la "Best Practice"?



Das kommt auf die Umgebung sowie Anforderung an.
Soviel wie nötig, so wenig wie möglich.

Ähnliche Frage für die maximale Anzahl von Gruppenrichtlinien, die für einen
Domain User / Coputer aktiv sind: sinnvolle Vorgabewerte?



Auf ein Benutzer- bzw. Computerkonto können technisch gesehen, maximal 999
GPOs angewendet werden. Jetzt kommt es darauf an, wie ihr euer Netz
administriert. Die einen erstellen für jede Einstellung die sie per GPO
verteilen, jeweils eine eigene GPO. Harte Jungs die wissen was sie tun,
nehmen viele Einstellungen innerhalb weniger GPOs vor. Es gilt auch hier,
soviel wie nötig - so wenig wie möglich. Ihr solltet den Überblick nicht
verlieren.

Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen