KERBEROS / Groupe de sécurité Windows

Le
Bonjour,
Nous avons un domaine Active Directory Windows2003, et je commence à avoir
des problèmes de Group Policy Object et d'autres problèmes avec mon compte
utilisateur.
En effet mon compte appartient à plusieurs groupes de sécurité Windows,
lorsque je supprime des groupes, les problèmes disparaissent.
J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par
contre j'ai besoin d'être membres de tous les groupes de sécurité Windows
pour pouvoir travailler.
Y'a-t-il une solution à mon problème ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry DEMAN [MVP]
Le #676726
Bonjour,

la solution est peut être de créer un groupe inclus dans tous les autres
groupes nécessaires et de ne mettre ton compte que dans ce groupe!
=> Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution
pour limiter le nombre de groupe.

A+
--
Thierry DEMAN-BARCELÒ
Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev
http://base.faqexchange.info http://www.faqexchange.info
http://ISAFirewalls.org

news:
Bonjour,
Nous avons un domaine Active Directory Windows2003, et je commence à avoir
des problèmes de Group Policy Object et d'autres problèmes avec mon compte
utilisateur.
En effet mon compte appartient à plusieurs groupes de sécurité Windows,
lorsque je supprime des groupes, les problèmes disparaissent.
J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par
contre j'ai besoin d'être membres de tous les groupes de sécurité Windows
pour pouvoir travailler.
Y'a-t-il une solution à mon problème ?




Jonathan BISMUTH
Le #676724
Bonjour à tous,

désolé de ne pas avoir vu ce post plus tôt.
Malheureusement, dans beaucoup de cas, le problème venant de la taille du
token Kerberos, on comptabilisera tous les groupes de l'utilisateur, donc
les imbrications aussi... (soit ~1200 octets + 40 x le nombre de groupes
locaux, universels, groupes en SID History + 8 x le nombre de groupes
globaux)

Pour être globalement sur que ton compte fonctionne, tu peux toujours
augmenter la taille maximal du ticket Kerberos sur tous tes DC à FFFF (après
tu à le droit à tous les effets de bord de la terre). En revanche, il me
semble que si tu compte migrer ton domaine par la suite, ça ne sera pas la
chose la plus simple...

Si tu es forcé de faire partie de ces XXX groupes et que tu ne souhaite
modifier la taille max du ticket, peux être que tu devra revoir ton modèle
de groupes, ou scinder ton compte d'admin en plusieurs sous-comptes, chacun
aillant une suite de droits particuliers...

Quelques liens :
http://support.microsoft.com/kb/327825
http://support.microsoft.com/kb/263693/en-us

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Thierry DEMAN [MVP]" de news:
Bonjour,

la solution est peut être de créer un groupe inclus dans tous les autres
groupes nécessaires et de ne mettre ton compte que dans ce groupe!
=> Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution
pour limiter le nombre de groupe.

A+
--
Thierry DEMAN-BARCELÒ
Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev
http://base.faqexchange.info http://www.faqexchange.info
http://ISAFirewalls.org

news:
Bonjour,
Nous avons un domaine Active Directory Windows2003, et je commence à
avoir des problèmes de Group Policy Object et d'autres problèmes avec mon
compte utilisateur.
En effet mon compte appartient à plusieurs groupes de sécurité Windows,
lorsque je supprime des groupes, les problèmes disparaissent.
J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par
contre j'ai besoin d'être membres de tous les groupes de sécurité Windows
pour pouvoir travailler.
Y'a-t-il une solution à mon problème ?







Mathieu CHATEAU
Le #676433
Bonjour,

en complément, un outil qui permet de savoir si le token est trop gros:
Tokensz
This tool will compute the maximum token size and is used to test whether a
system may exhibit the issue described in KB article 327825.
http://www.microsoft.com/downloads/details.aspx?FamilyIDJ303fa5-cf20-43fb-9483-0f0b0dae265c&DisplayLang=en


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Jonathan BISMUTH" news:uGXZ1z$
Bonjour à tous,

désolé de ne pas avoir vu ce post plus tôt.
Malheureusement, dans beaucoup de cas, le problème venant de la taille du
token Kerberos, on comptabilisera tous les groupes de l'utilisateur, donc
les imbrications aussi... (soit ~1200 octets + 40 x le nombre de groupes
locaux, universels, groupes en SID History + 8 x le nombre de groupes
globaux)

Pour être globalement sur que ton compte fonctionne, tu peux toujours
augmenter la taille maximal du ticket Kerberos sur tous tes DC à FFFF
(après tu à le droit à tous les effets de bord de la terre). En revanche,
il me semble que si tu compte migrer ton domaine par la suite, ça ne sera
pas la chose la plus simple...

Si tu es forcé de faire partie de ces XXX groupes et que tu ne souhaite
modifier la taille max du ticket, peux être que tu devra revoir ton modèle
de groupes, ou scinder ton compte d'admin en plusieurs sous-comptes,
chacun aillant une suite de droits particuliers...

Quelques liens :
http://support.microsoft.com/kb/327825
http://support.microsoft.com/kb/263693/en-us

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net

"Thierry DEMAN [MVP]" de news:
Bonjour,

la solution est peut être de créer un groupe inclus dans tous les autres
groupes nécessaires et de ne mettre ton compte que dans ce groupe!
=> Sans aller jusqu'à faire cela pour tous les groupes, c'est une
solution pour limiter le nombre de groupe.

A+
--
Thierry DEMAN-BARCELÒ
Exchange MVP, MCSE2003+M,MCSE2003+S,MCDBA,MCITP dba&Dev
http://base.faqexchange.info http://www.faqexchange.info
http://ISAFirewalls.org

news:
Bonjour,
Nous avons un domaine Active Directory Windows2003, et je commence à
avoir des problèmes de Group Policy Object et d'autres problèmes avec
mon compte utilisateur.
En effet mon compte appartient à plusieurs groupes de sécurité Windows,
lorsque je supprime des groupes, les problèmes disparaissent.
J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par
contre j'ai besoin d'être membres de tous les groupes de sécurité
Windows pour pouvoir travailler.
Y'a-t-il une solution à mon problème ?











Publicité
Poster une réponse
Anonyme