Bonjour,
Nous avons un domaine Active Directory Windows2003, et je commence à avoir
des problèmes de Group Policy Object et d'autres problèmes avec mon compte
utilisateur.
En effet mon compte appartient à plusieurs groupes de sécurité Windows,
lorsque je supprime des groupes, les problèmes disparaissent.
J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par
contre j'ai besoin d'être membres de tous les groupes de sécurité Windows
pour pouvoir travailler.
Y'a-t-il une solution à mon problème ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thierry DEMAN [MVP]
Bonjour,
la solution est peut être de créer un groupe inclus dans tous les autres groupes nécessaires et de ne mettre ton compte que dans ce groupe! => Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution pour limiter le nombre de groupe.
Bonjour, Nous avons un domaine Active Directory Windows2003, et je commence à avoir des problèmes de Group Policy Object et d'autres problèmes avec mon compte utilisateur. En effet mon compte appartient à plusieurs groupes de sécurité Windows, lorsque je supprime des groupes, les problèmes disparaissent. J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par contre j'ai besoin d'être membres de tous les groupes de sécurité Windows pour pouvoir travailler. Y'a-t-il une solution à mon problème ?
Bonjour,
la solution est peut être de créer un groupe inclus dans tous les autres
groupes nécessaires et de ne mettre ton compte que dans ce groupe!
=> Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution
pour limiter le nombre de groupe.
<support.reseaux@azert.com> a écrit dans le message de
news:OeGZrZeAIHA.4444@TK2MSFTNGP03.phx.gbl...
Bonjour,
Nous avons un domaine Active Directory Windows2003, et je commence à avoir
des problèmes de Group Policy Object et d'autres problèmes avec mon compte
utilisateur.
En effet mon compte appartient à plusieurs groupes de sécurité Windows,
lorsque je supprime des groupes, les problèmes disparaissent.
J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par
contre j'ai besoin d'être membres de tous les groupes de sécurité Windows
pour pouvoir travailler.
Y'a-t-il une solution à mon problème ?
la solution est peut être de créer un groupe inclus dans tous les autres groupes nécessaires et de ne mettre ton compte que dans ce groupe! => Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution pour limiter le nombre de groupe.
Bonjour, Nous avons un domaine Active Directory Windows2003, et je commence à avoir des problèmes de Group Policy Object et d'autres problèmes avec mon compte utilisateur. En effet mon compte appartient à plusieurs groupes de sécurité Windows, lorsque je supprime des groupes, les problèmes disparaissent. J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par contre j'ai besoin d'être membres de tous les groupes de sécurité Windows pour pouvoir travailler. Y'a-t-il une solution à mon problème ?
Jonathan BISMUTH
Bonjour à tous,
désolé de ne pas avoir vu ce post plus tôt. Malheureusement, dans beaucoup de cas, le problème venant de la taille du token Kerberos, on comptabilisera tous les groupes de l'utilisateur, donc les imbrications aussi... (soit ~1200 octets + 40 x le nombre de groupes locaux, universels, groupes en SID History + 8 x le nombre de groupes globaux)
Pour être globalement sur que ton compte fonctionne, tu peux toujours augmenter la taille maximal du ticket Kerberos sur tous tes DC à FFFF (après tu à le droit à tous les effets de bord de la terre). En revanche, il me semble que si tu compte migrer ton domaine par la suite, ça ne sera pas la chose la plus simple...
Si tu es forcé de faire partie de ces XXX groupes et que tu ne souhaite modifier la taille max du ticket, peux être que tu devra revoir ton modèle de groupes, ou scinder ton compte d'admin en plusieurs sous-comptes, chacun aillant une suite de droits particuliers...
Quelques liens : http://support.microsoft.com/kb/327825 http://support.microsoft.com/kb/263693/en-us
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"Thierry DEMAN [MVP]" a écrit dans le message de news:
Bonjour,
la solution est peut être de créer un groupe inclus dans tous les autres groupes nécessaires et de ne mettre ton compte que dans ce groupe! => Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution pour limiter le nombre de groupe.
Bonjour, Nous avons un domaine Active Directory Windows2003, et je commence à avoir des problèmes de Group Policy Object et d'autres problèmes avec mon compte utilisateur. En effet mon compte appartient à plusieurs groupes de sécurité Windows, lorsque je supprime des groupes, les problèmes disparaissent. J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par contre j'ai besoin d'être membres de tous les groupes de sécurité Windows pour pouvoir travailler. Y'a-t-il une solution à mon problème ?
Bonjour à tous,
désolé de ne pas avoir vu ce post plus tôt.
Malheureusement, dans beaucoup de cas, le problème venant de la taille du
token Kerberos, on comptabilisera tous les groupes de l'utilisateur, donc
les imbrications aussi... (soit ~1200 octets + 40 x le nombre de groupes
locaux, universels, groupes en SID History + 8 x le nombre de groupes
globaux)
Pour être globalement sur que ton compte fonctionne, tu peux toujours
augmenter la taille maximal du ticket Kerberos sur tous tes DC à FFFF (après
tu à le droit à tous les effets de bord de la terre). En revanche, il me
semble que si tu compte migrer ton domaine par la suite, ça ne sera pas la
chose la plus simple...
Si tu es forcé de faire partie de ces XXX groupes et que tu ne souhaite
modifier la taille max du ticket, peux être que tu devra revoir ton modèle
de groupes, ou scinder ton compte d'admin en plusieurs sous-comptes, chacun
aillant une suite de droits particuliers...
Quelques liens :
http://support.microsoft.com/kb/327825
http://support.microsoft.com/kb/263693/en-us
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le message
de news: 5F76BAB2-A91C-43F1-B578-DC7E47973D8B@microsoft.com...
Bonjour,
la solution est peut être de créer un groupe inclus dans tous les autres
groupes nécessaires et de ne mettre ton compte que dans ce groupe!
=> Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution
pour limiter le nombre de groupe.
<support.reseaux@azert.com> a écrit dans le message de
news:OeGZrZeAIHA.4444@TK2MSFTNGP03.phx.gbl...
Bonjour,
Nous avons un domaine Active Directory Windows2003, et je commence à
avoir des problèmes de Group Policy Object et d'autres problèmes avec mon
compte utilisateur.
En effet mon compte appartient à plusieurs groupes de sécurité Windows,
lorsque je supprime des groupes, les problèmes disparaissent.
J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par
contre j'ai besoin d'être membres de tous les groupes de sécurité Windows
pour pouvoir travailler.
Y'a-t-il une solution à mon problème ?
désolé de ne pas avoir vu ce post plus tôt. Malheureusement, dans beaucoup de cas, le problème venant de la taille du token Kerberos, on comptabilisera tous les groupes de l'utilisateur, donc les imbrications aussi... (soit ~1200 octets + 40 x le nombre de groupes locaux, universels, groupes en SID History + 8 x le nombre de groupes globaux)
Pour être globalement sur que ton compte fonctionne, tu peux toujours augmenter la taille maximal du ticket Kerberos sur tous tes DC à FFFF (après tu à le droit à tous les effets de bord de la terre). En revanche, il me semble que si tu compte migrer ton domaine par la suite, ça ne sera pas la chose la plus simple...
Si tu es forcé de faire partie de ces XXX groupes et que tu ne souhaite modifier la taille max du ticket, peux être que tu devra revoir ton modèle de groupes, ou scinder ton compte d'admin en plusieurs sous-comptes, chacun aillant une suite de droits particuliers...
Quelques liens : http://support.microsoft.com/kb/327825 http://support.microsoft.com/kb/263693/en-us
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"Thierry DEMAN [MVP]" a écrit dans le message de news:
Bonjour,
la solution est peut être de créer un groupe inclus dans tous les autres groupes nécessaires et de ne mettre ton compte que dans ce groupe! => Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution pour limiter le nombre de groupe.
Bonjour, Nous avons un domaine Active Directory Windows2003, et je commence à avoir des problèmes de Group Policy Object et d'autres problèmes avec mon compte utilisateur. En effet mon compte appartient à plusieurs groupes de sécurité Windows, lorsque je supprime des groupes, les problèmes disparaissent. J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par contre j'ai besoin d'être membres de tous les groupes de sécurité Windows pour pouvoir travailler. Y'a-t-il une solution à mon problème ?
Mathieu CHATEAU
Bonjour,
en complément, un outil qui permet de savoir si le token est trop gros: Tokensz This tool will compute the maximum token size and is used to test whether a system may exhibit the issue described in KB article 327825. http://www.microsoft.com/downloads/details.aspx?FamilyIDJ303fa5-cf20-43fb-9483-0f0b0dae265c&DisplayLang=en
-- Cordialement, Mathieu CHATEAU English blog: http://lordoftheping.blogspot.com French blog: http://www.lotp.fr
"Jonathan BISMUTH" wrote in message news:uGXZ1z$
Bonjour à tous,
désolé de ne pas avoir vu ce post plus tôt. Malheureusement, dans beaucoup de cas, le problème venant de la taille du token Kerberos, on comptabilisera tous les groupes de l'utilisateur, donc les imbrications aussi... (soit ~1200 octets + 40 x le nombre de groupes locaux, universels, groupes en SID History + 8 x le nombre de groupes globaux)
Pour être globalement sur que ton compte fonctionne, tu peux toujours augmenter la taille maximal du ticket Kerberos sur tous tes DC à FFFF (après tu à le droit à tous les effets de bord de la terre). En revanche, il me semble que si tu compte migrer ton domaine par la suite, ça ne sera pas la chose la plus simple...
Si tu es forcé de faire partie de ces XXX groupes et que tu ne souhaite modifier la taille max du ticket, peux être que tu devra revoir ton modèle de groupes, ou scinder ton compte d'admin en plusieurs sous-comptes, chacun aillant une suite de droits particuliers...
Quelques liens : http://support.microsoft.com/kb/327825 http://support.microsoft.com/kb/263693/en-us
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"Thierry DEMAN [MVP]" a écrit dans le message de news:
Bonjour,
la solution est peut être de créer un groupe inclus dans tous les autres groupes nécessaires et de ne mettre ton compte que dans ce groupe! => Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution pour limiter le nombre de groupe.
Bonjour, Nous avons un domaine Active Directory Windows2003, et je commence à avoir des problèmes de Group Policy Object et d'autres problèmes avec mon compte utilisateur. En effet mon compte appartient à plusieurs groupes de sécurité Windows, lorsque je supprime des groupes, les problèmes disparaissent. J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par contre j'ai besoin d'être membres de tous les groupes de sécurité Windows pour pouvoir travailler. Y'a-t-il une solution à mon problème ?
Bonjour,
en complément, un outil qui permet de savoir si le token est trop gros:
Tokensz
This tool will compute the maximum token size and is used to test whether a
system may exhibit the issue described in KB article 327825.
http://www.microsoft.com/downloads/details.aspx?FamilyIDJ303fa5-cf20-43fb-9483-0f0b0dae265c&DisplayLang=en
--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr
"Jonathan BISMUTH" <jonath.b@free.fr> wrote in message
news:uGXZ1z$AIHA.4836@TK2MSFTNGP06.phx.gbl...
Bonjour à tous,
désolé de ne pas avoir vu ce post plus tôt.
Malheureusement, dans beaucoup de cas, le problème venant de la taille du
token Kerberos, on comptabilisera tous les groupes de l'utilisateur, donc
les imbrications aussi... (soit ~1200 octets + 40 x le nombre de groupes
locaux, universels, groupes en SID History + 8 x le nombre de groupes
globaux)
Pour être globalement sur que ton compte fonctionne, tu peux toujours
augmenter la taille maximal du ticket Kerberos sur tous tes DC à FFFF
(après tu à le droit à tous les effets de bord de la terre). En revanche,
il me semble que si tu compte migrer ton domaine par la suite, ça ne sera
pas la chose la plus simple...
Si tu es forcé de faire partie de ces XXX groupes et que tu ne souhaite
modifier la taille max du ticket, peux être que tu devra revoir ton modèle
de groupes, ou scinder ton compte d'admin en plusieurs sous-comptes,
chacun aillant une suite de droits particuliers...
Quelques liens :
http://support.microsoft.com/kb/327825
http://support.microsoft.com/kb/263693/en-us
Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
"Thierry DEMAN [MVP]" <tdemanNOSPAM@NOSPAMfree.fr> a écrit dans le message
de news: 5F76BAB2-A91C-43F1-B578-DC7E47973D8B@microsoft.com...
Bonjour,
la solution est peut être de créer un groupe inclus dans tous les autres
groupes nécessaires et de ne mettre ton compte que dans ce groupe!
=> Sans aller jusqu'à faire cela pour tous les groupes, c'est une
solution pour limiter le nombre de groupe.
<support.reseaux@azert.com> a écrit dans le message de
news:OeGZrZeAIHA.4444@TK2MSFTNGP03.phx.gbl...
Bonjour,
Nous avons un domaine Active Directory Windows2003, et je commence à
avoir des problèmes de Group Policy Object et d'autres problèmes avec
mon compte utilisateur.
En effet mon compte appartient à plusieurs groupes de sécurité Windows,
lorsque je supprime des groupes, les problèmes disparaissent.
J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par
contre j'ai besoin d'être membres de tous les groupes de sécurité
Windows pour pouvoir travailler.
Y'a-t-il une solution à mon problème ?
en complément, un outil qui permet de savoir si le token est trop gros: Tokensz This tool will compute the maximum token size and is used to test whether a system may exhibit the issue described in KB article 327825. http://www.microsoft.com/downloads/details.aspx?FamilyIDJ303fa5-cf20-43fb-9483-0f0b0dae265c&DisplayLang=en
-- Cordialement, Mathieu CHATEAU English blog: http://lordoftheping.blogspot.com French blog: http://www.lotp.fr
"Jonathan BISMUTH" wrote in message news:uGXZ1z$
Bonjour à tous,
désolé de ne pas avoir vu ce post plus tôt. Malheureusement, dans beaucoup de cas, le problème venant de la taille du token Kerberos, on comptabilisera tous les groupes de l'utilisateur, donc les imbrications aussi... (soit ~1200 octets + 40 x le nombre de groupes locaux, universels, groupes en SID History + 8 x le nombre de groupes globaux)
Pour être globalement sur que ton compte fonctionne, tu peux toujours augmenter la taille maximal du ticket Kerberos sur tous tes DC à FFFF (après tu à le droit à tous les effets de bord de la terre). En revanche, il me semble que si tu compte migrer ton domaine par la suite, ça ne sera pas la chose la plus simple...
Si tu es forcé de faire partie de ces XXX groupes et que tu ne souhaite modifier la taille max du ticket, peux être que tu devra revoir ton modèle de groupes, ou scinder ton compte d'admin en plusieurs sous-comptes, chacun aillant une suite de droits particuliers...
Quelques liens : http://support.microsoft.com/kb/327825 http://support.microsoft.com/kb/263693/en-us
Cordialement, -- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net
"Thierry DEMAN [MVP]" a écrit dans le message de news:
Bonjour,
la solution est peut être de créer un groupe inclus dans tous les autres groupes nécessaires et de ne mettre ton compte que dans ce groupe! => Sans aller jusqu'à faire cela pour tous les groupes, c'est une solution pour limiter le nombre de groupe.
Bonjour, Nous avons un domaine Active Directory Windows2003, et je commence à avoir des problèmes de Group Policy Object et d'autres problèmes avec mon compte utilisateur. En effet mon compte appartient à plusieurs groupes de sécurité Windows, lorsque je supprime des groupes, les problèmes disparaissent. J'ai cru comprendre que la taille tu ticket Kerberos etait limitée, par contre j'ai besoin d'être membres de tous les groupes de sécurité Windows pour pouvoir travailler. Y'a-t-il une solution à mon problème ?
