Die SID-History, Token-Bloating und SID-History Cleanup

Ist ein Windows-User Mitglied zu vieler Gruppen, kann es zu Anmeldeproblemen kommen. Wir erklären warum, und wie man die Problematik angehen kann. Mit der Migration von Windows NT4 auf Windows 2000 und neuere Betriebssyteme hat Microsoft ein Feature namens SID-History eingeführt. Wird ein Benutzer migriert, so werden seine Gruppenmitgliedschaften der alten Domäne in das neue Benutzerobjekt in der neuen Domäne übertragen, so dass der Benutzer nach wie vor auf die Resourcen der alten Domäne zugreifen kann. Wird diese SID-History nicht gelöscht, kann es früher oder später zu Anmeldeproblemen kommen, da die Menge der Gruppen, die in einem Access-Token hängen dürfen (dem "Personalauweis", der beim Anmelden an jedem Windows-Recher zur Authentifizierung erzeugt wird), beschränkt ist. Es gibt 2 beschränkende Faktoren, und zwar die maximale Größe in Byte, die auf dem Rechner eingestellt ist (max. 64 KB, ab Windows Server 2012 / Windows 8 48 KB) und die maximale Anzahl der Gruppen, in denen ein Konto Mitglied sein darf (1015). Die SID-History kann komplett oder auch punktuell gelöscht werden. Werkzeuge hierfür bietet z.B. Powershell. Einen genauen Artikel von Ashley McGlone, der zeigt, wie das mit Powershell zu bewerkstelligen ist, findet sich hier:

https://blogs.technet.com/b/ashleymcglone/archive/2011/11/23/how-to-remove-sid-history-with-powershell.aspx?Redirected=true

Hintergrundinfos zum Thema sowie eine Beschreibung, wie Sie einzelne SID´s filtern können, gibt es hier:
http://blog.joeware.net/2011/11/20/2338/