Active Directory Grenzen - Überblick - Beispiele - www.itnator.net

Active Directory Grenzen – Überblick – Beispiele

Das Active Directory (AD) ist in größeren Netzwerken ein wesentlicher Bestandteil der Infrastruktur. Im Großen und Ganzen ist zu sagen, dass das Active Directory für die Benutzer, Gruppen, Computer, Berechtigungen und weitere Objekte da ist. Sobald große Umgebungen verwaltet werden wird es brenzlich. Es gibt Active Directory Grenzen.

3844328 / Pixabay

 

Active Directory Grenzen – Beispiele

Im folgenden möchte ich ein paar Grenzen des Active Directory zeigen. Wie bei jedem anderen System, ist irgendwann der Punkt erreicht, an dem es zu viel wird.

 

'Active Directory-Benutzer und -Computer' Snap-In

In dem Falle, dass in der MMC “Active Directory-Benutzer und -Computer” in einer OU mehr als 2000 Objekte enthalten sind, wird die folgende Meldung ausgegeben:

Die Anzahl der angezeigten Elemente kann aber auch erhöht werden.

Maximale LDAP Abfragen

Um sich beispielsweise vor Denial of Service (DoS) Attacken zu schützen, gibt das AD bei einer LDAP-Abfrage als Ergebnis “nur” 1.000 Datensätze. Wird die Grenze von 1.000 Datensätzen überschritten, wird folgender Fehler angezeigt: “Size Limit Exceeded Error.

Nun gibt es zwei Möglichkeiten dieses Problem zu umgehen:

  • Andern der maximum Page Size auf dem LDAP Client
  • Erhöhen des Wertes MaxPageSize in der LDAP Richtlinie auf dem Domain Controller

Name einer Organisationseinheit (OU)

Der Name einer Organisation Unit kann nicht mehr als 64 Zeichen enthalten. So wird sichergestellt, dass beim Aufruf von Gruppenrichtlinien (GPO) die sich im SYSVOL Verzeichnis befinden, nicht die Grenze von insgesamt 260 Zeichen überschritten wird. Falls der UNC Pfad mehr als 260 Zeichen überschreiten sollte, können die GPOs nicht mehr gelesen werden. Das bedeutet natürlich, dass sie auch nicht angewandt werden.

Länge des Dateinamens

Der Pfad inklusive Dateiname der Active Directory Datenbank (NTDS.dit), sowie Protokolldateien oder derGruppenrichtlinien die sich im SYSVOL-Verzeichnis befinden, sind auf 260 Zeichen beschränkt.

NetBIOS Name (Computer / Domäne)

Der NetBIOS-Name eines Computerkontos kann nicht länger als 15 Zeichen sein. Eigentlich sind 16 Zeichen möglich, wobei dieses 16. Zeichen für das System reserviert ist.

Außerdem darf der Computername nicht nur aus Zahlen bestehen.

Beim Namen der Domäne ist es genauso.

Länge des Fully Qualified Domain Name

Der Fully Qualified Domain Name (FQDN) einer Domäne darf insgesamt 64 Zeichen (inklusive Punkte) enthalten.

Anzahl an Objekten der DC erstellen kann

Ein Domain Controller (DC) kann ca. zwei Milliarden Objekte erstellen. Das sollte erstmal reichen 😉

maximale Anzahl von GPOs auf ein Benutzer- oder Computerobjekt

Es können höchstens 999 Gruppenrichtlinien auf ein Benutzerobjekt oder Computerobjekt angewendet werden. Das hat Performancegründe.

Sicherlich gibt es noch mehr Einschränkungen, die Active Directory Grenzen aufweisen. Aber das sollten schon sehr hilfreiche und Interessante Daten sein – ich hoffe ich konnte euch weiterhelfen 🙂

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

sidebar
>