SID History: Aufzeichnung historischer SIDs

Im IAM-Wiki von tenfold erklรคren wir, warum Windows vergangene Security Identifier (SID) von Objekten speichert.

Die SID-History wird bei Objekten im Active Directory in einem speziellen Attribut gespeichert und dient dazu, die Migration in eine neue Domรคne zu unterstรผtzen. Wie der Name schon andeutet, ist darin die historische SID (Security Identifier) zum jeweiligen Objekt gespeichert. Obwohl die SID selbst nicht verรคndert werden kann, erhalten Objekte eine neue SID wenn sie in eine andere Windows-Domรคne migriert werden. Objekte kรถnnen daher โ€“ zusรคtzlich zu ihrer aktuellen SID โ€“ auch historische SIDs aus fremden Domains haben, wenn sie dort angelegt oder gespeichert wurden.

Der Grund fรผr die Speicherung der historischen SID ist, dass dadurch der Zugriff auf Ressourcen aus der alten Domain weiterhin nahtlos mรถglich ist. Die Berechtigungen in der Access Control List der frรผheren Domain beziehen sich nรคmlich auf die alte SID des Benutzers. Dadurch, dass diese gespeichert wird, kรถnnen Benutzer wรคhrend der Migration sowohl auf alte, als auch auf neue Ressourcen zugreifen, da die nรถtigen Werte weiterhin gespeichert werden.

Wenn bei einer Domรคnenmigration die SID-History aktiviert wurde, so kann dies in vielen Fรคllen zu einem โ€žToken Bloatโ€œ fรผhren. Diese Situation ist auch als โ€žMaxTokenSize Problemโ€œ bekannt.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tรคtig. Er ist damit fรผr den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmรครŸig themenbezogene Beitrรคge aus dem Bereich Identity & Access Management.