SID History

Die SID-History wird bei Active Directory-Objekten in einem speziellen Attribut gespeichert. Sie beinhaltet, wie der Name bereits andeutet, historische SID zum jeweiligen Objekt. Das Objekt kann – zusätzlich zur aktuellen SID – historische SIDs aus fremden Domains haben, wenn das Objekt von einer anderen Domain in die aktuelle Domain migriert wurde.

Der Grund für die Speicherung der historischen SID ist, dass dadurch der Zugriff auf Ressourcen aus der alten Domain weiterhin nahtlos möglich ist. Die Berechtigungen auf den Ressourcen beziehen sich dabei immer auf die alte SID des Benutzers. Dadurch, dass diese jedoch gespeichert wird, erfolgt die Berechtigungsprüfung nicht nur auf Basis der aktuellen, sondern auch der historischen SID. Der Zugriff ist somit weiterhin möglich, obwohl der Benutzer anhand seiner aktuellen SID eigentlich nicht mehr zuordnungsfähig wäre.
Wenn bei einer Domänenmigration die SID-History aktiviert wurde, so kann dies in vielen Fällen zu einem „Token Bloat“ führen. Diese Situation ist auch als „MaxTokenSize Problem“ bekannt.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Go to Top