SID History: Aufzeichnung historischer SIDs
Im IAM-Wiki von tenfold erklรคren wir, warum Windows vergangene Security Identifier (SID) von Objekten speichert.
Die SID-History wird bei Objekten im Active Directory in einem speziellen Attribut gespeichert und dient dazu, die Migration in eine neue Domรคne zu unterstรผtzen. Wie der Name schon andeutet, ist darin die historische SID (Security Identifier) zum jeweiligen Objekt gespeichert. Obwohl die SID selbst nicht verรคndert werden kann, erhalten Objekte eine neue SID wenn sie in eine andere Windows-Domรคne migriert werden. Objekte kรถnnen daher โ zusรคtzlich zu ihrer aktuellen SID โ auch historische SIDs aus fremden Domains haben, wenn sie dort angelegt oder gespeichert wurden.
Der Grund fรผr die Speicherung der historischen SID ist, dass dadurch der Zugriff auf Ressourcen aus der alten Domain weiterhin nahtlos mรถglich ist. Die Berechtigungen in der Access Control List der frรผheren Domain beziehen sich nรคmlich auf die alte SID des Benutzers. Dadurch, dass diese gespeichert wird, kรถnnen Benutzer wรคhrend der Migration sowohl auf alte, als auch auf neue Ressourcen zugreifen, da die nรถtigen Werte weiterhin gespeichert werden.
Wenn bei einer Domรคnenmigration die SID-History aktiviert wurde, so kann dies in vielen Fรคllen zu einem โToken Bloatโ fรผhren. Diese Situation ist auch als โMaxTokenSize Problemโ bekannt.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.