SID History: Aufzeichnung historischer SIDs
Im IAM-Wiki von tenfold erklären wir, warum Windows vergangene Security Identifier (SID) von Objekten speichert.
Die SID-History wird bei Objekten im Active Directory in einem speziellen Attribut gespeichert und dient dazu, die Migration in eine neue Domäne zu unterstützen. Wie der Name schon andeutet, ist darin die historische SID (Security Identifier) zum jeweiligen Objekt gespeichert. Obwohl die SID selbst nicht verändert werden kann, erhalten Objekte eine neue SID wenn sie in eine andere Windows-Domäne migriert werden. Objekte können daher – zusätzlich zu ihrer aktuellen SID – auch historische SIDs aus fremden Domains haben, wenn sie dort angelegt oder gespeichert wurden.
Der Grund für die Speicherung der historischen SID ist, dass dadurch der Zugriff auf Ressourcen aus der alten Domain weiterhin nahtlos möglich ist. Die Berechtigungen in der Access Control List der früheren Domain beziehen sich nämlich auf die alte SID des Benutzers. Dadurch, dass diese gespeichert wird, können Benutzer während der Migration sowohl auf alte, als auch auf neue Ressourcen zugreifen, da die nötigen Werte weiterhin gespeichert werden.
Wenn bei einer Domänenmigration die SID-History aktiviert wurde, so kann dies in vielen Fällen zu einem „Token Bloat“ führen. Diese Situation ist auch als „MaxTokenSize Problem“ bekannt.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.