Active Directory Grenzen – Überblick – Beispiele
Das Active Directory (AD) ist in größeren Netzwerken ein wesentlicher Bestandteil der Infrastruktur. Im Großen und Ganzen ist zu sagen, dass das Active Directory für die Benutzer, Gruppen, Computer, Berechtigungen und weitere Objekte da ist. Sobald große Umgebungen verwaltet werden wird es brenzlich. Es gibt Active Directory Grenzen.
Active Directory Grenzen – Beispiele
Im folgenden möchte ich ein paar Grenzen des Active Directory zeigen. Wie bei jedem anderen System, ist irgendwann der Punkt erreicht, an dem es zu viel wird.
'Active Directory-Benutzer und -Computer' Snap-In
Maximale LDAP Abfragen
Um sich beispielsweise vor Denial of Service (DoS) Attacken zu schützen, gibt das AD bei einer LDAP-Abfrage als Ergebnis “nur” 1.000 Datensätze. Wird die Grenze von 1.000 Datensätzen überschritten, wird folgender Fehler angezeigt: “Size Limit Exceeded Error.”
Nun gibt es zwei Möglichkeiten dieses Problem zu umgehen:
- Andern der maximum Page Size auf dem LDAP Client
- Erhöhen des Wertes MaxPageSize in der LDAP Richtlinie auf dem Domain Controller
Name einer Organisationseinheit (OU)
Der Name einer Organisation Unit kann nicht mehr als 64 Zeichen enthalten. So wird sichergestellt, dass beim Aufruf von Gruppenrichtlinien (GPO) die sich im SYSVOL Verzeichnis befinden, nicht die Grenze von insgesamt 260 Zeichen überschritten wird. Falls der UNC Pfad mehr als 260 Zeichen überschreiten sollte, können die GPOs nicht mehr gelesen werden. Das bedeutet natürlich, dass sie auch nicht angewandt werden.
Länge des Dateinamens
Der Pfad inklusive Dateiname der Active Directory Datenbank (NTDS.dit), sowie Protokolldateien oder derGruppenrichtlinien die sich im SYSVOL-Verzeichnis befinden, sind auf 260 Zeichen beschränkt.
NetBIOS Name (Computer / Domäne)
Der NetBIOS-Name eines Computerkontos kann nicht länger als 15 Zeichen sein. Eigentlich sind 16 Zeichen möglich, wobei dieses 16. Zeichen für das System reserviert ist.
Außerdem darf der Computername nicht nur aus Zahlen bestehen.
Beim Namen der Domäne ist es genauso.
Länge des Fully Qualified Domain Name
Der Fully Qualified Domain Name (FQDN) einer Domäne darf insgesamt 64 Zeichen (inklusive Punkte) enthalten.
Anzahl an Objekten der DC erstellen kann
Ein Domain Controller (DC) kann ca. zwei Milliarden Objekte erstellen. Das sollte erstmal reichen 😉
maximale Anzahl von GPOs auf ein Benutzer- oder Computerobjekt
Es können höchstens 999 Gruppenrichtlinien auf ein Benutzerobjekt oder Computerobjekt angewendet werden. Das hat Performancegründe.
Sicherlich gibt es noch mehr Einschränkungen, die Active Directory Grenzen aufweisen. Aber das sollten schon sehr hilfreiche und Interessante Daten sein – ich hoffe ich konnte euch weiterhelfen 🙂