MaxTokenSize and Kerberos Token Bloat

Hallo zusammen,

Seit Windows 2000 SP2 ist die Kerberos MaxTokenSize 12 KB gross. Diese Grenze kann überschritten werden, wenn man Mitglied in einer grossen Anzahl von Gruppen ist oder über sIDHistory viele Kerberos Tokens erhält.

Ein Interessanter Artikel dazu habe ich auf Technet gefunden

http://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize-and-kerberos-token-bloat.aspx

Die MaxTokenSize kann aber über einen Registry Key bis auf 64 KB erhöht werden.

http://support.microsoft.com/kb/263693/en-us

HKLM\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
MaxTokenSize=dword:65535

Update 11.10.2012

Aufgrund der HTTP Base64 encodierung in Windows 2012, wird nur noch eine MaxTokenSize von 48000 empfohlen.

http://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize-and-kerberos-token-bloat.aspx

Tokensz

Mit dem Tool Tokensz kann die Tokensize angezeigt werden