“Event-ID 16644: The maximum domain account identifier value has been reached. No further account-identifier pools can be allocated to domain controllers in this domain.”

Wahrscheinlich haben Sie diese Meldung bisher noch nicht gesehen. Das Limit der SIDs (Security Identifier) in einer Domäne kann aber ebenso erreicht werden, wie andere Grenzen.

Microsoft schlägt in diesem Fall übrigens als Workaround vor, eine zusätzliche Domäne zu erstellen und eine Vertrauensstellung zwischen den Domänen einzurichten, damit Sie einen neuen SID-Pool zur Verfügung haben.

Sicherlich profitieren Sie davon, wenn dies nicht ad hoc und auf die Schnelle geschehen muss, sondern rechtzeitig von Ihnen eingeplant und vorbereitet werden kann.

Microsoft hat deshalb diese Beschränkungen des Active Directory nun veröffentlicht. Auch wenn die Grenzen natürlich so hoch gesteckt sind, dass sie nicht so schnell erreicht werden, sollten Sie als Administrator sie zumindest kennen.

Im Folgenden finden Sie eine Übersicht der Limits des Active Directory:

• SIDs: Eine Domäne kann ca. eine Milliarde SIDs erzeugen
• Gruppenmitgliedschaften: Maximal kann ein Objekt in 1.015 Gruppen Mitglied sein
• FQDN-Namen: Der vollständige FQDN (Fully Qualified Domain Name) in der Domäne darf 64 Zeichen nicht überschreiten
• Dateinamen: Dateinamen inklusive Pfad dürfen maximal 260 Zeichen lang sein
• Organisationseinheit: Der Name einer OU (Organizational Unit) kann maximal eine Länge von 64 Zeichen haben
• Gruppenrichtlinien: Es können maximal 999 Gruppenrichtlinien auf ein Benutzer- bzw. Computerkonto angewendet werden
• LDAP-Operationen: Die empfohlene maximale Anzahl liegt bei 5.000 Operationen pro LDAP-Transaktion
• Domains: Maximal dürfen 800 Domains in einem Forest sein, wenn die Gesamtstruktur-Funktionsebene allerdings auf Windows Server 2003 eingestellt ist, sind 1.200 Domains möglich.
• Domänencontroller: Empfohlen wird, die Anzahl von 1.200 Domänencontrollern pro Domäne nicht zu überschreiten. Nutzen Sie Active Directory integrierte DNS-Zonen, müssen Sie bereits ab 800 Domänencontrollern Besonderheiten beachten.

Besonders die Begrenzung des Fully Qualified Domain Name auf 64 Zeichen sollten Sie beachten, wenn Sie Ihre Domain einrichten. Wählen Sie hier keinen zu langen Namen, damit Sie später bei der Benennung von Objekten in der Domäne keine böse Überraschung erleben.

Beim Zugriff auf Ihren Dateiserver sehen die Benutzer Ihres Netzwerks alle Freigabeinhalte, unabhängig davon, ob sie Zugriffsberechtigungen hierfür haben oder nicht.

Ein einfacher Weg, um dies zu ändern und z.B. den Anwendern die Suche nach den richtigen Daten somit zu vereinfachen, ist das Verbergen aller Daten, auf die der Benutzer keinen Zugriff hat.

Der Windows Server 2008 bietet hier von Haus aus eine Lösung: Access-based Enumeration (ABE) ist hier als Feature direkt integriert. Aber auch unter dem Windows Server 2003 ab Service Pack 1 steht Ihnen die Möglichkeit zur Verfügung, Freigabeinhalte nur für Benutzer mit entsprechenden Berechtigungen sichtbar zu machen.

Um die Funktion nachzurüsten, laden Sie sich zunächst direkt bei Microsoft die Erweiterung für ABE herunter. Nach der Installation öffnen Sie die Eigenschaften einer Freigabe und wechseln Sie zum neuen Register “Access-based Enumeration”. Hier aktivieren Sie die ABE nun für einzelne oder für alle Freigaben auf Ihrem Server.

Sobald die Einstellung aktiviert ist und Sie dies über “OK” oder “Übernehmen” bestätigt haben, sind die Ordnerinhalte beim Zugriff über die Freigabe nur noch für Benutzer sichtbar, die entsprechende Zugriffsberechtigungen darauf haben.

P.S.: In der April-Ausgabe von “Windows Server” zeigt unsere Redaktion Ihnen übrigens weitere Schritte, mit denen Sie Ihren Dateiserver absichern und härten.

Für ein Konto, das seine Mitarbeiter nutzen können, ohne dass Veränderungen an den Profileinstellungen möglich sind, wünscht sich einer unserer Leser einen Lösungsvorschlag.

Hier gibt es einen einfachen Weg, da Microsoft dieses Szenario bereits vorgesehen hat. In dem serverseitigen Profil muss die Datei „NTUser.dat” in „NTUser.man” umbenannt werden. Sie wird ab sofort nicht mehr überschrieben. Da in der Datei alle Registrierungseinträge des Benutzers (also alles unterhalb von „HKEY_CURRENT_USER”) gespeichert sind, werden diese nun beim Neustart alle Einstelungen wieder zurückgesetzt.

Sie können auf einem Windows Server 2003 im Benutzerprofil eine Beschränkung für die Zeiten hinterlegt werden, an denen sich der Benutzer am System anmelden kann.

Hiervon sind allerdings nur neue Anmeldungen betroffen. Ein Benutzer, der sich innerhalb des erlaubten Zeitraums an der Domäne angemeldet hat, kann beliebig lange am System arbeiten, ohne dass seine Anmeldung nach Ablauf der ausgewählten Zeitspanne automatisch beendet wird.

Damit die Benutzer außerhalb der Zeitspanne automatisch abgemeldet werden, müssen Sie auf Domänenebene unter der Gruppenrichtlinie „Computerkonfiguration” -> „Windows-Einstellungen” -> „Sicherheitseinstellungen” -> „Lokale Richtlinien” -> „Sicherheitsoptionen” die Richtlinie „Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen” aktivieren.

In Zukunft werden Ihre Benutzer somit nach Ablaf des erlaubten Zeitfensters automatisch abgemeldet. So haben Sie eine direkte Kontrolle darüber wann die einzelnen Mitarbeiter Zugriff auf Ihre Systeme haben.

Die frei verfügbare Express-Version des SQL Servers 2005 wird gerne in Testumgebungen oder für Projekte mit geringem Datenvolumen anstelle von MySQL verwendet. Die Größe ist hier auf 4 GB limitiert. Einen Leser hat die Tatsache verunsichert, dass die Datenbank nach dem Anlegen nur eine Größe von 1,89 MB als frei verfügbaren Speicherplatz anzeigt.

Nach dem Erstellen einer neuen Datenbank werden nicht sofort die vollen 4 GB reserviert. Die Datenbank wird jedoch automatisch erweitert, wenn Sie mit Inhalt gefüllt wird. Es ist also keine Konfiguration seitens des Benutzers nötig, um die Größe zu erweitern.

Zur Administration empfiehlt sich der Einsatz des Microsoft SQL Server Management Studio Express.

Die integrierte Brennfunktion in Windows XP kann praktisch sein. In Unternehmen ist sie allerdings oft unerwünscht und so wollte ein Leser sie heute gerne deaktivieren. Am liebsten so, dass die Funktion in seiner gesamten Domäne deaktiviert ist.

In den Gruppenrichtlinien ist hierfür die Richtlinie „CD-Brennfunktion entfernen” unter „Benutzerkonfiguration” -> „Administrative Vorlagen” -> „Windows-Komponenten” -> „Windows Explorer” bereits vorhanden. Sie muss nur noch in einem Gruppenrichtlinien-Objekt aktiviert werden, das für die gesamte Domäne gilt.

Beim Speichern neuer Dateien auf einer Netzwerkfreigabe erhielt ein Leser ständig die Meldung, dass kein Speicherplatz vorhanden ist. Auf der Serverpartition ist aber ausreichend Platz vorhanden gewesen.

Die Speicherplatzlimitierung („Kontingente”) des Servers hatten wir schnell als Übeltäter ausgemacht. Hier war für das entsprechende Laufwerk ein viel zu geringer Wert angegeben, da in der Vergangenheit hier erheblich kleinere Dateien abgelegt wurden.

Die Konfiguration der Kontingente erreichen Sie durch die Eigenschaften der Partition (Menüpunkt „Eigenschaften” beim Anklicken der Partition im Arbeitsplatz mit der rechten Maustaste) auf dem Reiter „Kontingent”.

Kontingente sollten immer dokumentiert und regelmäßig kontrolliert werden. Ansonsten ist diese Beschränkung schnell übersehen, wenn der Server einen zusätzlichen Zweck (hier Speicherung von Mediendaten für die Marketingabteilung) bekommt.

Auf einem Testserver in seiner Domäne wollte ein Leser den Eingabedialog beim Herunterfahren und Neustarten des Servers deaktivieren. Seinen Testserver startet er oft neu und möchte nicht jedes Mal einen Grund hierfür angeben müssen.

In einer Domänenumgebung regelt man diese Einstellung über die Gruppenrichtlinien.

Unter „Computerkonfiguration” -> „Administrative Vorlagen” -> „System” -> „Ereignisprotokollierung beim Herunterfahren anzeigen” kann die Option deaktiviert werden.

Auf einem Produktivsystem sollte man die Option zur Dokumentation von Änderungen und Rechtfertigung von Ausfallzeiten auf jeden Fall
aktiviert lassen.
Es könnte einem mal den Hals retten, wenn man seinem Chef auch noch nach 2 Monaten einen guten Grund nennen kann