Wednesday, August 23rd, 2006...1:00 am

Access token limitation – z czym to siÄ™ je

Jump to Comments

Hmm, czy ktoś o tym słyszał :)? Na czym polega ograniczenie związane z tokenem dostępowym (chyba poprawniej byłoby powiedzieć żetonem)?
W Å›rodowiskach usÅ‚ug katalogowych Windows 2000\2003 każdy użytkownik przy logowaniu siÄ™ do systemu obdarzany jest swojego rodzaju przybytkiem – tokenem dostÄ™pu, na którego zawartość skÅ‚adajÄ… siÄ™ identyfikatory SID grup do których należy. Problem polega na tym że tych identyfikatorów w ramach jednego tokenu może być tylko 1024 (taka okrÄ…gÅ‚a liczba), przekroczenie tej liczby powoduje że użytkownik nie może sie zalogować.
Problem jest znany od dawna, pojawiał się w różnych miejscach, również w prezentacjach dotyczących bezpieczeństwa systemu (potencjalny atak DoS). Teraz dodatkowo objawił sie w postaci dokumentu Access token limitation opisującego jak rozpoznać symptomy takiego problemu, jak go zdiagnozować i rozwiązać.
W tym samym miejscu można pobrać poprawkę do systemu dostarczającej nową wersję narzędzia ntdsutil.exe wyposażoną w przydatną w celu diagnozowania tych problemów funkcję Group membership evaluation. Wersja ta została opisana w artykule KB 906208, dostępna była przez PSS a teraz dostępna jest również publicznie.
Zachęcam do lektury.

Leave a Reply