В сколько групп может входить учетная запись Active Directory?
Есть ли какие-то жесткие ограничения или знаете ли вы о других проблемах, которые могут возникнуть, когда вы превысите определенное количество членств в группе?
Справочная информация: У нас есть одна учетная запись, которая является членом ca. 400 (возможно, вложенных) групп, и мы начинаем видеть проблемы в обработке групповой политики для этой учетной записи.
Нет, он ограничен 1015 (включая вложенные группы) из-за размера токена безопасности участника. Вот статья, в которой обсуждаются ограничения AD, включая членство в группах. Взгляните на заголовок "Членство в группах для руководителей безопасности". Вот еще одна статья в KB в котором конкретно говорится о членстве в группах.
Существуют исключения при работе с локальными группами домена за пределами домена, членом которого является участник. Из базы знаний, указанной выше:
Единственным исключением из этого поведения является то, что не все локальные группы безопасности домена, членом которых является пользователь, будут отображаться в токене пользователя. Единственные локальные группы безопасности домена, которые будут отображаться (в токене пользователя), - это те группы, членом которых является пользователь и которые также находятся в домене, содержащем учетную запись компьютера, в который входит пользователь.
Я видел значения от 1000 до 1024 членства в группах, являющихся пределом, я не уверен, что это жесткий предел, но членство в таком большом количестве групп приводит к «раздуванию токена», поскольку токен содержит SID всех членств в группах.
В вашем случае пользователь может быть членом 400 групп напрямую, но количество вложенных групп может значительно увеличиться.
Эта ветка есть хорошее обсуждение темы. Краткий ответ: 1015. Более длинный ответ: меньше, в зависимости от того, к скольким группам они принадлежат, вложены в другие группы.
Обратите внимание, что группы рассылки не учитывают эти обсуждаемые здесь ограничения размера токена.