У меня был пользователь, у которого было около 900 групп (некоторые из них были вложенными, поэтому я подозреваю, что было около 1000 групп), и он не мог войти в систему, возвращая ошибку, заявив, что существует слишком много идентификаторов. Я запустил скрипт для подсчета размера его токена, и он оказался около 24 КБ. Мы установили ограничение в 64 КБ. У пользователя ничего не было в истории SID, так как он никогда не переносился.
Сценарий: https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5
Я также прочитал эту статью: https://support.microsoft.com/en-us/help/327825/problems-with-kerberos-authentication-when-a-user-belongs-to-many-grou
Но сначала он говорит, что существует фиксированное количество групп на пользователя, но затем он говорит, что если мы установим MaxTokenSize на 64 КБ, каждый пользователь может иметь примерно 1600 локальных групп домена.
Мне просто интересно, в чем смысл установки MaxTokenSize, когда для пользователя разрешено максимальное количество групп AD? Думаю, я что-то здесь упускаю
Если бы вы не установили для параметра MaxTokenSize значение 64 КБ, у вас возникли бы проблемы с меньшим количеством членов в группах, поскольку значение по умолчанию составляет 12 КБ (48 КБ для Windows Server 2012 и более поздних версий). Я подозреваю, что вы можете использовать операционную систему более ранней, чем Windows 2012, поскольку в 2012 году появилось новое предупреждение журнала событий, которое предоставляет точный размер токена для учетных записей с большим членством в группах.
Если вы читали KB327825, в нем говорится, что нет прямой зависимости между количеством групп и размером токена. Требуемый объем памяти зависит от типа группы (универсальная / глобальная / локальная), если группа находится в том же домене или другом домене, имени домена, имени клиента и используется ли билет при делегировании.
Вы не указали точное количество групп, но сумма, которую вы оценили, выходит за рамки любого разумного плана. Что бы они ни делали, это нужно делать с меньшим количеством групп.