Kerberos MaxTokenSize
約900のグループを持つユーザーがいて(そのうちのいくつかはネストされているため、約1000のグループがあったと思われます)、IDが多すぎるというエラーを返すためにログインできませんでした。彼のトークンサイズをカウントするスクリプトを実行しましたが、約24Kであることがわかりました。制限を64Kに設定しました。ユーザーは移行されなかったため、SID履歴には何もありませんでした。
スクリプト: https://gallery.technet.Microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5
私もこの記事を読みました: https://support.Microsoft.com/en-us/help/327825/problems-with-kerberos-authentication-when-a-user-belongs-to-many-gro
ただし、最初はユーザーごとに固定数のグループがあると書かれていますが、MaxTokenSizeを64Kに設定すると、各ユーザーは1600のドメインローカルグループを持つことができます。
ユーザーに許可されているADグループの最大数があるときにMaxTokenSizeを設定する意味は何ですか?私はここで何かが欠けていると思います
MaxTokenSizeを64Kに設定しなかった場合、デフォルト値が12K(Windows Server 2012以降では48K)であるため、グループメンバーシップが少なくなるという問題が発生していました。大規模なグループメンバーシップを持つアカウントの正確なトークンサイズを提供する新しいイベントログ警告が2012年に導入されたため、Windows2012より前のオペレーティングシステムを使用している可能性があります。
KB327825を読んだことがある場合は、グループの数とトークンのサイズの間に直接的な関係はないと記載されています。必要なメモリの量は、グループタイプ(ユニバーサル/グローバル/ローカル)、グループが同じドメインまたは別のドメインにあるかどうか、ドメイン名、クライアント名、およびチケットが委任で使用されるかどうかによって異なります。
グループの正確な数を指定していませんが、推定した量は合理的な設計をはるかに超えています。彼らが何をしていても、それはより少ないグループで行われる必要があります。