AD:無制限のグループのメンバーになることはできますか?
Active Directoryアカウントはいくつのグループに参加できますか?
厳しい制限はありますか、または特定の数のグループメンバーシップを超えたときに発生する可能性のある他の問題を知っていますか?
背景:caのメンバーであるアカウントが1つあります。 400(ネストされている可能性があります)のグループがあり、このアカウントのグループポリシー処理に問題が発生し始めています。
いいえ、プリンシパルのセキュリティトークンのサイズにより、1015(ネストされたグループを含む)に制限されています。 これは、グループメンバーシップを含むAD制限 について説明している記事です。セキュリティプリンシパルのグループメンバーシップの見出しをご覧ください。 グループメンバーシップについて具体的に説明している別のKB記事 があります。
プリンシパルがメンバーであるドメイン外のドメインローカルグループを処理する場合は例外があります。上記にリンクされているKBから:
この動作の唯一の例外は、ユーザーがメンバーになっているすべてのドメインローカルセキュリティグループがユーザーのトークンに表示されるわけではないことです。 (ユーザーのトークンに)表示される唯一のドメインローカルセキュリティグループは、ユーザーがメンバーになっているグループであり、ユーザーがログオンしているコンピューターアカウントを含むドメインにも存在します。
このスレッド このトピックについては良い議論があります。短い答え:1,015。より長い答え:それらが属するグループの数に応じて、他のグループ内にネストされている場合は少なくなります。
1000から1024のグループメンバーシップの値が制限であることがわかりました。ハード制限かどうかはわかりませんが、トークンにはすべてのグループメンバーシップのSIDが含まれているため、この多くのグループのメンバーシップは「トークンの膨張」につながります。
あなたの場合、ユーザーは直接400グループのメンバーである可能性がありますが、ネストされたグループはそれを大幅に増やす可能性があります。
配布グループは、ここで説明するこれらのトークンサイズの制限を考慮に入れていないことに注意してください。