Windows Active Directory Group Membership Limitation
Hallo zusammen,
Was ich nicht wusste, im Windows gibt es ein hartes Limit. Ein Benutzer kann nur Mitglied in 1015 Gruppen sein...
Also mal ein paar Gruppen mit der Quest ActiveRoles Powershell anlegen
$range = 1..2000
ForEach ($iterator in $range) {
$groupname = "Group" + "{0:D4}" -f $iterator
new-QADGroup -Name $groupname -SamAccountName $groupname -ParentContainer 'OU=Groups,OU=TEST,DC=destination,DC=internal' -Member j.doe
}
Der Benutzer ist nun Member von 1020 Gruppen. Im Active Directory besteht hier keine Limitation. Man kann einen Benutzer auch in 3000 Gruppen als Benutzer hinzufügen.
Versucht man nun beispielsweise unter Windows 7 einzuloggen, so erhält man die Fehlermeldung:
"During a logon attempt, the user's security context accumulated too many security IDs"
Reduziert man die Gruppen auf 1015 so kann man sich wieder einloggen.
Wenn man die Kerberos Tokensize anschaut, so sieht man, dass die Tokensize kleiner als 12 KB ist - dies ist die default Kerberos Tokensize. Der Value MaxTokenSize muss also nicht angepasst werden.
