Active Directory帐户可以有多less个群组?
有没有硬性的限制,或者你知道当你超过一定数量的小组成员时可能出现的其他问题吗?
背景:我们有一个帐户,是约会的成员。 400(可能是嵌套的)组,我们开始看到这个账户的组策略处理问题。
不,由于委托人的安全令牌的大小限制为1015(包括嵌套组)。 这是一篇讨论广告限制的文章 ,包括组织成员资格。 看看安全委员会成员组的标题。 这是另外一个知识库文章 ,专门讨论团体成员。
在处理主体所属的域之外的域本地组时,也有例外。 从KB链接到上面:
此行为的唯一例外情况是,不是用户所属的所有域本地安全组都将显示在用户的令牌中。 将显示(在用户的令牌中)的唯一域本地安全组是用户所属的那些组,也驻留在包含用户login到的计算机帐户的域中。
这个主题有很好的讨论。 简短的回答:1,015。 较长的回答:较less,取决于它们所属的组数是否嵌套在其他组中。
我已经看到1000到1024组成员资格的限制,我不知道它是一个硬性的限制,但这个组的成员身份导致“令牌膨胀”,因为令牌包含所有组成员身份的SID。
在你的情况下,用户可以直接成为400个组的成员,但嵌套组可能会显着增加。
请注意,通讯组不会考虑这里讨论的令牌大小限制。