一个 Active Directory 帐户可以加入多少个组?
是否存在任何硬性限制,或者您是否知道当群组成员数量超过一定数量时可能出现的其他问题?
背景:我们有一个帐户,它是约 400 个(可能是嵌套的)组的成员,我们开始看到该帐户的组策略处理中存在问题。
答案1
不可以,由于主体的安全令牌的大小,它被限制为 1015(包括嵌套组)。 这是一篇讨论 AD 限制的文章,包括组成员身份。请查看“安全主体的组成员身份”标题。 这是另一篇知识库文章专门讨论团体成员资格。
处理主体所属域之外的域本地组时,存在例外情况。从上面链接的知识库中:
此行为的唯一例外是,并非所有用户所属的域本地安全组都会显示在用户令牌中。唯一会显示(在用户令牌中)的域本地安全组是用户所属的组,并且这些组还驻留在包含用户登录的计算机帐户的域中。
答案2
请注意,分发组不考虑这里讨论的令牌大小限制。
答案3
此主题对该主题进行了很好的讨论。简短回答:1,015。详细回答:更少,具体取决于它们所属的组数和嵌套在其他组中的组数。
答案4
我看到过 1000 到 1024 个组成员身份的值是限制,我不确定这是否是一个硬性限制,但是这么多组的成员身份会导致“令牌膨胀”,因为令牌包含所有组成员身份的 SID。
在您的情况下,用户可能直接是 400 个组的成员,但嵌套组可能会显著增加这一数量。