错误消息:在登录尝试期间,用户的安全上下文累积了过多的安全 ID
原因 出现此行为的原因是 Windows 系统包含一个限制,该限制阻止用户的安全访问令牌包含超过 1,000 个安全标识符 (SID)。这意味着,当验证用户是否有访问权限以与服务器建立新会话时,该用户不能是该服务器域中超过 1,000 个组的成员。如果超出此限制,则拒绝访问服务器,并向用户返回错误代码 1384。
大问题:我怎样才能将“1000”稍微放大一点,比如“2000”?在 Active Directory 方面。
答案1
实际上没有固定的大小,1,000 是近似值。组在用户令牌中需要的字节数取决于组类型(通用/全局/本地)以及是否用于模拟。
Windows Server 2012 引入了 SID 压缩,因此如果您已经处于该域级别且已启用该压缩,且令牌大小设置为最大大小(64 kb),则您需要从用户帐户中删除一些组,并且很可能重组有缺陷的设计。