Tomalak Asked: 2009-10-02 07:13:01 +0800 CST2009-10-02 07:13:01 +0800 CST 2009-10-02 07:13:01 +0800 CST AD:你可以成为无限组的成员吗? 772 Active Directory 帐户可以加入多少个组? 是否有任何硬性限制,或者您是否知道当您超过一定数量的组成员资格时可能出现的其他问题? 背景:我们有一个帐户是 ca 的成员。400 个(可能是嵌套的)组,我们开始看到此帐户的组策略处理存在问题。 windows 4 个回答 Voted Best Answer squillman 2009-10-02T07:19:23+08:002009-10-02T07:19:23+08:00 不,由于主体安全令牌的大小,它被限制为 1015 个(包括嵌套组)。 这是一篇讨论 AD 限制的文章,包括组成员身份。查看安全主体的组成员资格标题。 这是另一篇专门讨论组成员资格的知识库文章。 在处理主体所属域之外的域本地组时存在例外情况。从上面链接的知识库: 此行为的唯一例外是,并非用户所属的所有域本地安全组都会显示在用户的令牌中。唯一会显示的域本地安全组(在用户的令牌中)是用户所属的那些组,这些组也驻留在包含用户登录的计算机帐户的域中。 Brian Desmond 2009-10-02T15:58:05+08:002009-10-02T15:58:05+08:00 请注意,分发组不考虑此处讨论的这些令牌大小限制。 djhowell 2009-10-02T07:21:37+08:002009-10-02T07:21:37+08:00 该线程对该主题进行了很好的讨论。简短回答:1,015。更长的答案:更少,取决于他们所属的组嵌套在其他组中的数量。 Sam Cogan 2009-10-02T07:23:51+08:002009-10-02T07:23:51+08:00 我已经看到 1000 到 1024 个组成员的值是限制,我不确定它是一个硬限制,但是这么多组的成员会导致“令牌膨胀”,因为令牌包含所有组成员的 SID。 在您的情况下,用户可能直接是 400 个组的成员,但嵌套组可能会显着增加。
不,由于主体安全令牌的大小,它被限制为 1015 个(包括嵌套组)。 这是一篇讨论 AD 限制的文章,包括组成员身份。查看安全主体的组成员资格标题。 这是另一篇专门讨论组成员资格的知识库文章。
在处理主体所属域之外的域本地组时存在例外情况。从上面链接的知识库:
请注意,分发组不考虑此处讨论的这些令牌大小限制。
该线程对该主题进行了很好的讨论。简短回答:1,015。更长的答案:更少,取决于他们所属的组嵌套在其他组中的数量。
我已经看到 1000 到 1024 个组成员的值是限制,我不确定它是一个硬限制,但是这么多组的成员会导致“令牌膨胀”,因为令牌包含所有组成员的 SID。
在您的情况下,用户可能直接是 400 个组的成员,但嵌套组可能会显着增加。