Kerberos MaxTokenSize

Question

我有一个用户，他有大约900个组(其中一些是嵌套的，所以我怀疑大约有1000个组)，他无法登录返回错误，说明ID太多了。我已经运行了一个脚本来计算他的标记大小，结果是大约24K。我们已经设定了64K的上限。用户在SID历史上什么都没有，因为他从未被迁移过。

脚本：https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5

我也读过这篇文章：https://support.microsoft.com/en-us/help/327825/problems-with-kerberos-authentication-when-a-user-belongs-to-many-grou

但是首先，它说每个用户有固定的组数，但是接着它说，如果我们将MaxTokenSize设置为64K，每个用户可以拥有大约1600DomainLocalGroup。

我只是想知道，在允许用户拥有最大数量的AD组的情况下，设置MaxTokenSize有什么意义？我想我漏掉了一些东西

Answer 1

如果没有将MaxTokenSize设置为64K，则由于默认值为12K ( Windows 2012及更高版本的48K)，您会遇到组成员数较少的问题。我怀疑您可能比Windows 2012更早使用操作系统，因为2012年引入了一个新的事件日志警告，该警告为具有大型组成员的帐户提供了确切的令牌大小。

如果您读过KB327825，它指出组数与令牌大小之间没有直接关系。所需的内存量根据组类型(通用/全局/本地)而不同，如果组位于同一域中或另一个域、域名、客户端名称，以及票证用于委托时。

您还没有指定组的确切数量，但是您估计的数量远远超出了任何合理的设计。无论他们在做什么，都需要用更少的团体来完成。

https://dirteam.com/sander/2013/04/05/new-features-in-active-directory-domain-services-in-windows-server-2012-part-21-resource-sid-compression/

https://blogs.technet.microsoft.com/askds/2012/09/12/maxtokensize-and-windows-8-and-windows-server-2012/