Active-Directory

Kerberos MaxTokenSize

  • September 30, 2017

我有一個使用者有大約 900 個組(其中一些是嵌套的,所以我懷疑大約有 1000 個組)並且他無法登錄返回錯誤,指出 ID 太多。我執行了一個腳本來計算他的令牌大小,結果大約是 24K。我們將限制設置為 64K。使用者在 SID 歷史記錄中沒有任何內容,因為他從未遷移過。

腳本: https ://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5

我也讀過這篇文章:https: //support.microsoft.com/en-us/help/327825/problems-with-kerberos-authentication-when-a-user-belongs-to-many-grou

但首先它說每個使用者有固定數量的組,然後它說如果我們將 MaxTokenSize 設置為 64K,每個使用者可以擁有 1600 個域本地組。

我只是想知道在允許使用者使用最大數量的 AD 組時設置 MaxTokenSize 有什麼意義?我想我在這裡遺漏了一些東西

如果您沒有將 MaxTokenSize 設置為 64K,您將遇到組成員較少的問題,因為預設值為 12K(Windows Server 2012 及更高版本為 48K)。我懷疑您使用的作業系統可能早於 Windows 2012,因為 2012 引入了一個新的事件日誌警告,該警告為具有大量組成員身份的帳戶提供了確切的令牌大小。

如果您已閱讀 KB327825,它指出組數和令牌大小之間沒有直接關係。所需的記憶體量根據組類型(通用/全域/本地)、組是否在同一個域或另一個域、域名、客戶端名稱以及是否在委派中使用票證而有所不同。

您尚未指定確切的組數,但您估計的數量遠遠超出了任何合理的設計。無論他們在做什麼,都需要用更少的小組來完成。

https://dirteam.com/sander/2013/04/05/new-features-in-active-directory-domain-services-in-windows-server-2012-part-21-resource-sid-compression/

https://blogs.technet.microsoft.com/askds/2012/09/12/maxtokensize-and-windows-8-and-windows-server-2012/

引用自:https://serverfault.com/questions/876260