QA@IT

グループの上限数はあるのでしょうか?

9117 PV

現在、AD環境で A-G-DL-P を用いてセキュリティ設定を行っています。また、プロジェクトごとにグローバルグループを作成しており、既に終了したプロジェクトもありますが毒にはならないと思いそのままの状態で利用

していました。その後、グループが膨大になり1ユーザーに対してセキュリティグループが100個以上ついているものもあります。(セキュリティグループが何階層にもネストされている状態でもあります。)

【問題点】

セキュリティグループがある程度膨大に付与されているユーザーが、テンポラリのプロファイルになったり、GPOで配布しているネットワークのドライブ割り当てが適用されなかったりという問題が頻発しております。

本問題に遭遇したユーザーの共通点が、当方が調べた所によると、 「所属するグループの個数が膨大である」 という点でした。そこで、所属するグループを削除すると、問題が解消されました。

【疑問点】

1ユーザーに対する所属するグループの上限数は決まっているのでしょうか?(ネストされているセキュリティグループも含めて)

何か情報がございましたら共有頂けると幸いです。

回答

こちらの問題は、グループメンバーシップのサイズの制限によるものです。Windows Server 2008 R2までは12000バイトの制約があります。この値を変えるためには、 「Kerberos SSPIコンテキストトークンのバッファーサイズの最大値を指定する」 必要がありますが、やみくもに増やさずに計算して制限値を求める必要があります。

http://support.microsoft.com/kb/327825/en-us

Windows Server 2012以降ではこの制限値は48000バイトになり増えているようです。

以上、参考になれば幸いです。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。