De combien de groupes un compte Active Directory peut-il être membre ?
Existe-t-il une limite stricte ou connaissez-vous d'autres problèmes qui peuvent survenir lorsque vous dépassez un certain nombre d'adhésions à des groupes ?
Contexte : Nous avons un compte qui est membre d'environ 400 groupes (éventuellement imbriqués), et nous commençons à voir des problèmes dans la gestion de la politique de groupe pour ce compte.
Non, il est limité à 1015 (y compris les groupes imbriqués) en raison de la taille du jeton de sécurité du donneur d'ordre. Voici un article qui traite des limites de l'AD y compris l'appartenance à un groupe. Jetez un coup d'œil à la rubrique Adhésions à des groupes pour les directeurs de la sécurité. Voici un autre article du KB qui traite spécifiquement de l'appartenance à un groupe.
Il existe des exceptions lorsqu'il s'agit de groupes locaux de domaine en dehors du domaine dont le principal est membre. Extrait de la base de données mentionnée ci-dessus :
La seule exception t que tous les groupes de sécurité locaux du domaine dont l'utilisateur est membre n'apparaîtront pas dans le jeton de l'utilisateur. Les seuls les groupes de sécurité locaux du domaine qui apparaîtront (dans le jeton de l'utilisateur) sont les suivants thos qui résident également dans le domaine qui contient le compte d'ordinateur que l'utilisateur l'utilisateur se connecte.
Ce fil propose une bonne discussion sur le sujet. Réponse courte : 1,015. Réponse plus longue : moins, en fonction du nombre de groupes auxquels ils appartiennent et qui sont imbriqués dans d'autres groupes.
J'ai vu des valeurs de 1000 à 1024 membres de groupes comme limite, je ne suis pas sûr que ce soit une limite stricte, mais l'appartenance à un si grand nombre de groupes conduit à un "gonflement du jeton", car le jeton contient les SID de tous les membres du groupe.
Dans votre cas, l'utilisateur peut être membre de 400 groupes directement, mais les groupes imbriqués peuvent augmenter ce chiffre de manière significative.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
