none
1ユーザーが所属することのできるセキュリティグループの最大値について RRS feed

  • 質問

  • いつも大変お世話になっております。

    主題の件について、ご質問させて頂きたいことがございます。

    【背景】

    現在、弊社でプロジェクト毎にセキュリティグループを作成し、プロジェクトのデータの閲覧を制限しております。

    プロジェクトの個数が多すぎて、1ユーザーに対してセキュリティグループが100個以上付いている場合もあります。

    (セキュリティグループが何階層にもネストされている状態でもあります。)

    【問題点】

    セキュリティグループがある程度膨大に付与されているユーザーが、テンポラリのプロファイルになったり、

    GPOで配布しているネットワークのドライブ割り当てが適用されなかったりという問題が頻発しております。

    本問題に遭遇したユーザーの共通点が、当方が調べた所によると、「所属するグループの個数が膨大である」という点でした。

    そこで、所属するグループを削除すると、問題が解消されました。

    【疑問点】

    1ユーザーに対する所属するグループの上限数は決まっているのでしょうか?

    (ネストされているセキュリティグループも含めて)

    初心者の質問でご迷惑をおかけ致しますが、何か情報がございましたら共有頂けると幸いです。

    以上、よろしくお願い申し上げます。

    2014年2月3日 8:23

回答

  • チャブーンです。

    この問題ですが、グループ数というより、グループメンバーシップのサイズの制限によるものです。Windows Server 2008 R2までは12000バイトの制約があります。これを変えるためには、「Kerberos SSPIコンテキストトークンのバッファーサイズの最大値を指定する」必要がありますが、やみくもに増さずに計算して制限値を求める必要があります。それについては、したの情報をご覧になってください。

    http://support.microsoft.com/kb/327825/en-us

    Windows Server 2012以降ではこの制限値は48000バイトになっているということです。

    • 回答の候補に設定 佐伯玲 2014年2月4日 0:20
    • 回答としてマーク natsusemi1202 2014年2月4日 0:40
    2014年2月3日 17:41
    モデレータ