【IDM】ユーザーの所属グループ数が 1015 以上だと Kerberos 認証でドメインにログオンできない

なんでだろぉ~ マイクロソフトの社員ってエレベーターに乗るときPC開いたままにするのなんでだろぉ~ ハッキリ言って邪魔だよね。

そんな話はおいといて、こんな制限があります。ご存知でしたか?私は某社の中尾氏にお聞きして知りました....はずかしい...

ユーザーの所属グループ数が 1015 以上だと Kerberos 認証でドメインにログオンできない

image

この問題について解説されているのが、以下のKBです。

Users who are members of more than 1,015 groups may fail logon authentication

上記の KB によれば、ユーザーがドメインにログオンするときに LSA(Local Security Authority)が Kerberos のアクセストークンを生成するのですが、このときに所属している全てのセキュリティグループのSIDを収集してアクセストークンに書き込みます。しかし、アクセストークンに含むことができるセキュリティグループの SID 数には上限がハードコードされており、それが 1023 であるため、アクセストークンを生成することができず、上記のようなログオンエラーとなってしまいます。

「あれ、1023?残り 9 は?」と思いますよね。残りの9つは LSA によって予約されていて、実質 ユーザーが所属できるグループの数は 1014 ということになります。

この現象、はたして回避方法はあるのか?といえば...残念ながら現時点ではないようです。MaxTokenSize というレジストリ値を変更する方法というものが以下の KB でも紹介されていますが、

New resolution for problems with Kerberos authentication when users belong to many groups

(ご参考 TechNet Forum)
MaxTokenSize の値のついて

これは、「グループ数が 1015 未満のときに”認証”や"グループポリシーの適用”が正しく適用できない場合の解決策」であり、ハードコーディングされた 1023 という数字は、残念ながら超えることができません。(実際にテストしてみましたが解決することができませんでした)

この現象が発生するのは、一般ユーザーだけではありません。管理者でも発生します。

では、管理者で発生してしまった場合はどうするか...というとセーフモードで操作するようです。これについては、検証後にお知らせします。