#MSXFAQ Token Limit/Token Bloat https://www.msxfaq.de/windows/kerberos/token_limit.htm - Wer hat Angst for zu großen Kerberos-Tickets? Ehe Sie an die 48kB Grenze stoßen, trifft sie eher das 1000-1024-MemberOf-Limit, dass sich Anwender gar nicht mehr anmelden können.

Mit Windows 2012 wurde die Kerberos Ticketsize von 16 auf 48kB der maximal 64kB möglichen angehoben. Mit 10Kb+ 8Bytes pro Gruppe in der gleichen Domain hat ein Benutzer mit 1000 Mitgliedschaften ein ca 18kByte Token und selbst wenn fast alle Gruppen aus einer anderen Domain wären, wird das Ticket knapp 50 kB (10kB+1000*40 Bytes) groß)
Aber mit mehr als 1000+ Gruppen kann sich der Benutzer oft gar nicht mehr anmelden. Und SIDHistory zählt auch mit. Zeit mal "aufzuräumen"