Qualche giorno fa mi è capitato il seguente problema.

Un utente di dominio all’avvio non agganciava i dischi tramite lo script di Logon e non prendeva le policy

Collegandomi al PC ho scoperto che l’utente non riusciva ad accedere alle share \\DOMAIN CONTROLLER\NETLOGON e \\DOMAIN CONTROLLER\SYSVOL

Cliccando sulla share mi chiedeve user e password ed inserendo le credenzili dell’utente mi faceva accedere senza problermi.

Analizzando il registro di sistema ho notato i seguenti errori:

In questo errore è evdiente che il problema è legato al pacchetto SSPI Kerberos che generando un token troppo grande non faceva l’accesso corretto al domain controller.

NOTA BENE: Uqesto problema ci verifica quando l’utente è membro di tanti gruppi Active Directory

Il secondo errore riguarda le policy che non vengono applicate perchè l’utente non riesce ad accedere alla share SYSVOL del domain controller.

La soluzione per risolvere il problema è semplice. Basta seguire i passi elencati di seguito.

Aprire il registro di sistema e posizionarsi al seguente percorso

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]

Cliccare con il tasto destro sulla chiave Parameters quindi Nuovo quindi Valore DWORD (32bit) e inserire il seguente valore MaxTokenSize

Al termine della creazione aprire le impostazioni della DWORD creata e inserire i seguenti valori

Base: Decimale

Dati Valore: 48000

Quindi cliccare OK per confermare le modifiche

NOTA BENE: il valore 48000 viene impostato per utenti che appartengono a più di 900 gruppi di dominio.

Nel seguente articolo Microsoft trovate tutte le informazioni riguardanti i Token con i relativi calcoli da effettuare

https://support.microsoft.com/en-us/kb/327825