问题是这样的:当验证动作发生时,如果用户是一个群组的成员或者隶属于其他组,那么系统将在本地生成Kerberos 票据的同时,将会添加那个组的SID。该SID信息必须使用Kerberos进行通讯。如果需要的SID信息超过了系统默认的票据大小,验证动作将会失败。在Win2k以前版本中,注册表中缺省的MaxTokenSize值为8k,而在win2k sp2以及以后的版本中,缺省值为12k。
解决方法,只要增加 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 下的 MaxTokenSize值就好了。具体操作请参考 http://support.microsoft.com/kb/935744/zh-cn