AD: Você pode ser membro de grupos ilimitados?

Não, ele é limitado a 1015 (incluindo grupos aninhados) devido ao tamanho do token de segurança de um principal. Veja um artigo que discute os limites do anúncio , incluindo membros do grupo. Dê uma olhada no título Membros do Grupo para Diretores de Segurança. Aqui está outro artigo da base de conhecimento que fala especificamente sobre associações a grupos.

Há exceções ao lidar com grupos locais de domínio fora do domínio do qual o principal é membro. Da KB vinculada ao acima:

The only exception to this behavior is that not all domain local security groups that the user is a member of will show up in the user’s token. The only domain local security groups that will show up (in the user’s token) are those groups that the user is a member of that also reside in the domain that contains the computer account that the user is logging on to.

Este tópico tem uma boa discussão sobre o assunto. Resposta curta: 1.015. Resposta mais longa: menos, dependendo de quantos grupos eles pertencem estão aninhados em outros grupos.

Eu tenho visto valores de 1000 a 1024 membros de grupos sendo o limite, mas não tenho certeza se é um limite rígido, mas a associação a esses muitos grupos gera "token bloat", pois o token contém os SIDs de todos os membros do grupo. / p>

No seu caso, o usuário pode ser um membro de 400 grupos diretamente, mas grupos aninhados podem aumentar significativamente.

Observe que os grupos de distribuição não levam em conta essas limitações de tamanho de token que estão sendo discutidas aqui.