Se você não tivesse definido MaxTokenSize como 64K, teria enfrentado problemas com menos associações a grupos, pois o valor padrão é 12K (48K para o Windows Server 2012 e posterior). Eu suspeito que você pode estar usando um sistema operacional anterior ao Windows 2012 devido a 2012 introduziu um novo aviso de log de eventos que fornece o tamanho exato do token para contas com membros de grupos grandes.
Se você leu o KB327825, ele afirma que não há um relacionamento direto entre o número de grupos e o tamanho do token. A quantidade de memória necessária varia com base no tipo de grupo (Universal / Global / Local), se o grupo estiver no mesmo domínio ou em outro domínio, nome de domínio, nome de cliente e se o ticket for usado na delegação.
Você não especificou o número exato de grupos, mas o valor estimado é muito além de qualquer design razoável. O que quer que estejam fazendo, precisará ser feito com menos grupos.