O número de grupos em si não é o problema, ele é finalmente programável por script - o número de membros do grupo é (por exemplo, devido ao tamanho do token do kerberos max).
Eu prefiro o seguinte (Exemplo para membros do administrador local)
Site A
Host A1: HostA1-Admin, SiteA Admin
Host A2: HostA2-Admin, SiteA Admin
Site B
Host B1: HostB1-Admin, SiteB Admin
Host B2: HostB2-Admin, SiteB Admin
Assim, você pode atribuir um único host ou administração relacionada ao site a seus colegas. Sempre tente reduzir a participação no grupo. Grupos em cascata não reduzem isso (veja whoami / groups). Se você tem uma floresta, isso difere um pouco, mas o problema permanece o mesmo.
Dependendo do tamanho do seu domínio, use scripts ou gpos para adicionar esses grupos aos seus administradores locais.
Além disso, veja os conceitos de grupo no diretório ativo (Domínio local / Global / Universal), que é importante para a floresta, mas também para domínios locais, pois afeta o catálogo global (é o índice de pesquisa do seu anúncio e usado por muitos Serviços MS) . A Microsoft usa para grupos locais e globais os grupos de recursos e usuários (?) De terminologia, o que já sugere o uso pretendido.