Na verdade, o valor máximo para MaxTokenSize é 65.535 e tem sido por muitos anos. É o valor padrão que foi aumentado para 48k no Windows Server 2012.
Crie uma preferência de política de registro em sua política de domínio padrão e defina-a como 65535.
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Value: MaxTokenSize
Value Type: REG_DWORD
Value Data: 65535 (decimal) 0xFFFF (hex)
link
Estimando o tamanho do token:
- 1400 bytes de sobrecarga: (varia de acordo com o nome de domínio do dns, cliente
nome, pacote de segurança)
- 8 bytes para cada identificador de segurança interno conhecido (Todos, Usuários, Rede, etc.)
- 8 bytes para cada grupo de segurança global, grupo de segurança universal em seu domínio
-
40 bytes para cada grupo local de domínio, entrada sidHistory, userSID, usuário
grupo principal, grupo de segurança universal fora de seu domínio
-
Multiplique * 2 (o dobro) do tamanho do token se a conta estiver
configurado para "confiável para delegação".
A partir do Windows Server 2012, o controlador de domínio pode executar a compactação SID, o que reduzirá ainda mais o tamanho do token. Isso também dificulta o cálculo.
link