提交失败，并显示消息“错误：策略 XXXXX 中使用的最大用户组超过容量 （10000）”

• 提交失败，并显示错误消息，例如“错误：策略 XXXXX 中使用的最大用户组超出容量 （10000）”。

admin@PA-5250# commit

Commit job 5 is in progress. Use Ctrl+C to return to command prompt
....10%........45%..........55%.....................................
Error: Max. user groups used in policy 10341 exceeds capacity (10000)
(Module: device)
client device phase 1 failure
Commit failed
[edit]

• Panorama 或 Palo Alto 防火墙
• 支持的 PAN-OS
• 用户组

• 安全策略中的用户数和用户组数超出了平台的用户组容量。
• 可以使用命令“show system state | match cfg.general.max-user-group”验证平台的用户组容量
• 对于具有 10000 个用户的设备，它使用数字进行响应，对于 1000 个用户，不显示任何值。 请参阅下文。

admin@PA-VM> show system state | match cfg.general.max-user-group
cfg.general.max-user-group: 10000
admin@PA-VM> 

admin@PA-VM> show system state | match cfg.general.max-user-group
admin@PA-VM>               >> no value displayed for 1000 users

• 用户组容量限制为安全策略中的用户和用户组的数量，而不仅仅是用户组的数量。安全策略中使用的每个用户或用户组都计为一个用户组。

1. 减少平台用户组容量下的安全策略中的用户数和用户组数。
2. 对用户进行分组并将其添加到安全策略中，以大大减少用户数量。 请参阅： 将用户映射到组。

• 跨不同平台支持的组数 ：用户 ID 表中的“策略中使用的活动和唯一组”表示用户或用户组的容量。
• 可以使用“show user group-policy-dp all”命令计算安全策略中的当前用户数和用户组数。

admin@PA-VM> show user group-policy-dp all
Total 2 groups/users used in policy in vsys 1
ID: 3
SECURITY       : 4
ID: 1
SECURITY       : 4
ID: ANY
SECURITY       : 1     2     3     5     6     7