Iniciar sesi�n

Select the product you need help with

La directiva de grupo no se puede aplicar a usuarios que pertenecen a muchos grupos

Id. de art�culo: 263693 - Ver los productos a los que se aplica este art�culo

Descarga de revisi�n disponible

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Aviso

Este art�culo se aplica a Windows 2000. Soporte t�cnico para Windows 2000 finaliza el 13 de julio de 2010. El Windows 2000 End-of-Support Solution Center

(http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000)

es un punto de partida para planear su estrategia de migraci�n desde Windows 2000. Para obtener m�s informaci�n consulte la Microsoft Support Lifecycle Policy

(http://support.microsoft.com/lifecycle/)

Expandir todo | Contraer todo

Si un usuario es un miembro de muchos grupos ya sea directamente o debido de anidamiento de grupos, la autenticaci�n Kerberos no funcionen. El objeto de directiva de grupo (GPO) no se puede aplicar al usuario y no se puede validar el usuario para utilizar recursos de red.

Volver al principio | Enviar comentarios

Causa

El token Kerberos tiene un tama�o fijo. Si un usuario es un miembro de un grupo ya sea directamente o por la pertenencia a otro grupo, el identificador de seguridad (SID) para ese grupo se agrega a del usuario token. Para que un SID que se va a agregar al testigo del usuario, se debe comunicar utilizando el token Kerberos. Si la informaci�n de SID requerida supera el tama�o del s�mbolo (token), la autenticaci�n no se realiza correctamente. El n�mero de grupos var�a, pero el l�mite es de aproximadamente 70 a 80 grupos.

Para muchas operaciones, autenticaci�n Windows NTLM se realiza correctamente; el problema de autenticaci�n de Kerberos puede no ser evidente sin an�lisis. Sin embargo, las operaciones que incluyen la aplicaci�n de GPO no funcionan en absoluto.

Volver al principio | Enviar comentarios

Soluci�n

Informaci�n de Service Pack

Para resolver este problema, obtenga el Service Pack m�s reciente de Windows 2000. Para obtener informaci�n adicional, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

260910

(http://support.microsoft.com/kb/260910/ )

C�mo obtener el Service Pack m�s reciente para Windows 2000

Informaci�n de revisiones

Hay un hotfix compatible de Microsoft. Sin embargo, esta revisi�n se dise�� para corregir el problema que se describe en este art�culo. Esta revisi�n s�lo se aplican a los sistemas que experimenten este problema espec�fico.

Si la revisi�n est� disponible para descarga, hay una secci�n de "Descarga de revisi�n disponible" en la parte superior de este art�culo de Knowledge Base. Si no aparece en esta secci�n, enviar una solicitud de servicio de atenci�n al cliente y soporte t�cnico para obtener la revisi�n.

Nota Si se producen problemas adicionales o si se requiere cualquier soluci�n de problemas, quiz�s tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicar�n a las preguntas de soporte t�cnico adicionales y problemas que no re�nan las condiciones necesarias para esta revisi�n espec�fica. Para obtener una lista completa de servicio de atenci�n al cliente y soporte n�meros de tel�fono o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:

http://support.microsoft.com/contactus/?ws=support

(http://support.microsoft.com/contactus/?ws=support)

Nota El formulario "Descarga de revisi�n disponible" muestra los idiomas para el que la revisi�n est� disponible. Si no ve su idioma, es porque una revisi�n no est� disponible para ese idioma.

Informaci�n de archivo

La versi�n en ingl�s de este hotfix tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y horas de estos archivos se muestran en hora universal coordinada (UTC). La informaci�n de los archivos se convertir� a la hora local cuando la vea. Para buscar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora en el panel de control.

Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll

Tenga en cuenta que debe utilizar un par�metro del registro que est� disponible con esta revisi�n para aumentar el tama�o de s�mbolo (token) de Kerberos. Consulte la secci�n "M�s informaci�n" de este art�culo para obtener informaci�n adicional.

Volver al principio | Enviar comentarios

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la secci�n "La informaci�n de este art�culo se refiere a:". Este problema se corrigi� por primera vez en Windows 2000 Service Pack 2.

Volver al principio | Enviar comentarios

M�s informaci�n

Importante Esta secci�n, m�todo o de tarea contiene pasos que le indican c�mo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, aseg�rese de que siga estos pasos cuidadosamente. Para obtener m�s protecci�n, haga una copia de seguridad del registro antes de modificarlo. A continuaci�n, puede restaurar el registro si se produce un problema. Para obtener m�s informaci�n acerca de c�mo realizar una copia de seguridad y restaurar el registro, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

322756

(http://support.microsoft.com/kb/322756/ )

C�mo hacer copia de seguridad y restaurar el registro de Windows

Un par�metro del registro est� disponible despu�s de aplicar este hotfix que puede utilizar para aumentar el tama�o de s�mbolo (token) de Kerberos. Por ejemplo, aumentar el tama�o s�mbolo (token) a 65 KB permite a un usuario debe estar presente en m�s de 900 grupos. Debido a la informaci�n de SID asociada, de este n�mero puede variar.

Para utilizar este par�metro:

Inicie el Editor del Registro (Regedt32.exe).
Busque y haga clic en la siguiente clave del registro:
System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Si esta clave no est� presente, crear la clave. Para ello:
1. Haga clic en la siguiente clave del registro:
  System\CurrentControlSet\Control\Lsa\Kerberos
2. En el men� Edici�n, haga clic en Agregar clave.
3. Crear una clave de Parameters.
4. Haga clic en la nueva clave de par�metros.
En el men� Edici�n, haga clic en Agregar valor y, a continuaci�n, agregue el siguiente valor del registro:
Nombre de valor: MaxTokenSize
Tipo de datos: REG_DWORD
Base: decimal
Informaci�n del valor: 65535
Salga del Editor del Registro.

El valor predeterminado de MaxTokenSize es 12000 decimal. Recomendamos que establezca este valor en decimal, hexadecimal FFFF 65535. Si establece este valor incorrectamente a 65535 hexadecimal (un valor extremadamente grande) operaciones de autenticaci�n Kerberos pueden fallar y programas pueden devolver errores. Para obtener informaci�n adicional, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

297869

(http://support.microsoft.com/kb/297869/ )

Problemas de administrador SMS despu�s de modificar el valor de MaxTokenSize de Kerberos del registro

Despu�s de establecer el valor y el equipo est� actualizado, reinicie el equipo. Puede utilizar la configuraci�n de directiva de grupo para establecer este valor para todos los equipos. Si agrega la clave del registro a equipos antes de aplicar la revisi�n o Service Pack 2 de Windows 2000, los cambios no surtan efecto.

Para obtener informaci�n adicional acerca de este valor del registro, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

313661

(http://support.microsoft.com/kb/313661/ )

Mensaje de error: "tiempo de espera agotado" se produce cuando se conecta a SQL Server sobre TCP/IP y el valor MaxTokenSize de Kerberos es mayor que 0xFFFF

300367

(http://support.microsoft.com/kb/300367/ )

Cliente DCOM puede poner la memoria en el cable

Preguntas m�s frecuentes

�Pregunta: aplico esta revisi�n desde el paquete de revisiones o desde Windows 2000 Service Pack 2?

Respuesta: puede aplicar la revisi�n de Q263693 de cualquiera o aplicar SP2 de Windows 2000.
�Pregunta: tiene modificar el registro como se menciona en este art�culo despu�s de aplicar esta revisi�n?

Respuesta: forma predeterminada, Microsoft admite el usuario que pertenecen a grupos de 70-80. Si desea admitir m�s grupos, deber� ajustar el valor en el registro en consecuencia. Seguir el ejemplo de directriz proporcionado en este art�culo.
Pregunta: �d�nde es necesario que aplicar esta revisi�n y realice los cambios del registro?

Respuesta: debe implementar la configuraci�n del registro en cada equipo de la empresa que est� ejecutando Windows 2000 o Microsoft Windows XP. Esto incluye los controladores de dominio, servidores miembro y equipos cliente. El hotfix es tambi�n necesario para los equipos que ejecutan Windows 2000 Service Pack 1 o anterior.
Pregunta: Inicie sesi�n en el dominio a trav�s de sesi�n de Terminal Server (TS se ejecuta en servidores miembro), as� que donde �tengo que instalar la revisi�n?

Respuesta: instalar el Kerberos Q263693 corrige en s�lo los controladores de dominio.
Pregunta: �c�mo afecta este hotfix al rendimiento del sistema de autenticaci�n?

Respuesta: el tama�o s�mbolo (token) ser� una estructura de datos definidos est�ticamente. 65 K es una penalizaci�n relativamente baja para pagar para la mayor�a de los sistemas. Sin embargo, si el usuario es miembro de grupos de 1000 ~, el tiempo de autenticaci�n ser� mayor que si el n�mero de grupos es m�s peque�o. En otras palabras, si se aumenta el tama�o s�mbolo (token), no debe haber ninguna penalizaci�n de rendimiento observable distinto de consumo de recursos de memoria. Esto se aplica a las operaciones incluidas la inicializaci�n de GPO. Esto es porque la informaci�n real de Kerberos enviada en el cable no es de tama�o fijo. Su tama�o depende de la informaci�n de grupo/SID requerida.
�Pregunta: c�mo afecta esto el recurso de memoria en controladores de dominio y estaciones de trabajo?

Respuesta: el controlador de dominio genera el vale de acceso de usuario, pero la asignaci�n es en la estaci�n de trabajo. Por lo que ver� el uso de memoria no significativos en las estaciones de trabajo en funci�n del tama�o de token que se establezca en el registro.

REFERENCIAS

Para obtener informaci�n adicional, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

277741

(http://support.microsoft.com/kb/277741/ )

Inicio de sesi�n de Internet Explorer falla debido a un b�fer insuficiente para Kerberos

297869

(http://support.microsoft.com/kb/297869/ )

Problemas de administrador SMS despu�s de modificar el valor de MaxTokenSize de Kerberos del registro

Para obtener informaci�n adicional acerca de c�mo instalar Windows 2000 y el hotfix de Windows 2000 al mismo tiempo, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

249149

(http://support.microsoft.com/kb/249149/ )

Instalar revisiones de Microsoft Windows 2000 y Windows 2000

Volver al principio | Enviar comentarios

Propiedades

Id. de art�culo: 263693 - �ltima revisi�n: jueves, 22 de febrero de 2007 - Versi�n: 5.9

La informaci�n de este art�culo se refiere a:

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition

kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 263693

(http://support.microsoft.com/kb/263693/en-us/ )

Volver al principio | Enviar comentarios

Enviar comentarios

Volver al principio

Seleccione idioma

United States (English)

Select the product you need help with

La directiva de grupo no se puede aplicar a usuarios que pertenecen a muchos grupos

Aviso

En esta p�gina

S�ntomas

Causa

Soluci�n

Informaci�n de Service Pack

Informaci�n de revisiones

Informaci�n de archivo

Estado

M�s informaci�n

Preguntas m�s frecuentes

REFERENCIAS

Propiedades

La informaci�n de este art�culo se refiere a:

Palabras clave:�

Enviar comentarios

Seleccione idioma