La directiva de grupo no se puede aplicar a usuarios que pertenecen a muchos grupos

Seleccione idioma Seleccione idioma
Id. de artículo: 263693 - Ver los productos a los que se aplica este artículo
Aviso
Este artículo se aplica a Windows 2000. Soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Windows 2000 End-of-Support Solution Center es un punto de partida para planear su estrategia de migración desde Windows 2000. Para obtener más información consulte la Microsoft Support Lifecycle Policy.
Expandir todo | Contraer todo

En esta página

Síntomas

Si un usuario es un miembro de muchos grupos ya sea directamente o debido de anidamiento de grupos, la autenticación Kerberos no funcionen. El objeto de directiva de grupo (GPO) no se puede aplicar al usuario y no se puede validar el usuario para utilizar recursos de red.

Causa

El token Kerberos tiene un tamaño fijo. Si un usuario es un miembro de un grupo ya sea directamente o por la pertenencia a otro grupo, el identificador de seguridad (SID) para ese grupo se agrega a del usuario token. Para que un SID que se va a agregar al testigo del usuario, se debe comunicar utilizando el token Kerberos. Si la información de SID requerida supera el tamaño del símbolo (token), la autenticación no se realiza correctamente. El número de grupos varía, pero el límite es de aproximadamente 70 a 80 grupos.

Para muchas operaciones, autenticación Windows NTLM se realiza correctamente; el problema de autenticación de Kerberos puede no ser evidente sin análisis. Sin embargo, las operaciones que incluyen la aplicación de GPO no funcionan en absoluto.

Solución

Información de Service Pack

Para resolver este problema, obtenga el Service Pack más reciente de Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910Cómo obtener el Service Pack más reciente para Windows 2000

Información de revisiones

Hay un hotfix compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema que se describe en este artículo. Esta revisión sólo se aplican a los sistemas que experimenten este problema específico.

Si la revisión está disponible para descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si no aparece en esta sección, enviar una solicitud de servicio de atención al cliente y soporte técnico para obtener la revisión.

Nota Si se producen problemas adicionales o si se requiere cualquier solución de problemas, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no reúnan las condiciones necesarias para esta revisión específica. Para obtener una lista completa de servicio de atención al cliente y soporte números de teléfono o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponible" muestra los idiomas para el que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para buscar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora en el panel de control.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Tenga en cuenta que debe utilizar un parámetro del registro que está disponible con esta revisión para aumentar el tamaño de símbolo (token) de Kerberos. Consulte la sección "Más información" de este artículo para obtener información adicional.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:". Este problema se corrigió por primera vez en Windows 2000 Service Pack 2.

Más información

Importante Esta sección, método o de tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo hacer copia de seguridad y restaurar el registro de Windows


Un parámetro del registro está disponible después de aplicar este hotfix que puede utilizar para aumentar el tamaño de símbolo (token) de Kerberos. Por ejemplo, aumentar el tamaño símbolo (token) a 65 KB permite a un usuario debe estar presente en más de 900 grupos. Debido a la información de SID asociada, de este número puede variar.

Para utilizar este parámetro:
  1. Inicie el Editor del Registro (Regedt32.exe).
  2. Busque y haga clic en la siguiente clave del registro:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Si esta clave no está presente, crear la clave. Para ello:
    1. Haga clic en la siguiente clave del registro:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. En el menú Edición, haga clic en Agregar clave.
    3. Crear una clave de Parameters.
    4. Haga clic en la nueva clave de parámetros.
  4. En el menú Edición, haga clic en Agregar valor y, a continuación, agregue el siguiente valor del registro:
    Nombre de valor: MaxTokenSize
    Tipo de datos: REG_DWORD
    Base: decimal
    Información del valor: 65535
  5. Salga del Editor del Registro.
El valor predeterminado de MaxTokenSize es 12000 decimal. Recomendamos que establezca este valor en decimal, hexadecimal FFFF 65535. Si establece este valor incorrectamente a 65535 hexadecimal (un valor extremadamente grande) operaciones de autenticación Kerberos pueden fallar y programas pueden devolver errores. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
297869Problemas de administrador SMS después de modificar el valor de MaxTokenSize de Kerberos del registro
Después de establecer el valor y el equipo está actualizado, reinicie el equipo. Puede utilizar la configuración de directiva de grupo para establecer este valor para todos los equipos. Si agrega la clave del registro a equipos antes de aplicar la revisión o Service Pack 2 de Windows 2000, los cambios no surtan efecto.

Para obtener información adicional acerca de este valor del registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
313661Mensaje de error: "tiempo de espera agotado" se produce cuando se conecta a SQL Server sobre TCP/IP y el valor MaxTokenSize de Kerberos es mayor que 0xFFFF
300367Cliente DCOM puede poner la memoria en el cable

Preguntas más frecuentes

  • ¿Pregunta: aplico esta revisión desde el paquete de revisiones o desde Windows 2000 Service Pack 2?

    Respuesta: puede aplicar la revisión de Q263693 de cualquiera o aplicar SP2 de Windows 2000.
  • ¿Pregunta: tiene modificar el registro como se menciona en este artículo después de aplicar esta revisión?

    Respuesta: forma predeterminada, Microsoft admite el usuario que pertenecen a grupos de 70-80. Si desea admitir más grupos, deberá ajustar el valor en el registro en consecuencia. Seguir el ejemplo de directriz proporcionado en este artículo.
  • Pregunta: ¿dónde es necesario que aplicar esta revisión y realice los cambios del registro?

    Respuesta: debe implementar la configuración del registro en cada equipo de la empresa que está ejecutando Windows 2000 o Microsoft Windows XP. Esto incluye los controladores de dominio, servidores miembro y equipos cliente. El hotfix es también necesario para los equipos que ejecutan Windows 2000 Service Pack 1 o anterior.
  • Pregunta: Inicie sesión en el dominio a través de sesión de Terminal Server (TS se ejecuta en servidores miembro), así que donde ¿tengo que instalar la revisión?

    Respuesta: instalar el Kerberos Q263693 corrige en sólo los controladores de dominio.
  • Pregunta: ¿cómo afecta este hotfix al rendimiento del sistema de autenticación?

    Respuesta: el tamaño símbolo (token) será una estructura de datos definidos estáticamente. 65 K es una penalización relativamente baja para pagar para la mayoría de los sistemas. Sin embargo, si el usuario es miembro de grupos de 1000 ~, el tiempo de autenticación será mayor que si el número de grupos es más pequeño. En otras palabras, si se aumenta el tamaño símbolo (token), no debe haber ninguna penalización de rendimiento observable distinto de consumo de recursos de memoria. Esto se aplica a las operaciones incluidas la inicialización de GPO. Esto es porque la información real de Kerberos enviada en el cable no es de tamaño fijo. Su tamaño depende de la información de grupo/SID requerida.
  • ¿Pregunta: cómo afecta esto el recurso de memoria en controladores de dominio y estaciones de trabajo?

    Respuesta: el controlador de dominio genera el vale de acceso de usuario, pero la asignación es en la estación de trabajo. Por lo que verá el uso de memoria no significativos en las estaciones de trabajo en función del tamaño de token que se establezca en el registro.

REFERENCIAS

Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
277741Inicio de sesión de Internet Explorer falla debido a un búfer insuficiente para Kerberos
297869Problemas de administrador SMS después de modificar el valor de MaxTokenSize de Kerberos del registro
Para obtener información adicional acerca de cómo instalar Windows 2000 y el hotfix de Windows 2000 al mismo tiempo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
249149Instalar revisiones de Microsoft Windows 2000 y Windows 2000

Propiedades

Id. de artículo: 263693 - Última revisión: jueves, 22 de febrero de 2007 - Versión: 5.9
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 263693

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com