La stratégie de groupe peuvent ne pas être appliquée aux utilisateurs appartenant à un grand nombre de groupes

Traductions disponibles Traductions disponibles
Numéro d'article: 263693 - Voir les produits auxquels s'applique cet article
Avertissement
Cet article s'applique à Windows 2000. Prise en charge pour Windows 2000 s'achève le 13 juillet, 2010. Le Windows 2000 End-of-Support Solution Center est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, consultez la Microsoft Support Lifecycle Policy.
Agrandir tout | Réduire tout

Sommaire

Symptômes

Si un utilisateur est membre de plusieurs groupes soit directement ou en raison d'imbrication de groupes, l'authentification Kerberos peut ne pas fonctionner. L'objet de stratégie de groupe (GPO) peuvent ne pas être appliquée à l'utilisateur et l'utilisateur peut ne pas être validé pour utiliser les ressources réseau.

Cause

Le jeton Kerberos a une taille fixe. Si un utilisateur est membre d'un groupe soit directement ou par appartenance à un autre groupe, l'ID de sécurité (SID) pour ce groupe est ajouté à l'utilisateur de jeton. Pour un SID à ajouter au jeton de l'utilisateur, il doit être communiquée en utilisant le jeton Kerberos. Si les informations SID requises dépassent la taille du jeton, l'authentification n'aboutit pas. Le nombre de groupes varie, mais la limite est d'environ 70 à 80 groupes.

Pour de nombreuses opérations, l'authentification Windows NTLM réussit ; le problème d'authentification Kerberos peuvent ne pas être remarqué sans analyse. Toutefois, les opérations qui incluent l'application de l'objet stratégie de groupe ne fonctionnent pas du tout.

Résolution

Informations sur le service pack

Pour résoudre ce problème, procurez-vous le dernier service pack pour Windows 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
260910Comment faire pour obtenir le dernier Service Pack Windows 2000

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, il est conçu uniquement pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique.

Si le correctif est disponible pour téléchargement, il existe une section «Téléchargement de correctif logiciel disponible» en haut de cet article de la base de connaissances. Si cette section n'apparaît pas, soumettre une demande de service clientèle de Microsoft et de support technique pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes qui ne relèvent pas de ce correctif spécifique. Pour obtenir une liste complète des numéros de téléphone service clientèle de Microsoft et de support ou pour créer une demande de service distincte, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/contactus/?ws=support
Remarque Le formulaire «Téléchargement de correctif logiciel disponible» affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, il est, car un correctif n'est pas disponible pour cette langue.

Informations fichier

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriés dans le temps universel (UTC). Lorsque vous affichez les informations de fichier, il est converti en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet fuseau horaire dans l'outil date et heure dans le Panneau de configuration.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Notez que vous devez utiliser un paramètre de Registre qui est disponible avec ce correctif pour augmenter la taille de jeton Kerberos. Consultez la section "Plus d'informations" de cet article pour plus d'informations.

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section "S'applique à". Ce problème a été corrigé pour la première fois dans Windows 2000 Service Pack 2.

Plus d'informations

Important Cette section, la méthode ou la tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que vous procédez comme suit avec soin. Pour plus de protection, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre en cas de problème. Pour plus d'informations sur la façon de sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756Comment faire pour sauvegarder et restaurer le Registre dans Windows


Un paramètre de Registre est disponible après avoir appliqué ce correctif que vous pouvez utiliser pour augmenter la taille de jeton Kerberos. Par exemple, l'augmentation de la taille du jeton à 65 Ko permet à un utilisateur d'être présents dans plus de 900 groupes. En raison des informations SID associées, ce nombre peut varier.

Pour utiliser ce paramètre :
  1. Démarrez l'Éditeur du Registre (Regedt32.exe).
  2. Recherchez et cliquez sur la clé suivante dans le Registre :
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Si cette clé n'est pas présente, créez la clé. Pour cela, procédez comme suit :
    1. Cliquez sur la clé suivante dans le Registre :
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. Dans le menu Edition, cliquez sur Ajouter une clé.
    3. Créer une clé de paramètres.
    4. Cliquez sur la nouvelle clé de paramètres.
  4. Dans le menu Edition, cliquez sur Ajouter une valeur et ajoutez la valeur de Registre suivante :
    Nom de valeur : MaxTokenSize
    Type de données : REG_DWORD
    Decimal radix :
    Données de la valeur : 65535
  5. Quittez l'Éditeur du Registre.
La valeur par défaut pour MaxTokenSize est 12000 décimal. Nous vous recommandons de définir cette valeur à 65 535 décimal, hexadécimal FFFF. Si vous définissez cette valeur incorrectement à 65535 hexadécimal (une très grande valeur) pour les opérations d'authentification Kerberos peuvent échouer et programmes peuvent renvoyer des erreurs. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
297869Problèmes d'administrateur SMS après avoir modifié la valeur de Registre Kerberos MaxTokenSize
Une fois que vous définissez la valeur et l'ordinateur est mis à jour, redémarrez l'ordinateur. Vous pouvez utiliser les paramètres de stratégie de groupe pour définir cette valeur pour tous les ordinateurs. Si vous ajoutez la clé de Registre aux ordinateurs avant d'appliquer le correctif Windows 2000 SP2, aucune modification ne prendre effet.

Pour plus d'informations sur cette valeur de Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
313661Message d'erreur: «délai d'attente expiré» se produit lorsque vous vous connectez à SQL Server sur TCP/IP et que le Kerberos MaxTokenSize est supérieur à 0xFFFF
300367Client DCOM peut placer la mémoire sur le réseau

Forum aux questions

  • Question : j'appliquer ce correctif à partir du package de correctif logiciel ou à partir de Windows 2000 Service Pack 2 ?

    Réponse : vous pouvez appliquer le correctif Q263693 logiciel ou appliquer le Service Pack 2 de Windows 2000.
  • Question : tâches je dois modifier le Registre comme indiqué dans cet article après application de ce correctif ?

    Réponse : par défaut, Microsoft prend en charge de l'utilisateur appartenant à des groupes de 70-80. Si vous souhaitez prendre en charge de plusieurs groupes, vous devez ajuster la valeur dans le Registre en conséquence. Suivez l'exemple de règle fourni dans cet article.
  • Question : où dois-je appliquer ce correctif et apportez les modifications au Registre ?

    Réponse : vous devez implémenter le paramètre de Registre sur chaque ordinateur de l'entreprise qui exécute Windows 2000 et/ou Microsoft Windows XP. Cela inclut des contrôleurs de domaine, les serveurs membres et les ordinateurs clients. Le correctif est également nécessaire pour les ordinateurs qui exécutent Windows 2000 Service Pack 1 ou version antérieure.
  • Question : Connectez-vous au domaine via une Terminal Server Session (TS est en cours d'exécution sur les serveurs membres), donc où dois-je installer le correctif ?

    Réponse : installer le Kerberos Q263693 résout sur les contrôleurs de domaine uniquement.
  • Question : en quoi ce correctif affecte les performances du système sur l'authentification ?

    Réponse : la taille de jeton sera une structure de données définis de manière statique. 65 Ko est une pénalité à payer pour la plupart des systèmes relativement faible. Toutefois, si l'utilisateur est membre des groupes de ~ 1000, le moment de l'authentification sera supérieur si le nombre de groupes est plus petit. En d'autres termes, si la taille de jeton est augmentée, il ne doit être aucune dégradation des performances observable autre que la consommation de ressources mémoire. Cela s'applique aux opérations, y compris l'initialisation d'objet de stratégie de groupe. Cela est dû au fait que les informations réelles Kerberos envoyées sur le câble ne sont pas de taille fixe. Sa taille varie selon les informations de groupe/SID nécessaires.
  • Question : comment cela affecte-t-il la ressource de mémoire sur les contrôleurs de domaine et les stations de travail ?

    Réponse : le contrôleur de domaine génère le ticket d'accès utilisateur, mais l'allocation est sur la station de travail. Par conséquent, vous verrez l'utilisation de la mémoire non significatif sur les stations de travail selon la taille de jeton que vous définissez dans le Registre.

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
277741Ouverture de session Internet Explorer échoue en raison d'une mémoire tampon insuffisante pour Kerberos
297869Problèmes d'administrateur SMS après avoir modifié la valeur de Registre Kerberos MaxTokenSize
Pour plus d'informations sur la façon d'installer Windows 2000 et des correctifs de Windows 2000 en même temps, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
249149Installation des correctifs Microsoft Windows 2000 et Windows 2000

Propriétés

Numéro d'article: 263693 - Dernière mise à jour: jeudi 22 février 2007 - Version: 5.9
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
Mots-clés : 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 263693
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com