Impossibile applicare i criteri di gruppo per gli utenti che appartengono a molti gruppi

Traduzione articoli Traduzione articoli
Identificativo articolo: 263693 - Visualizza i prodotti a cui si riferisce l?articolo.
Avviso
In questo articolo si applica a Windows 2000. Termina di supporto per Windows 2000 dal 13 luglio 2010.Windows 2000 End-of-Support Solution Center Ŕ un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Se un utente Ŕ un membro di molti gruppi sia direttamente o a causa di nidificazione dei gruppi, l'autenticazione Kerberos potrebbe non funzionare. L'oggetto Criteri di gruppo (GPO) potrebbe non essere applicata all'utente e l'utente non pu˛ essere convalidato utilizzo delle risorse di rete.

Cause

Il token Kerberos ha una dimensione fissa. Se un utente Ŕ un membro di un gruppo oppure direttamente o per l'appartenenza a un altro gruppo, viene aggiunto l'ID di protezione (SID) per il gruppo del token dell'utente. Per un SID da aggiungere al token dell'utente devono essere comunicata utilizzando il token Kerberos. Se le informazioni SID richieste superano la dimensione del token, l'autenticazione non riesce. Il numero di gruppi pu˛ variare, ma il limite Ŕ di circa 70 a 80 gruppi.

Per molte operazioni, l'autenticazione Windows NTLM ha esito positivo, il problema di autenticazione Kerberos potrebbe non essere evidente senza analisi. Tuttavia, le operazioni che includono l'applicazione dell'oggetto Criteri di gruppo non funzionano affatto.

Risoluzione

Informazioni di Service pack

Per risolvere questo problema Ŕ necessario ottenere la versione pi¨ recente del service pack per Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
260910Come ottenere il Service Pack pi¨ recente per Windows 2000

Informazioni sull'hotfix

╚ disponibile un hotfix supportato. Tuttavia, questo hotfix Ŕ destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Applicare questo aggiornamento rapido (hotfix) solo per i sistemi in cui si verificano questo problema specifico.

Se l'aggiornamento rapido (hotfix) Ŕ disponibile per il download, non vi Ŕ una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta di servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota Se si verificano ulteriori problemi o se Ŕ necessaria la risoluzione dei problemi, potrebbe essere necessario creare una richiesta di assistenza separata. I normali costi del servizio supporto tecnico clienti Microsoft verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui Ŕ disponibile l'aggiornamento rapido (hotfix). Se non viene visualizzata la lingua in uso, Ŕ perchÚ un aggiornamento rapido (hotfix) non Ŕ disponibile per tale lingua.

Informazioni sui file

La versione in lingua inglese di questo hotfix presenta gli attributi di file (o successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate nel tempo universale coordinato (UTC). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e l'ora locale, utilizzare la scheda fuso orario nello strumento Data e ora nel Pannello di controllo.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Si noti che Ŕ necessario utilizzare un parametro del Registro di sistema Ŕ disponibile con questo aggiornamento rapido (hotfix) per aumentare la dimensione del token Kerberos. Vedere la sezione "Informazioni" di questo articolo per ulteriori informazioni.

Status

Microsoft ha confermato che si tratta di un problema con i prodotti elencati nella sezione "Si applica a". Questo problema Ŕ stato corretto per la prima volta in Windows 2000 Service Pack 2.

Informazioni

Importante Questa sezione, metodo o attivitÓ contiene passaggi viene illustrato come modificare il Registro di sistema. Tuttavia, pu˛ causare seri problemi se si modifica il Registro di sistema in modo non corretto. Pertanto, assicurarsi di eseguire la procedura con attenzione. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, Ŕ possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e ripristino del Registro di sistema in Windows


Un parametro del Registro di sistema Ŕ disponibile dopo avere applicato questo aggiornamento rapido (hotfix) Ŕ possibile utilizzare per aumentare la dimensione del token Kerberos. Ad esempio, l'aumento della dimensione del token per 65 KB consente a un utente deve essere presente in pi¨ di 900 gruppi. Questo numero pu˛ variare a causa delle informazioni di SID associate.

Per utilizzare questo parametro:
  1. Avviare l'editor del Registro di configurazione (Regedt32.exe).
  2. Individuare e fare clic sulla seguente chiave del Registro di sistema:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Se questa chiave non Ŕ presente, creare la chiave. Per effettuare questa operazione:
    1. Fare clic sulla seguente chiave del Registro di sistema:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. Scegliere Aggiungi chiave dal menu Modifica.
    3. Creare una chiave Parameters.
    4. Fare clic sulla nuova chiave Parameters.
  4. Scegliere Aggiungi valore dal menu Modifica e quindi aggiungere il seguente valore del Registro di sistema:
    Nome valore: MaxTokenSize
    Tipo di dati: REG_DWORD
    Radice: Decimal
    Dati del valore: 65535
  5. Chiudere l'editor del Registro di sistema.
Il valore predefinito per MaxTokenSize Ŕ 12000 decimale. Si consiglia di impostare questo valore 65535 decimale, esadecimale FFFF. Se questo valore viene impostato in modo non corretto a 65535 esadecimale, un valore estremamente grande, le operazioni di autenticazione Kerberos potrebbero non riuscire e programmi possono restituire errori. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
297869Problemi di amministratore SMS dopo aver modificato il valore del Registro di sistema Kerberos MaxTokenSize
Una volta impostato il valore e il computer Ŕ aggiornato, riavviare il computer. ╚ possibile utilizzare le impostazioni dei criteri di gruppo per impostare questo valore per tutti i computer. Se si aggiunge la chiave del Registro di sistema per i computer prima di applicare l'aggiornamento rapido (hotfix) o Windows 2000 SP2, modifiche non abbiano effetto.

Per ulteriori informazioni su questo valore del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
313661Messaggio di errore: "Timeout scaduto" si verifica quando ci si connette a SQL Server su TCP/IP e Kerberos MaxTokenSize Ŕ maggiore di 0xFFFF
300367Client DCOM potrebbe inserire memoria sul cavo

Domande frequenti

  • Domanda: applicare questo aggiornamento rapido (hotfix) dal pacchetto dell'aggiornamento rapido (hotfix) o da Windows 2000 Service Pack 2?

    Risposta: ╚ possibile applicare l'aggiornamento rapido Q263693 o applicare Windows 2000 SP2.
  • Domanda: necessario modificare il Registro di sistema come indicato in questo articolo dopo l'applicazione di questo hotfix?

    Risposta: per impostazione predefinita, Microsoft supporta l'utente appartenenti a gruppi di 70-80. Se si desidera supportare pi¨ gruppi, Ŕ necessario modificare di conseguenza il valore del Registro di sistema. Seguire l'esempio mere linee guida fornita in questo articolo.
  • Domanda: dove Ŕ necessario applicare questo aggiornamento rapido (hotfix) e apportare le modifiche del Registro di sistema?

    Risposta: ╚ necessario implementare l'impostazione del Registro di sistema su ogni computer dell'organizzazione Ŕ in esecuzione Windows 2000 e/o di Microsoft Windows XP. Sono inclusi i controller di dominio, server membri e i computer client. L'aggiornamento rapido (hotfix) Ŕ inoltre necessaria per i computer che eseguono Windows 2000 Service Pack 1 o versioni precedenti.
  • Domanda: accedere al dominio attraverso la sessione di Terminal Server (Servizi terminal Ŕ in esecuzione su server membri), pertanto, in cui Ŕ necessario installare la correzione?

    Risposta: installa consente di correggere sui controller di dominio solo Kerberos Q263693.
  • Domanda: come questo aggiornamento rapido (hotfix) influenzano le prestazioni di sistema sull'autenticazione?

    Risposta: la dimensione del token sarÓ una struttura di dati definiti staticamente. 65 K Ŕ una penalitÓ relativamente bassa da pagare per la maggior parte dei sistemi. Tuttavia, se l'utente Ŕ membro dei gruppi ~ 1000, l'ora di autenticazione sarÓ maggiore se il numero di gruppi di dimensioni Ŕ inferiori. In altre parole, se viene aumentata la dimensione del token, non deve essere presente alcun calo delle prestazioni osservabile diverso da consumo di risorse di memoria. Questo vale per le operazioni tra cui inizializzazione dell'oggetto Criteri di gruppo. Infatti, le informazioni effettive Kerberos inviate sul cavo non sono di dimensioni fisse. La dimensione dipende le informazioni di gruppo/SID necessarie.
  • Domanda: come questa vulnerabilitÓ interessa la risorsa di memoria in controller di dominio e le workstation?

    Risposta: il controller di dominio genera il ticket di accesso utente, ma l'allocazione Ŕ sulla workstation. Pertanto, si noterÓ l'utilizzo della memoria non significativo sulle workstation in base alla dimensione del token che impostare nel Registro di sistema.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
277741Accesso di Internet Explorer ha esito negativo a causa di un buffer insufficiente per Kerberos
297869Problemi di amministratore SMS dopo aver modificato il valore del Registro di sistema Kerberos MaxTokenSize
Per ulteriori informazioni sull'installazione di Windows 2000 e le correzioni rapide di Windows 2000 nello stesso momento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
249149Installazione di aggiornamenti rapidi di Microsoft Windows 2000 e Windows 2000

ProprietÓ

Identificativo articolo: 263693 - Ultima modifica: giovedý 22 febbraio 2007 - Revisione: 5.9
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Chiavi:á
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 263693
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com