A política de grupo pode não ser aplicada a utilizadores que pertençam a vários grupos

Traduções de Artigos Traduções de Artigos
Artigo: 263693 - Ver produtos para os quais este artigo se aplica.
Importante
Este artigo aplica-se para o Windows 2000. Suporte para o Windows 2000 termina em 13 de Julho de 2010. O Windows 2000 End-of-Support Solution Center é um ponto de partida para planear a estratégia de migração a partir do Windows 2000. Para mais informações consulte a Microsoft Support Lifecycle Policy.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Se um utilizador for membro dos grupos muitos ou directamente ou devido a aninhamento de grupos, A autenticação Kerberos poderão não funcionar. O objecto de política de grupo (GPO) pode não ser aplicado ao utilizador e o utilizador não pode ser validado utilizar os recursos de rede.

Causa

O token Kerberos tem um tamanho fixo. Se um utilizador for um membro de um grupo ou directamente ou através de membros noutro grupo, o identificador de segurança (SID) para esse grupo é adicionado à segredo token do utilizador. Para um SID para ser adicionado ao token do utilizador, tem de ser comunicada utilizando o token Kerberos. Se as informações necessárias do SID excedem o tamanho do token, autenticação não terá êxito. O número de grupos varia, mas o limite é aproximadamente grupos 70 para 80.

Para muitas operações com êxito a autenticação Windows NTLM; o problema de autenticação Kerberos poderão não ser evidente sem análise. No entanto, as operações que incluem a aplicação de GPO não funcionam em todos os.

Resolução

Informações sobre o Service pack

Para resolver este problema, obtenha o service pack mais recente para o Windows 2000. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
260910Como obter o Service Pack mais recente do Windows 2000

Informações sobre correcções

Tem uma correcção suportada disponível na Microsoft. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.

Se a correcção está disponível para transferência, existe uma secção de "Transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não aparecer, submeta um pedido para o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a perguntas de suporte adicionais e problemas que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft da ou para criar um pedido de assistência separado, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para o qual a correcção está disponível. Se não vir o seu idioma, é porque uma correcção não está disponível para esse idioma.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas no formato de universal hora (UTC) coordenada Coordinated. Quando visualizar as informações de ficheiro, é convertido para a hora local. Para localizar a diferença entre a UTC e a hora local, utilize o separador fuso horário na ferramenta Data e hora no painel de controlo.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Note que tem de utilizar um parâmetro de registo que está disponível com esta correcção para aumentar o tamanho de token Kerberos. Consulte a secção "Mais informação" deste artigo para obter informações adicionais.

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a". Este problema foi corrigido pela primeira vez no Windows 2000 Service Pack 2.

Mais Informação

Importante Esta secção, método ou tarefa contém passos que a saber como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows


Um parâmetro de registo está disponível depois de aplicar esta correcção que pode utilizar para aumentar o tamanho de token Kerberos. Por exemplo, aumentar o tamanho de token para 65 KB permite a um utilizador existir em mais de 900 grupos. Devido as informações SID associadas, este número pode variar.

Para utilizar este parâmetro:
  1. Inicie o Editor de registo (Regedt32.exe).
  2. Localize e clique na seguinte chave no registo:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Se esta chave não estiver presente, crie a chave. Para o fazer:
    1. Clique na seguinte chave no registo:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. No menu Editar, clique em Adicionar chave.
    3. Crie uma chave de parâmetros.
    4. Clique na nova chave de parâmetros.
  4. No menu Editar, clique em Adicionar valor e, em seguida, adicione o seguinte valor de registo:
    Nome do valor: MaxTokenSize
    Tipo de dados: REG_DWORD
    Base: decimal
    Dados do valor: 65535
  5. Saia do Editor de registo.
O valor predefinido para MaxTokenSize é 12000 decimal. Recomendamos que defina este valor para 65535 FFFF decimal, hexadecimal. Se definir este valor incorrectamente a 65535 hexadecimal (um valor extremamente grande) operações de autenticação Kerberos poderão falhar e programas poderão devolver erros. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
297869Problemas de administrador SMS depois de modificar o valor de registo Kerberos MaxTokenSize
Depois de definir o valor e o computador está actualizado, reinicie o computador. Pode utilizar as definições de política de grupo para definir este valor para todos os computadores. Se adicionar a chave de registo para computadores antes de aplicar a correcção ou o Windows 2000 SP2, sem alterações têm efeito.

Para obter informações adicionais sobre este valor de registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
313661Mensagem de erro: "tempo limite expirou" ocorre quando estabelecer ligação com o SQL Server através de TCP/IP e Kerberos MaxTokenSize é superior a 0xFFFF
300367Cliente DCOM poderá colocar a memória durante a ligação

Perguntas mais frequentes

  • Pergunta: É aplicar esta correcção partir do pacote de correcção ou do Windows 2000 Service Pack 2?

    Resposta: pode aplicar a correcção de Q263693 ou aplicar o Windows 2000 SP2.
  • Pergunta: É necessário modificar o registo tal como mencionado neste artigo depois de aplicar esta correcção?

    Resposta: por predefinição, a Microsoft suporta o utilizador pertencentes a grupos de 70-80. Se pretende suportar mais grupos, terá de ajustar o valor no registo em conformidade. Siga o exemplo de orientações fornecido neste artigo.
  • Pergunta: em que tenho de aplicar esta correcção e efectue as alterações de registo?

    Resposta: tem de implementar a definição de registo em cada computador da empresa que esteja a executar o Windows 2000 e/ou Microsoft Windows XP. Isto inclui controladores de domínio, servidores membro e computadores cliente. A correcção também é necessário para computadores que executem o Windows 2000 Service Pack 1 ou anterior.
  • Pergunta: iniciar sessão no domínio através de sessão de servidor de terminais (TS estiver em execução no servidores membro), por isso, onde tenho de instalar a correcção?

    Resposta: Instalar Kerberos Q263693 corrige os apenas em controladores de domínio.
  • Pergunta: como esta correcção afecta o desempenho do sistema na autenticação?

    Resposta: O tamanho do token será uma estrutura de dados definidas estaticamente. 65 K é uma penalização relativamente baixa para pagar a maior parte dos sistemas. No entanto, se o utilizador for membro dos grupos ~ 1000, a hora de autenticação será maior se o número de grupos é menor. Por outras palavras, se o tamanho do token é aumentado, deverá ser não penalização de desempenho observáveis diferente do consumo de recursos de memória. Isto aplica-se a operações incluindo inicialização de GPO. Isto é porque as informações de Kerberos reais enviadas durante a ligação não são de tamanho fixo. Tamanho depende as informações de grupo/SID necessárias.
  • Pergunta: como esta vulnerabilidade afecta o recurso de memória em controladores de domínio e estações de trabalho?

    Resposta: O controlador de domínio gera o permissão de acesso de utilizador, mas a atribuição está na estação de trabalho. Por isso, verá a utilização da memória não significativos em estações de trabalho dependendo do tamanho de token definido no registo.

Referências

Para informations adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
277741Falha de início de sessão do Internet Explorer devido a uma memória intermédia insuficiente para Kerberos
297869Problemas de administrador SMS depois de modificar o valor de registo Kerberos MaxTokenSize
Para obter informações adicionais sobre como instalar o Windows 2000 e as correcções do Windows 2000 ao mesmo tempo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
249149Instalar as correcções do Microsoft Windows 2000 e Windows 2000

Propriedades

Artigo: 263693 - Última revisão: 22 de fevereiro de 2007 - Revisão: 5.9
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 263693

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com