ID do artigo: 263693 - Última revisão: quinta-feira, 22 de fevereiro de 2007 - Revisão: 5.9

A diretiva de grupo não pode ser aplicada a usuários pertencentes a muitos grupos

Download do hotfix está disponívelDownload do Hotfix Disponível
Visualizar e solicitar downloads de hotfix
Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .

Nesta página

Expandir tudo | Recolher tudo

Sintomas

Se um usuário é membro de muitos grupos ou diretamente ou devido o aninhamento de grupo, A autenticação Kerberos pode não funcionar. O objeto de diretiva de grupo (GPO) não pode ser aplicado ao usuário e o usuário não pode ser validado para usar recursos de rede.
Voltar para o início

Causa

O token Kerberos tem um tamanho fixo. Se um usuário é membro de um grupo ou diretamente ou por participação no grupo de outro, a identificação de segurança (SID) para esse grupo é adicionada do token do usuário. Para um SID a ser adicionado ao token do usuário, ele deve ser comunicado usando o token Kerberos. Se as informações necessárias do SID excedem o tamanho de token, autenticação não terá êxito. O número de grupos varia, mas o limite é de aproximadamente grupos 70 a 80.

Para muitas operações Sucede autenticação NTLM do Windows; problema de autenticação Kerberos pode não ser evidente sem análise. No entanto, as operações que incluem aplicativo GPO não funcionam em todos os.
Voltar para o início

Resolução

Informações sobre o service pack

Para resolver esse problema, obtenha o service pack mais recente do Windows 2000. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
260910  (http://support.microsoft.com/kb/260910/ ) Como obter o Windows 2000 Service Pack mais recente
Voltar para o início

Informações sobre hotfix

Um hotfix suportado está disponível na Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente nos sistemas que apresentarem esse problema específico.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo do Knowledge Base. Se esta seção não aparecer, envie uma solicitação de suporte e Atendimento para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou qualquer solução de problemas é necessária, talvez seja necessário criar uma solicitação de serviço separada. Os custos de suporte normais se aplicarão a questões de suporte adicionais e problemas que não se qualificam este hotfix específico. Para obter uma lista completa dos números de telefone de atendimento e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Informações de arquivo

A versão em inglês deste hotfix apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas de acordo com a hora universal coordenada (UTC). Quando você exibir as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário na ferramenta Data e hora no painel de controle.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Observe que você deve usar um parâmetro do registro que está disponível com esse hotfix aumentar o tamanho de token Kerberos. Consulte a seção "Mais informações" deste artigo para obter informações adicionais.
Voltar para o início

Situação

A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicar a". Esse problema foi corrigido primeiro no Windows 2000 Service Pack 2.
Voltar para o início

Mais Informações

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows


Um parâmetro do Registro está disponível após aplicar esse hotfix que você pode usar para aumentar o tamanho de token Kerberos. Por exemplo, aumentando o tamanho de token para 65 KB permite que um usuário estar presente em mais de 900 grupos. Devido as informações SID associadas, esse número pode variar.

Para usar este parâmetro:
  1. Inicie o Editor do Registro (Regedt32.exe).
  2. Localize e clique na seguinte chave no Registro:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Se esta chave não estiver presente, crie a chave. Para fazer isso:
    1. Clique na seguinte chave no Registro:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. No menu Editar, clique em Adicionar chave.
    3. Crie uma chave de parâmetros.
    4. Clique na nova chave de parâmetros.
  4. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
    Nome do valor: MaxTokenSize
    Tipo de dados: REG_DWORD
    Decimal base:
    Dados do valor: 65535
  5. Feche o Editor do Registro.
O valor padrão para MaxTokenSize é 12000 decimal. Recomendamos que você defina este valor para FFFF 65535 decimal, hexadecimal. Se você definir esse valor incorretamente a 65535 hexadecimal (um valor extremamente grande) as operações de autenticação Kerberos podem falhar e programas podem retornar erros. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
297869  (http://support.microsoft.com/kb/297869/ ) Problemas de administrador do SMS após modificar o valor de registro de Kerberos MaxTokenSize
Após definir o valor e o computador está atualizado, reinicie o computador. Você pode usar as configurações de diretiva de grupo para definir esse valor para todos os computadores. Se você adicionar a chave do Registro para computadores antes de aplicar o hotfix ou o Windows 2000 SP2, nenhuma alteração tenha efeito.

Para obter informações adicionais sobre esse valor do Registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
313661  (http://support.microsoft.com/kb/313661/ ) Mensagem de erro: "tempo limite expirou" ocorre quando você se conectar ao SQL Server sobre TCP/IP e Kerberos MaxTokenSize é maior que 0xFFFF
300367  (http://support.microsoft.com/kb/300367/ ) Cliente DCOM pode colocar memória no cabo
Voltar para o início

Perguntas freqüentes

  • Pergunta: fazer aplicar esse hotfix do pacote de hotfix ou do Windows 2000 Service Pack 2?

    Resposta: você pode aplicar o hotfix de Q263693 ou aplicar o Windows 2000 SP2.
  • Pergunta: eu precise modificar o registro como mencionado neste artigo após aplicar esse hotfix?

    Resposta: por padrão, a Microsoft oferece suporte a usuários pertencentes a grupos de 70-80. Se você quiser suportar mais grupos, você precisa ajustar o valor no registro de acordo. Siga o exemplo de diretriz fornecido neste artigo.
  • Pergunta: onde preciso aplicar esse hotfix e faça as alterações de registro?

    Resposta: você deve implementar a configuração do registro em cada computador na empresa que está executando o Windows 2000 e/ou Microsoft Windows XP. Isso inclui controladores de domínio, servidores membro e computadores cliente. O hotfix também é necessária para computadores que estejam executando o Windows 2000 Service Pack 1 ou anterior.
  • Pergunta: fazer logon no domínio através de sessão do Terminal Server (TS é executando em servidores membros), então, onde tenho que instalar a correção?

    Resposta: Install Kerberos Q263693 corrige os somente em controladores de domínio.
  • Pergunta: como este hotfix afetam o desempenho do sistema autenticação?

    Resposta: O tamanho do token será uma estrutura de dados estaticamente definidos. 65 K é uma penalidade relativamente baixa de pagamento para a maioria dos sistemas. No entanto, se o usuário é membro dos grupos ~ 1000, o tempo de autenticação será maior se o número de grupos é menor. Em outras palavras, se o tamanho de token for aumentado, não deve haver nenhuma penalidade de desempenho observável diferente de consumo de recurso de memória. Isso se aplica a operações, incluindo a inicialização do GPO. Isso é porque as informações reais Kerberos enviadas na conexão não não de tamanho fixo. Seu tamanho depende das informações de grupo/SID necessárias.
  • Pergunta: como isso afeta o recurso de memória em controladores de domínio e estações de trabalho?

    Resposta: O controlador de domínio gera o tíquete de acesso do usuário, mas a alocação é na estação de trabalho. Portanto, você verá o uso de memória insignificante em estações de trabalho, dependendo do tamanho de token definido no registro.
Voltar para o início

Referências

Para informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
277741  (http://support.microsoft.com/kb/277741/ ) Logon dele falha devido a um buffer insuficiente para o Kerberos
297869  (http://support.microsoft.com/kb/297869/ ) Problemas de administrador do SMS após modificar o valor de registro de Kerberos MaxTokenSize
Para obter informações adicionais sobre como instalar o Windows 2000 e hotfixes do Windows 2000 ao mesmo tempo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
249149  (http://support.microsoft.com/kb/249149/ ) Instalando hotfixes do Microsoft Windows 2000 e Windows 2000
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Voltar para o início
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 263693  (http://support.microsoft.com/kb/263693/en-us/ )
Voltar para o início