A diretiva de grupo não pode ser aplicada a usuários pertencentes a muitos grupos

Traduções deste artigo Traduções deste artigo
ID do artigo: 263693 - Exibir os produtos aos quais esse artigo se aplica.
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Se um usuário é membro de muitos grupos ou diretamente ou devido o aninhamento de grupo, A autenticação Kerberos pode não funcionar. O objeto de diretiva de grupo (GPO) não pode ser aplicado ao usuário e o usuário não pode ser validado para usar recursos de rede.

Causa

O token Kerberos tem um tamanho fixo. Se um usuário é membro de um grupo ou diretamente ou por participação no grupo de outro, a identificação de segurança (SID) para esse grupo é adicionada do token do usuário. Para um SID a ser adicionado ao token do usuário, ele deve ser comunicado usando o token Kerberos. Se as informações necessárias do SID excedem o tamanho de token, autenticação não terá êxito. O número de grupos varia, mas o limite é de aproximadamente grupos 70 a 80.

Para muitas operações Sucede autenticação NTLM do Windows; problema de autenticação Kerberos pode não ser evidente sem análise. No entanto, as operações que incluem aplicativo GPO não funcionam em todos os.

Resolução

Informações sobre o service pack

Para resolver esse problema, obtenha o service pack mais recente do Windows 2000. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
260910Como obter o Windows 2000 Service Pack mais recente

Informações sobre hotfix

Um hotfix suportado está disponível na Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente nos sistemas que apresentarem esse problema específico.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo do Knowledge Base. Se esta seção não aparecer, envie uma solicitação de suporte e Atendimento para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou qualquer solução de problemas é necessária, talvez seja necessário criar uma solicitação de serviço separada. Os custos de suporte normais se aplicarão a questões de suporte adicionais e problemas que não se qualificam este hotfix específico. Para obter uma lista completa dos números de telefone de atendimento e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Informações de arquivo

A versão em inglês deste hotfix apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas de acordo com a hora universal coordenada (UTC). Quando você exibir as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário na ferramenta Data e hora no painel de controle.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Observe que você deve usar um parâmetro do registro que está disponível com esse hotfix aumentar o tamanho de token Kerberos. Consulte a seção "Mais informações" deste artigo para obter informações adicionais.

Situação

A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicar a". Esse problema foi corrigido primeiro no Windows 2000 Service Pack 2.

Mais Informações

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
322756Como fazer backup e restaurar o registro no Windows


Um parâmetro do Registro está disponível após aplicar esse hotfix que você pode usar para aumentar o tamanho de token Kerberos. Por exemplo, aumentando o tamanho de token para 65 KB permite que um usuário estar presente em mais de 900 grupos. Devido as informações SID associadas, esse número pode variar.

Para usar este parâmetro:
  1. Inicie o Editor do Registro (Regedt32.exe).
  2. Localize e clique na seguinte chave no Registro:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Se esta chave não estiver presente, crie a chave. Para fazer isso:
    1. Clique na seguinte chave no Registro:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. No menu Editar, clique em Adicionar chave.
    3. Crie uma chave de parâmetros.
    4. Clique na nova chave de parâmetros.
  4. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
    Nome do valor: MaxTokenSize
    Tipo de dados: REG_DWORD
    Decimal base:
    Dados do valor: 65535
  5. Feche o Editor do Registro.
O valor padrão para MaxTokenSize é 12000 decimal. Recomendamos que você defina este valor para FFFF 65535 decimal, hexadecimal. Se você definir esse valor incorretamente a 65535 hexadecimal (um valor extremamente grande) as operações de autenticação Kerberos podem falhar e programas podem retornar erros. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
297869Problemas de administrador do SMS após modificar o valor de registro de Kerberos MaxTokenSize
Após definir o valor e o computador está atualizado, reinicie o computador. Você pode usar as configurações de diretiva de grupo para definir esse valor para todos os computadores. Se você adicionar a chave do Registro para computadores antes de aplicar o hotfix ou o Windows 2000 SP2, nenhuma alteração tenha efeito.

Para obter informações adicionais sobre esse valor do Registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
313661Mensagem de erro: "tempo limite expirou" ocorre quando você se conectar ao SQL Server sobre TCP/IP e Kerberos MaxTokenSize é maior que 0xFFFF
300367Cliente DCOM pode colocar memória no cabo

Perguntas freqüentes

  • Pergunta: fazer aplicar esse hotfix do pacote de hotfix ou do Windows 2000 Service Pack 2?

    Resposta: você pode aplicar o hotfix de Q263693 ou aplicar o Windows 2000 SP2.
  • Pergunta: eu precise modificar o registro como mencionado neste artigo após aplicar esse hotfix?

    Resposta: por padrão, a Microsoft oferece suporte a usuários pertencentes a grupos de 70-80. Se você quiser suportar mais grupos, você precisa ajustar o valor no registro de acordo. Siga o exemplo de diretriz fornecido neste artigo.
  • Pergunta: onde preciso aplicar esse hotfix e faça as alterações de registro?

    Resposta: você deve implementar a configuração do registro em cada computador na empresa que está executando o Windows 2000 e/ou Microsoft Windows XP. Isso inclui controladores de domínio, servidores membro e computadores cliente. O hotfix também é necessária para computadores que estejam executando o Windows 2000 Service Pack 1 ou anterior.
  • Pergunta: fazer logon no domínio através de sessão do Terminal Server (TS é executando em servidores membros), então, onde tenho que instalar a correção?

    Resposta: Install Kerberos Q263693 corrige os somente em controladores de domínio.
  • Pergunta: como este hotfix afetam o desempenho do sistema autenticação?

    Resposta: O tamanho do token será uma estrutura de dados estaticamente definidos. 65 K é uma penalidade relativamente baixa de pagamento para a maioria dos sistemas. No entanto, se o usuário é membro dos grupos ~ 1000, o tempo de autenticação será maior se o número de grupos é menor. Em outras palavras, se o tamanho de token for aumentado, não deve haver nenhuma penalidade de desempenho observável diferente de consumo de recurso de memória. Isso se aplica a operações, incluindo a inicialização do GPO. Isso é porque as informações reais Kerberos enviadas na conexão não não de tamanho fixo. Seu tamanho depende das informações de grupo/SID necessárias.
  • Pergunta: como isso afeta o recurso de memória em controladores de domínio e estações de trabalho?

    Resposta: O controlador de domínio gera o tíquete de acesso do usuário, mas a alocação é na estação de trabalho. Portanto, você verá o uso de memória insignificante em estações de trabalho, dependendo do tamanho de token definido no registro.

Referências

Para informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
277741Logon dele falha devido a um buffer insuficiente para o Kerberos
297869Problemas de administrador do SMS após modificar o valor de registro de Kerberos MaxTokenSize
Para obter informações adicionais sobre como instalar o Windows 2000 e hotfixes do Windows 2000 ao mesmo tempo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
249149Instalando hotfixes do Microsoft Windows 2000 e Windows 2000

Propriedades

ID do artigo: 263693 - Última revisão: quinta-feira, 22 de fevereiro de 2007 - Revisão: 5.9
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 263693

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com