Групповая политика не могут быть применены к пользователям, принадлежащим многих групп

Переводы статьи Переводы статьи
Код статьи: 263693 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
В данной статье относится к Windows 2000.Поддержка для Windows 2000 заканчивается на 13 июля, 2010.надписьюЦентр решений окончания поддержки Windows 2000является отправной точкой для планирования стратегии миграции от Windows 2000. Дополнительные сведения см.Политика жизненный цикл поддержки Майкрософт.
Развернуть все | Свернуть все

В этой статье

Проблема

Если пользователь входит в состав многих групп либо напрямую или из-за вложенные группы, проверка подлинности Kerberos может не работать. Объект групповой политики (GPO) не могут быть применены к пользователю, и пользователь не может быть проверен для использования сетевых ресурсов.

Причина

Маркер Kerberos имеет фиксированный размер. Если пользователь является членом группы и либо напрямую или посредством членства в другую группу добавляется идентификатор безопасности (SID) для этой группы пользователя маркера. ИД безопасности для добавления маркера пользователя он должен быть сообщаются с помощью маркера Kerberos. Если необходимые сведения о SID превышает размер маркера, проверка подлинности завершается неудачно. Зависит от количества групп, но ограничение составляет примерно 70-80 группы.

Для многих операций успешной проверки подлинности Windows NTLM; проблема проверки подлинности Kerberos не может быть очевидно без анализа. Тем не менее операции, которые включают применение GPO не будут работать вообще.

Решение

Сведения о пакете обновления

Для решения проблемы загрузите последний пакет обновления для Windows 2000.. Дополнительные сведения см. в следующей статье базы знаний Майкрософт::
260910Как получить последний пакет обновления для Windows 2000

Сведения об исправлении

Вам доступно исправление от корпорации Майкрософт.. Это исправление предназначено для устранения проблемы, описанной в этой статье.. Его необходимо применять только в тех системах, в которых наблюдается данная проблема..

Если исправление доступно для загрузки, имеется раздел «Доступные загрузки» в верхней части этой статьи базы знаний.. Если этого раздела нет, отправьте запрос на получение исправления в службу поддержки клиентов корпорации Майкрософт..

Примечание.Другие проблемы или если требуется устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются вами дополнительно.. Полный список телефонов поддержки и обслуживания клиентов Microsoft или информацию по созданию отдельного запроса на обслуживание вы можете найти на веб-сайте Майкрософт::
http://support.microsoft.com/contactus/?ws=support
Примечание.В форме "Исправление доступно для загрузки" отображаются языки, для которых доступно исправление. Если язык не отображается, это значит, что исправление не доступно для данного языка..

СВЕДЕНИЯ О ФАЙЛАХ

Английская версия этого исправления содержит версии файлов, приведенные в следующей таблице, или более поздние.. Дата и время для файлов указаны во всеобщем скоординированном времени (UTC).. При просмотре сведений о файле, время изменяется на местное.. Чтобы узнать разницу между временем по Гринвичу и местным временем,Часовой поясвкладки в окне «Дата и время» панели управления.
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
Обратите внимание, что необходимо использовать параметр реестра, который входит в состав данного исправления для увеличения размера маркера Kerberos. (см. раздел «Дополнительные сведения»)..

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Майкрософт, перечисленных в разделе «Применяется к».. Впервые эта проблема была исправлена в Windows 2000 с пакетом обновления 2 (SP2).

Дополнительная информация

Существенный:Этот раздел, метод или задачу включены действия по инструкции по изменению реестра. Однако, серьезные проблемы могут возникнуть в случае некорректного изменения реестра.. Поэтому при выполнении этих действий рекомендуется строго соблюдать инструкции.. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра.. В этом случае при возникновении неполадок реестр можно будет восстановить.. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт::
322756Создание резервных копий и восстановление реестра Windows


Параметр реестра доступна после установки исправления, которые можно использовать для увеличения размера маркера Kerberos. Например увеличение размера маркера до 65 КБ пользователь должен присутствовать в группы более 900. Из-за связанные данные SID это число может изменяться.

Чтобы использовать этот параметр:
  1. Запустите редактор реестра (Regedt32.exe)..
  2. Найдите следующий раздел реестра и выделите его::
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. Если этот ключ не существует, создайте раздел. Для этого выполните указанные ниже действия.:
    1. Click the following key in the registry:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. в менюВ файлевыберите пунктДобавить раздел.
    3. Create aАргументы:СОКРАЩЕНИЯ.
    4. Click the newАргументы:СОКРАЩЕНИЯ.
  4. в менюВ файлевыберите пунктДобавление значения, а затем добавьте следующий параметр реестра:
    Параметр:MaxTokenSize
    Data type:Reg_Dword
    Radix:десятичная
    Value data:65535
  5. Закройте редактор реестра..
The default value forMaxTokenSizeis 12000 decimal. We recommend that you set this value to 65535 decimal, FFFF hexadecimal. If you set this value incorrectly to 65535 hexadecimal (an extremely large value) Kerberos authentication operations may fail, and programs may return errors.Дополнительные сведения см. в следующей статье базы знаний Майкрософт::
297869SMS administrator issues after you modify the Kerberos MaxTokenSize registry value
After you set the value and the computer is updated, restart the computer. You can use Group Policy settings to set this value for all computers. If you add the registry key to computers before you apply the hotfix or Windows 2000 SP2, no changes take effect.

For additional information about this registry value, click the following article number to view the article in the Microsoft Knowledge Base:
313661Error Message: "Timeout expired" occurs when you connect to SQL Server over TCP/IP and the Kerberos MaxTokenSize is greater than 0xFFFF
300367DCOM client may put memory on the wire

вопросы и ответы

  • Вопрос: Do I apply this hotfix from the hotfix package or from Windows 2000 Service Pack 2?

    Answer: You can apply either the Q263693 hotfix or apply Windows 2000 SP2.
  • Вопрос: Do I have to modify the registry as mentioned in this article after I apply this hotfix?

    Answer: By default, Microsoft supports the user belonging to 70-80 groups. If you want to support more groups, then you have to adjust the value in the registry accordingly. Follow the guideline example provided in this article.
  • Вопрос: Where do I have to apply this hotfix and make the registry changes?

    Answer: You must implement the registry setting on every computer in the enterprise that is running Windows 2000 and/or Microsoft Windows XP. This includes domain controllers, member servers, and client computers. The hotfix is also required for computers that are running Windows 2000 Service Pack 1 or earlier.
  • Вопрос: I log on to the domain through Terminal Server Session (TS is running on Member Servers), so where do I have to install the fix?

    Answer: Install the Q263693 Kerberos fixes on the domain controllers only.
  • Вопрос: How does this hotfix affect the system performance on authentication?

    Answer: Размер маркера будет структуру данных статически. 65 K-это относительно низкой потерь для большинства систем. Тем не менее если пользователь является членом группы около 1000, время проверки подлинности будет больше, меньше ли количество групп. Другими словами при увеличении размера маркеров не должно быть снижения производительности заметные, отличные от потребление ресурсов памяти. Это относится к операции, включая инициализацию объекта групповой Политики. Это обусловлено тем, что фактические данные Kerberos, отправляемых по сети имеет фиксированный размер. Его размер зависит от группы и идентификатор безопасности сведения, необходимые.
  • Вопрос: Какое влияние оказывает ресурсов памяти на контроллеры доменов и рабочих станциях?

    Ответ: Контроллер домена создает карты доступа пользователя, но является распределение рабочей станции. Таким образом, вы увидите незначительные память на рабочих станциях, в зависимости от размера маркера, можно настроить в реестре.

Ссылки

Для дополнительных informations щелкните следующий номер статьи базы знаний Майкрософт:
277741Из-за недостаточного размера буфера для проверки подлинности Kerberos попытка подключения Internet Explorer заканчивается неудачно
297869Проблемы администратор SMS после изменения значения реестра Kerberos MaxTokenSize
Для получения дополнительных сведений об установке Windows 2000 и исправления для Windows 2000, в то же время щелкните следующий номер статьи базы знаний Майкрософт:
249149Одновременная установка Microsoft Windows 2000 и исправлений для Windows 2000

Свойства

Код статьи: 263693 - Последний отзыв: 19 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix kbmt KB263693 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:263693

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com