[群組原則可能不會套用到屬於多個群組的使用者

文章翻譯 文章翻譯
文章編號: 263693 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
全部展開 | 全部摺疊

在此頁中

徵狀

如果使用者是許多群組的成員可能直接或因為的群組巢狀,Kerberos 驗證可能無法正常運作。群組原則物件 (GPO) 可能不會套用給使用者,而且使用者可能不驗證要使用網路資源。

發生的原因

Kerberos 語彙基元 (Token) 具有固定的大小。如果一個使用者是群組的成員可能直接或另一個群組中的成員資格由該群組的安全性識別碼 (SID) 會加入至使用者的權杖。為要加入至使用者的權杖 SID,它必須能傳達藉由使用 Kerberos 語彙基元。如果必要的 SID 資訊超過語彙基元大小,驗證未成功。群組數量而有所不同,但限制為大約 70 至 80 群組。

許多作業 Windows NTLM 驗證成功 ; Kerberos 驗證問題可能不是明顯未分析。 不過,包括 GPO 應用程式的作業無法完全運作。

解決方案

服務套件資訊

如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
260910如何取得最新的 Windows 2000 Service Pack

Hotfix 資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果沒有出現此區段,將要求提交到 Microsoft 客戶服務及支援],以取得該 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

檔案資訊

此 Hotfix 的英文版具有檔案屬性 (或更新) 中如下表所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
Date        Time    Version        Size     File name
--------------------------------------------------------

01/25/2001  02:24p  5.0.2195.2842  130,320  Adsldpc.dll
01/25/2001  02:24p  5.0.2195.2835  348,944  Advapi32.dll
01/25/2001  02:23p  5.0.2195.2816  502,032  Instls5.dll
01/25/2001  02:24p  5.0.2195.2842  140,560  Kdcsvc.dll
01/17/2001  01:17p  5.0.2195.2842  198,928  KERBEROS.dll
12/19/2000  09:13p  5.0.2195.2808   69,456  Ksecdd.sys
01/25/2001  02:24p  5.0.2195.2816  484,112  Lsasrv.dll
01/02/2001  08:45a  5.0.2195.2816   33,552  Lsass.exe
01/23/2001  05:06p  5.0.2195.2850  108,816  Msv1_0.dll
01/25/2001  02:24p  5.0.2195.2844  912,656  Ntdsa.dll
01/25/2001  02:24p  5.0.2195.2780  363,280  Samsrv.dll
01/25/2001  02:24p  5.0.2195.2797  128,272  Wldap32.dll
請注意您必須使用增加 Kerberos 語彙基元大小是可以使用此 Hotfix 的登錄參數。請參閱如需詳細資訊本文 < 其他相關資訊 > 一節。

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。 這個問題已經先在 Windows 2000 Service Pack 2 中獲得修正。

其他相關資訊

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄


您套用這個 Hotfix,您可以使用來增加 Kerberos 語彙基元大小後,可用登錄參數。比方說語彙基元大小為 65 KB 增加可讓使用者出現在 900 個以上的群組。因為關聯的 SID 資訊的這個數字可能會有所不同。

若要使用這個參數:
  1. 啟動 「 登錄編輯程式 」 (Regedt32.exe)。
  2. 找出並按一下下列登錄機碼:
    System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  3. 如果此機碼不存在,建立機碼。若要這麼做:
    1. 按一下下列機碼登錄中:
      System\CurrentControlSet\Control\Lsa\Kerberos
    2. 編輯] 功能表上按一下 [新增機碼]。
    3. 建立 參數 機碼。
    4. 按一下新的 參數 機碼。
  4. 在 [編輯] 功能表上按一下 [新增值],並再新增下列登錄值:
    數值名稱: MaxTokenSize
    資料型別: REG_DWORD
    基數: 小數位數
    值的資料: 65535
  5. 結束 「 登錄編輯程式 」。
預設值為 MaxTokenSize 是 12000 十進位。我們建議您將這個值設定為 65535 十進位,FFFF 十六進位。如果設定這個值不正確到 65535 的十六進位 (極大值) 可能會失敗 Kerberos 驗證作業,並程式可能會傳回錯誤。 如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
297869SMS 系統管理員問題後您修改 Kerberos MaxTokenSize 登錄值
設定值,並更新電腦之後,重新啟動電腦。您可以使用 「 群組原則 」 設定為所有電腦設定這個值。如果在套用 Hotfix 或 Windows 2000 SP2 之前,您可以新增到電腦的登錄機碼,沒有變更生效。

取得更多資訊有關此登錄值按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
313661當透過 TCP/IP 連線到 SQL Server 並 Kerberos MaxTokenSize 大於 0xFFFF 錯誤訊息: 「 逾時過期 」 時發生
300367DCOM 用戶端的文件可能會放在網路上的記憶體

常見問題集

  • 問題: 待辦我套用這個 Hotfix Hotfix 套件,或來自 Windows 2000 Service Pack 2 嗎?

    答案: 您可以套用 Q263693 Hotfix 或套用 Windows 2000 SP2。
  • 問題: 我有在套用此 Hotfix 後,本文所提的同時修改登錄嗎??

    答案: 依預設值,Microsoft 支援使用者屬於 70-80 群組。如果想支援更多的群組您就必須隨之調整值在登錄中。請依照本文所提供的指導方針範例。
  • 問題: Where 是否有套用此 Hotfix,並進行登錄變更?

    答案: 您必須實作在正在執行 Windows 2000 和/或 Microsoft Windows XP 的企業中的每一部電腦上的登錄設定。這包括網域控制站、 成員伺服器和用戶端電腦。Hotfix 也是必要的電腦正在執行 Windows 2000 Service Pack 1 或更早的版本。
  • 問題: 我登入網域透過終端機伺服器工作階段 (在成員伺服器上執行 TS,) 因此位置執行我必須安裝此修正程式?

    答案: 僅限網域控制站修正 Q263693 Kerberos 的安裝。
  • 問題: 這個 Hotfix How 不會影響系統效能上驗證?

    答案: 語彙基元的大小將會以靜態方式定義的資料結構。65 K 是相對較低的負面影響,對於大多數系統支付。不過,如果使用者 ~ 1000年群組的成員驗證時間將會是大於如果群組個數會變小。亦即如果增加語彙基元大小應該要有以外的記憶體資源消耗沒有顯著的效能產生負面影響。這適用於作業包括 GPO 初始化。這是大小的因為網路上傳送實際的 Kerberos 資訊不是大小的固定。它的大小取決於所需的群組/SID 資訊。
  • 問題: 沒有這影響記憶體資源,在網域控制站和工作站??

    答案: 的網域控制站會產生使用者的存取票證,但此時配置在工作站上。因此在登錄中設定的語彙基元大小而定工作站上,您會看到不顯著的記憶體使用量。

參考

額外資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
277741Internet Explorer 登入 Kerberos 的失敗因為至沒有足夠的緩衝區
297869SMS 系統管理員問題後您修改 Kerberos MaxTokenSize 登錄值
如需有關如何一次安裝 Windows 2000 和 Windows 2000 的 Hotfix 的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
249149安裝 Microsoft Windows 2000 和 Windows 2000 的 Hotfix

屬性

文章編號: 263693 - 上次校閱: 2007年2月22日 - 版次: 5.9
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp2fix KB263693 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:263693
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com