Uživatelé, kteří jsou členy skupiny více než 1,015 může selhat ověřování při přihlášení

Překlady článku Překlady článku
ID článku: 328889 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Když se uživatel pokusí přihlásit k počítači pomocí účtu místního počítače nebo uživatelský účet domény, požadavek na přihlášení se pravděpodobně nezdaří s následující chybová zpráva:
Přihlašovací zpráva: Systém nemůže přihlásit kvůli následující chybě: Při pokusu o přihlášení akumulována kontextu zabezpečení uživatele příliš mnoho ID zabezpečení. Opakujte akci nebo se obraťte na správce systému.

Příčina

K tomuto problému dochází, když uživatel (s správy uživatelský účet nebo účet uživatele bez oprávnění správce), který je členem skupiny zabezpečení více než 1,015 pokusí přihlásit.

Při přihlášení uživatele k počítači místní úřad zabezpečení (LSA součást místní Security Authority Subsystem) generuje přístupový token uživatele představují kontextu zabezpečení uživatele. Token přístupu obsahuje uživatele zabezpečení jedinečný identifikátor (SID) a SID skupiny každý uživatel je členem, včetně tranzitivní skupin.

Poznámka: Jedinou výjimkou toto chování je, že ne všechny skupiny domény místního zabezpečení, které je uživatel členem se zobrazí v tokenu uživatele. Pouze místní zabezpečení domény, skupiny, které se zobrazí (v tokenu uživatele) jsou tyto skupiny uživatel je členem, která také umístěny v doméně obsahující počítač, účtu, který bude uživatel přihlašování. Příklad, který znázorňuje tohoto procesu naleznete v části "Další informace".

Z důvodu omezení systému pole obsahující SID členství uživatele v přístupovém tokenu může obsahovat maximálně 1 024 SID. Pokud je uživatel členem více než 1 024 skupin zabezpečení, LSA nelze vytvořit přístupový token pro uživatele při pokusu o přihlášení. Uživatel tedy nebude moci přihlásit. Během generování token přístupu, v závislosti na typu přihlášení prováděny vloží LSA také až 9 známý SID k SID členství skupiny uživatele (vyhodnocena přechodně).

Z důvodu sčítání známých SIDS podle LSA, pokud je uživatel členem více než 1,015 (to znamená 1 024 minus 9) skupin zabezpečení součet bude více než 1 024 SID limit. LSA tedy nebude moci vytvořit přístupový token pro uživatele při pokusu o přihlášení. (Toto číslo 1,015 zahrnuje počítače, který uživatel pokouší přihlásit k členství místní skupiny.) Protože uživatel nemůže být ověřen, jejich nelze přihlásit.

Řešení

Chcete-li tento problém vyřešit, použijte v závislosti na situaci jednu z následujících metod.

Případ 1: Uživatele, kteří dojde k chybě přihlášení není správce, ale mohou úspěšně přihlásit správci počítače nebo domény

Toto řešení musí být proveden správcem, kdo má oprávnění upravovat členství ve skupině menšímu riziku uživatel je členem. Správce musí upravit členství skupiny uživatele se ujistěte, že uživatel je již členem více než 1,015 skupin zabezpečení (převzetí do účtu členství ve skupinách přenosné a členství místní skupiny). Po správce odebere uživatele z dostatečný počet skupin zabezpečení, pak uživatel bude moci úspěšně přihlásit k doméně.

Poznámka: Ačkoli maximální počet skupin zabezpečení může být uživatel členem je 1 024, jako nejlepší hlediska omezit číslo 1,015. Toto číslo umožňuje jisti, že token generování bude vždy úspěšné, protože poskytuje prostor pro až 9 známý SID, které jsou vloženy LSA.

Případ 2: Je uživatele, kteří selže přihlášení správce

Když je uživatel, jehož přihlášení nezdaří z důvodu příliš mnoho členství člen skupiny Administrators, správce, který má pověření pro účet správce (tj. účet, který má známé relativní identifikátor [RID] 500) nutné restartovat řadič domény, výběrem možnosti spuštění Nouze (nebo výběrem možnost spuštění Nouze s prací v síti) a musí potom přihlásit do řadiče domény pomocí účtu správce.

Microsoft změnil algoritmus generace tokenu v LSA, takže LSA lze vytvořit přístupový token pro účet správce, aby správce se může přihlásit ohledu na to, kolik tranzitivní skupin nebo nepřechodné skupin účet Administrator je členem. Při použití jedné z těchto možností spuštění nouzového režimu zahrnuje přístup token, který je vytvořen pro účet správce SID všechny předdefinovaná a všechny domény globální skupiny účet Administrator je členem. Tyto skupiny obvykle patří následující:
  • Everyone (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • MÍSTNÍ (S-1-2-0)
  • Domain\Domain uživatelům (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domain\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Přístup token, který je vytvořen pro účet správce může volitelně zahrnout následující SID:
  • BUILTIN\Pre-Windows 2000 kompatibilní Access(S-1-5-32-554) Pokud je členem této skupiny Everyone
  • NT AUTHORITY\This Organization (S-1-5-15) Pokud řadič domény se systémem Windows Server 2003

POZNÁMKY

  • Součást domény SID označuje XXXXXXXX yyyyyyyy zzzzzzzz.
  • NT Authority\Network SID lze vložit namísto SID AUTHORITY\INTERACTIVE NT v závislosti na typu přihlášení.
  • Pokud je použita možnost Nouze spuštění modulu snap-in uživatelského rozhraní Active Directory uživatelé a počítače není k dispozici. V systému Windows Server 2003 Správce může také přihlášení výběrem možnost spuštění Nouze s prací v síti; v tomto režimu je k dispozici modul snap-in uživatelského rozhraní Active Directory uživatelé a počítače.
Po přihlášení správce výběrem možností spuštění nouzového režimu a pomocí pověření správce účtu, musí správce potom identifikovat a měnit členství skupiny zabezpečení, která způsobila odmítnutí služby přihlášení.
Po provedení této změny by se uživatelé moci úspěšně přihlásit po uplynutí časového období, které je rovno čekací doby replikace v doméně.

Další informace

Následující příklad ukazuje zabezpečení místní domény, které je skupin se zobrazí v tokenu uživatele při přihlášení uživatele k počítači v doméně.

V tomto příkladu předpokládejme, že patří do domény A Jana a je členem místní skupiny domény A\Chicago Domain Users. Jana je také členem místní skupiny domény B\Chicago Domain Users. Když se Jan přihlásí k počítači, ke které patří do domény A (například A\Workstation1 domény), je v počítači token generovány pro Jana a tokenu obsahuje, na všechny členství globální a univerzální skupiny SID pro uživatele domény A\Chicago. Nebude obsahovat SID pro uživatele domény B\Chicago protože kde Jan přihlášeni (A\Workstation1 Domain) počítač náleží k doméně A.

Podobně při Jan přihlásí k počítači, které patří k doméně B (například B\Workstation1 domény), token je generován pro Jana v počítači a tokenu obsahuje, na všechny členství globální a univerzální skupiny SID pro uživatele domény B\Chicago; nebude obsahovat SID pro uživatele domény A\Chicago protože kde Jan přihlášeni (B\Workstation1 Domain) počítač náleží k doméně b

Však při přihlášení Jana počítač patří do domény C (například doména C\Workstation1) token je generován pro Jana přihlášení počítače, který obsahuje všechny globální a univerzální členství pro uživatele Jan uživatelský účet. SID pro uživatele domény A\Chicago ani SID pro uživatele domény B\Chicago se zobrazí v tokenu, protože místní skupiny domény, že Jana je členem jsou v jiné doméně než počítač kde Jan přihlášeni (C\Workstation1 Domain). Naopak Pokud Jana byly členem některé místní skupiny domény, ke které patří domény C (například C\Chicago uživatelé domény), token, který je generován pro Jana v počítači by obsahovat, do všech členství globální a univerzální skupiny SID pro uživatele domény C\Chicago.

Vlastnosti

ID článku: 328889 - Poslední aktualizace: 28. února 2007 - Revize: 1.6
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Klíčová slova: 
kbmt kbinfo KB328889 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:328889

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com