Benutzer, die Mitglieder von Gruppen mit mehr als 1015 sind möglicherweise Anmeldeauthentifizierung fehl.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 328889 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn ein Benutzer versucht, auf einen Computer mithilfe einen lokalen Anmeldung Computerkonto oder ein Domänenbenutzerkonto kann mit die Anmeldeanforderung Fehlschlagen der folgende Fehlermeldung angezeigt:
Anmeldemeldung: Das System kann nicht Sie aufgrund des folgenden Fehlers nicht anmelden: im Verlauf eines Anmeldeversuchs, der Benutzer des Sicherheitskontext sammelte zu viele Sicherheits-IDs. Bitte versuchen Sie es erneut oder wenden Sie sich an Ihrem Systemadministrator in Verbindung.

Ursache

Dieses Problem tritt auf, wenn ein Benutzer (mit administrativer Benutzer ein Konto ohne Administratorrechte oder), wer Mitglied ist mehr als 1015 Sicherheitsgruppen versucht, sich anzumelden.

Wenn ein Benutzer meldet sich bei einem Computer, die lokale Sicherheitsautorität (LSA, einen Teil der lokalen Sicherheit Authority Subsystem) generiert ein Zugriffstoken für den Benutzer zur Darstellung der der Sicherheitskontext des Benutzers. Das Zugriffstoken des Benutzers enthält eindeutige Sicherheits-ID (SID) und die SIDs für jede Gruppe, dass der Benutzer Mitglied ist einschließlich der transitive Gruppen.

Hinweis Die einzige Ausnahme zu diesem Verhalten ist, dass nicht alle domänenlokal Sicherheitsgruppen, denen der Benutzer angehört werden in das Zugriffstoken des Benutzers angezeigt. Die einzige lokale Sicherheitsgruppen einer Domäne, die (in das Zugriffstoken des Benutzers) angezeigt wird sind diesen Gruppen an, dass der Benutzer ein Mitglied, das auch in der Domäne befinden enthält das Computerkonto, dem der Benutzer anmeldet. Für ein Beispiel zur Veranschaulichung dieses Prozesses finden Sie im Abschnitt "Weitere Informationen".

Aufgrund einer Systembeschränkung das Feld enthält die SIDs von Gruppenmitgliedschaften im Zugriffstoken des Benutzers kann bis zu enthalten. von 1.024 SIDs. Wenn ein Benutzer Mitglied von mehr als 1.024 Sicherheitsgruppen ist die LSA kann nicht während der Anmeldung ein Zugriffstoken für den Benutzer erstellen. Aus diesem Grund werden der Benutzer nicht anmelden können. Während der Generierung von Überprüfungstoken für Access, Je nach Art der Anmeldung ausgeführt wird fügt die LSA auch bis zu 9 bekannte SIDs neben die SIDs für Gruppenmitgliedschaften des Benutzers (transitiv ausgewertet).

Durch das Hinzufügen von bekannten SIDS durch die lokale Sicherheitsinstanz Wenn ein Benutzer ein Mitglied mehr als 1,015 (d. h. 1.024 minus 9) ist Sicherheitsgruppen, die insgesamt werden mehr als 1.024 SID-Limit. Aus diesem Grund Die LSA ist nicht möglich, ein Zugriffstoken für den Benutzer beim Erstellen der Versuch der Anmeldung. (Hierzu 1015 zählen auch Lokale Gruppenmitgliedschaften von der Computer, die der Benutzer versucht, sich anmelden.) Da der Benutzer nicht möglich authentifiziert, können sie anmelden.

Lösung

Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden, Je nach Ihrer Situation.

Fall 1: Der Benutzer, der der Anmeldefehler auftritt ist kein Administrator, aber Administratoren können erfolgreich anmelden, auf den Computer oder an der Domäne

Diese Lösung muss von einem Administrator ausgeführt werden, hat Berechtigungen zum Ändern der Gruppenmitgliedschaften, dass der betroffene Benutzer Mitglied ist der. Der Administrator muss die Gruppenmitgliedschaften des Benutzers, um sicherzustellen, ändern dass der Benutzer nicht mehr Mitglied von mehr als 1015 Sicherheitsgruppen (wobei Berücksichtigung der transitive Gruppenmitgliedschaften und die lokalen Gruppenmitgliedschaften). Nachdem der Administrator entfernt den Benutzer über eine ausreichende Anzahl von Sicherheit Gruppen, wird der Benutzer dann erfolgreich an der Domäne anmelden können.

Hinweis Obwohl die maximale Anzahl von Sicherheit, die Gruppen kann ein Benutzer sein. ein Mitglied ist 1.024, als Best Practice, beschränken Sie die Anzahl an 1,015. Dies Anzahl macht ist sicher, dass diese token Generation immer erfolgreich, weil es bietet Platz für bis zu 9 bekannte SIDs, die von der LSA eingefügt werden.

Fall 2: Der Benutzer, der Anmeldung schlägt fehl, ist ein administrator

Wenn der Benutzer, deren Anmeldung aufgrund von zu schlägt fehl, viele gruppieren Mitgliedschaften ist ein Mitglied der Gruppe Administratoren ein Administrator mit die Anmeldeinformationen für das Administratorkonto (das heißt, ein Konto mit einem bekannter RID-relative ID [] 500) muss einen Domänencontroller neu gestartet. durch Auswahl der Abgesicherter Modus Startoption (oder durch Auswahl der Abgesicherter Modus mit Netzwerktreibern Startoption) und sich dann anmelden auf den Domänencontroller mit das Administrator-Konto.

Microsoft hat den Generierung von Überprüfungstoken Algorithmus in der LSA geändert, damit die LSA ein Zugriffstoken für das Administratorkonto erstellen kann, damit die Administrator anmelden kann, unabhängig davon, wie viele transitive Gruppen oder Intransitiv Gruppen, denen das Administratorkonto Mitglied ist. Wenn eine der Diese Startoptionen im abgesicherten Modus verwendet wird, das Zugriffstoken, das für die erstellt wird Das Administrator-Konto enthält die SIDs von allen integrierten und alle Domänen Globale Gruppen, denen das Administratorkonto Mitglied ist. Diese Gruppen in der Regel die folgenden:
  • Jeder (S-1-1-0)
  • "Vordefiniert\Benutzer" (S-1-5-32-545)
  • "VORDEFINIERT\Administratoren" (S-1-5-32-544)
  • NT-AUTORITÄT\INTERAKTIV (S-1-5-4)
  • NT-AUTORITÄT\Authentifizierte Benutzer (S-1-5-11)
  • LOKALE (S-1-2-0)
  • Domäne\Domain Benutzer (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domäne\Domain-Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Das Zugriffstoken, das für das Administratorkonto erstellt wird kann optional die folgenden SIDs enthalten:
  • BUILTIN\Prä-Windows 2000 kompatible Access(S-1-5-32-554) Wenn jeder ein Mitglied dieser Gruppe ist
  • NT-AUTHORITY\This-Organisation (S-1-5-15) Wenn die Domäne Controller wird Windows Server 2003 ausgeführt.

Hinweise

  • XXXXXXXX-Yyyyyyyy-Zzzzzzzz kennzeichnet die Domänenkomponente die SID.
  • Die NT-Autorität / SID kann nicht eingefügt werden die NT-AUTORITÄT\INTERAKTIV SID, abhängig von der Anmeldetyp.
  • Wenn die Abgesicherter Modus Startoption wird verwendet, die Active Directory-Benutzer und Computer-Snap-in-Benutzeroberfläche nicht ist zur Verfügung. In Windows Server 2003 kann der Administrator Alternativ anmelden durch Auswahl der Abgesicherter Modus mit Netzwerktreibern Startoption; in Dieser Modus ist die Active Directory-Benutzer und Computer-Snap-in-Benutzeroberfläche zur Verfügung.
Nachdem ein Administrator angemeldet hat, durch Auswahl der Optionen des abgesicherten Modus starten und mit die Anmeldeinformationen des Administrators Konto, der Administrator muss dann identifizieren und Ändern der Mitgliedschaft der Sicherheitsgruppen, die die Ablehnung des Anmeldedienstes verursacht hat.
Nachdem diese Änderung vorgenommen wurde, sollten Benutzer können Anmeldung erfolgreich nach einem bestimmten Zeitraum an der Domäne gleich ist Replikationsverzögerung ist verstrichen.

Weitere Informationen

Das folgende Beispiel veranschaulicht die lokale Domäne Sicherheitsgruppen werden angezeigt in das Zugriffstoken des Benutzers, wenn der Benutzer anmeldet ein Computer in einer Domäne.

In diesem Beispiel wird davon gegangen Sie aus, dass Joe gehört Domäne A und ist ein Mitglied einer lokalen Domänengruppe Domänenbenutzer A\Chicago. Joe ist auch ein Mitglied einer lokalen Domänengruppe Domänenbenutzer B\Chicago. Bei der Anmeldung Joe auf einem Computer, zu der Domäne ein (z. B. Domain A\Workstation1), gehört ein Token für Joe auf dem Computer generiert wird, und das Token enthält darüber hinaus um die universelle und globale Gruppenmitgliedschaften, die SID für Domäne A\Chicago Benutzer. Es wird nicht die SID für Domänenbenutzer B\Chicago enthalten, da die Computer (Domain A\Workstation1), in denen Joe angemeldeten Domäne angehört A.

Auf ähnliche Weise, wenn Joe an einem Computer anmeldet, zu der Domäne B gehört (z. B. Domain B\Workstation1), ein Token für Joe auf generiert wird die Computer und das Token enthält, zusätzlich zu allen die universelle und globale Gruppenmitgliedschaften, die SID für Domänenbenutzer B\Chicago; Es enthält die SID für Domänenbenutzer A\Chicago da die Computer, auf dem Joe (Domäne angemeldet, B\Workstation1) gehört zur Domäne b

Jedoch Wenn Joe meldet sich bei einem Computer, zu der Domäne C (z. B. Domain C\Workstation1), ein Token gehört für Joe generiert wird, auf dem Logon-Computer, die alle Universal enthält und globale Gruppenmitgliedschaften für Joes Benutzerkonto. Weder die SID für Domäne A\Chicago Benutzer noch die SID für Domänenbenutzer B\Chicago erscheint im token Da die lokalen Domänengruppen, Joe angehört werden in einem anderen Domäne als der Computer (Domain C\Workstation1), in denen Joe angemeldet. Im Gegensatz dazu wäre Joe Mitglied einige lokale Domänengruppe, zu denen gehört Domäne C (z. B. C\Chicago Domänenbenutzer), das Token, das für generiert wird Joe auf dem Computer enthält, zusätzlich zu allen die universelle und globale Gruppenmitgliedschaften, die SID für Domänenbenutzer C\Chicago.

Eigenschaften

Artikel-ID: 328889 - Geändert am: Dienstag, 26. März 2013 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Keywords: 
kbinfo kbmt KB328889 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 328889
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com