Los usuarios que son miembros de grupos de más de 1.015 pueden producir un error de autenticación de inicio de sesión

Seleccione idioma Seleccione idioma
Id. de artículo: 328889 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Cuando un usuario intenta iniciar sesión en un equipo mediante el uso de una variable local cuenta de equipo o una cuenta de usuario de dominio, la solicitud de inicio de sesión puede fallar con el mensaje de error siguiente:
Mensaje de inicio de sesión: El sistema no puede iniciar sesión debido al siguiente error: durante de un intento de conexión, el usuario contexto de seguridad ha acumulado demasiados identificadores de seguridad. Por favor, vuelva a intentarlo o consulte el administrador del sistema.

Causa

Este problema se produce cuando un usuario (con un usuario administrativo cuenta o una cuenta de usuario no administrativo) que es un miembro de más de 1.015 grupos de seguridad intenta iniciar sesión.

Cuando un usuario inicia sesión en un equipo, la autoridad de seguridad Local (LSA, una parte de la seguridad Local Subsistema de autoridad) genera un testigo de acceso para el usuario representar el contexto de seguridad del usuario. El token de acceso contiene el usuario único identificador de seguridad (SID) y los SID de cada grupo que el usuario es un miembro de, incluidos los grupos transitivos.

Nota La única excepción a este comportamiento es que no todos los locales de dominio grupos de seguridad que el usuario es un miembro de se mostrarán en el token del usuario. Los únicos grupos de seguridad local de dominio que se mostrarán (en el token del usuario) son aquellos grupos que el usuario es miembro de que también residen en el dominio que contiene la cuenta de equipo que el usuario está iniciando sesión en. Para un ejemplo que ilustra este proceso, consulte la sección "Más información".

Debido a una limitación del sistema, el campo que contiene el SID de pertenencia a grupos del usuario en el token de acceso pueden contener un máximo de 1.024 SID. Si un usuario es miembro de más de 1024 grupos de seguridad, el LSA no puede crear un token de acceso para el usuario durante el intento de inicio de sesión. Por lo tanto, el usuario no podrá iniciar sesión. Durante la generación de token de acceso, Dependiendo del tipo de inicio de sesión está realizando, la LSA también inserta hasta 9 SID conocidos, además de los SID de pertenencia a grupos del usuario (evalúa de manera transitiva).

Debido a la adición de SID conocidos la LSA, si un usuario es un miembro de más de 1,015 (es decir, 1.024 menos 9) grupos de seguridad, el total será más que el límite de 1.024 SID. Por lo tanto, la LSA no podrá crear un token de acceso para el usuario durante la intento de inicio de sesión. (Este número 1.015 incluye pertenencias a grupos locales de la equipo que el usuario intenta iniciar sesión en.) Dado que el usuario no puede ser autenticado, no se inicien sesión.

Solución

Para resolver este problema, utilice uno de los métodos siguientes, Dependiendo de su situación.

Caso 1: El usuario que se encuentra el error de inicio de sesión no es un administrador, pero los administradores pueden iniciar sesión en el equipo o en el dominio

Esta resolución debe realizarlos un administrador que tenga permisos para modificar la pertenencia a grupos que el usuario afectado es un miembro de. El administrador debe modificar la pertenencia a grupos del usuario para asegurarse de que que el usuario ya no es un miembro de grupos de seguridad (tomar más de 1.015 en cuenta la pertenencia a grupos transitiva y las pertenencias a grupos locales). Después el administrador quita el usuario de un número suficiente de seguridad grupos, el usuario, a continuación, podrá iniciar sesión en el dominio.

Nota Aunque el número máximo de la seguridad de los grupos puede ser un usuario un miembro de es 1.024, como mejores prácticas, restringir el número a 1,015. Esto número hace que esa generación de símbolo (token) se realizará siempre correctamente ya que proporciona espacio para hasta 9 SID conocidos que son insertados por la LSA.

Caso 2: El usuario que se produce un error de inicio de sesión es un administrador

Cuando el usuario cuyo inicio de sesión falla debido demasiado muchos agrupar pertenencias a grupos es miembro del grupo de administradores, un administrador que tenga las credenciales para la cuenta de administrador (es decir, una cuenta que tenga un conocido identificador relativo [RID] de 500) debe reiniciar un controlador de dominio al seleccionar la Modo seguro opción de inicio (o seleccionando el Modo seguro con funciones de red opción de inicio) y, a continuación, debe iniciar sesión al controlador de dominio mediante el uso de la cuenta de administrador.

Microsoft ha modificado el algoritmo de generación de símbolo (token) de la LSA para que el LSA puede crear un token de acceso para la cuenta de administrador para que el administrador puede iniciar sesión sin tener en cuenta cuántos grupos transitivos o intransitivos grupos que la cuenta Administrador es miembro de. Cuando uno de se utiliza estas opciones de inicio de modo seguro, el token de acceso que se crea para la cuenta de administrador incluye los SID de integrados todos y todos los dominios Grupos globales que la cuenta Administrador es miembro de. Estos grupos por lo general incluyen lo siguiente:
  • Todo el mundo (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT Authority\usuarios autenticados (S-1-5-11)
  • LOCAL (S-1-2-0)
  • DominioLos usuarios de \domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • DominioAdministradores de \domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
El token de acceso que se crea para la cuenta de administrador puede incluir opcionalmente los SID de la siguiente:
  • / Builtin Windows 2000 compatible con Access(S-1-5-32-554) Si todo el mundo es un miembro de este grupo
  • Organización de AUTHORITY\This de NT (S-1-5-15) si el dominio controlador ejecuta Windows Server 2003

Notas

  • XXXXXXXX-yyyyyyyy-zzzzzzzz denota el componente de dominio de el SID.
  • El SID de NT AUTHORITY\NETWORK puede insertarse en lugar de el SID de NT AUTHORITY\INTERACTIVE, dependiendo del tipo de inicio de sesión.
  • Si el Modo seguro se utiliza la opción de inicio, los usuarios de Active Directory y los equipos de interfaz de usuario del complemento no está está disponible. En Windows Server 2003, el administrador también puede iniciar sesión al seleccionar la Modo seguro con funciones de red opción de inicio; en el es de este modo, la interfaz de usuario del complemento Active Directory Users and Computers está disponible.
Después de que un administrador ha iniciado sesión, seleccionando una de las Opciones de inicio de modo seguro y con las credenciales del administrador cuenta, el administrador debe identificar y modificar la pertenencia de la grupos de seguridad que produjo la denegación de servicio de inicio de sesión.
Después de realizar este cambio, los usuarios deben ser capaces de iniciar la sesión correctamente después de un período de tiempo que es igual que el dominio ha transcurrido la latencia de replicación.

Más información

El ejemplo siguiente muestra qué dominio local grupos de seguridad se mostrarán en el token del usuario cuando el usuario inicia sesión en un equipo de un dominio.

En este ejemplo, supongamos que Juan pertenece a Dominio A y es un miembro de un grupo local usuarios del dominio A\Chicago. Joe es También es un miembro de un grupo local usuarios del dominio B\Chicago. Cuando Juan inicia sesión para un equipo que pertenezca al dominio A (por ejemplo, A\Workstation1 de dominio), un símbolo (token) se genera para Joe en el equipo, y contiene el símbolo (token), por otra parte todas la pertenencia de grupos globales y universales, el SID de dominio A\Chicago Usuarios. No contendrá el SID de los usuarios del dominio B\Chicago porque el equipo donde Joe ha registrado en (A\Workstation1 de dominio) pertenece al dominio A.

De forma similar, cuando Juan inicia sesión en un equipo que pertenezca al dominio b (por ejemplo, B\Workstation1 de dominio), un símbolo (token) se genera para Joe en el equipo y el token contiene, además de todos los universal y global pertenencia al grupo, el SID de los usuarios del dominio B\Chicago; no contendrá la SID de los usuarios del dominio A\Chicago porque el equipo donde se inició Joe en (dominio B\Workstation1) pertenece al dominio B.

Sin embargo, cuando Juan inicia sesión en un equipo que pertenezca al dominio C (por ejemplo, C\Workstation1 de dominio), un símbolo (token) se genera para Joe en el equipo de inicio de sesión que contiene todos los universal y pertenencia a grupo global para la cuenta de usuario de Juan. Ni el SID de dominio Los usuarios de A\Chicago ni el SID de los usuarios del dominio B\Chicago aparece en el símbolo (token) Dado que los grupos locales de dominio que Juan es un miembro de está en otro dominio que el equipo donde Joe iniciado sesión (C\Workstation1 de dominio). Por el contrario, si Joe fuera un miembro de algún grupo local de dominio que pertenece a En el dominio C (por ejemplo, C\Chicago usuarios de dominio), el símbolo (token) que se genera para Contendría Joe en el equipo, además de todos los universal y global pertenencia al grupo, el SID de los usuarios del dominio C\Chicago.

Propiedades

Id. de artículo: 328889 - Última revisión: martes, 26 de marzo de 2013 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Palabras clave: 
kbinfo kbmt KB328889 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 328889

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com