Iniciar sesi�n

Select the product you need help with

Los usuarios que son miembros de grupos de m�s de 1.015 pueden producir un error de autenticaci�n de inicio de sesi�n

Id. de art�culo: 328889 - Ver los productos a los que se aplica este art�culo

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Expandir todo | Contraer todo

Cuando un usuario intenta iniciar sesi�n en un equipo mediante el uso de una variable local cuenta de equipo o una cuenta de usuario de dominio, la solicitud de inicio de sesi�n puede fallar con el mensaje de error siguiente:

Mensaje de inicio de sesi�n: El sistema no puede iniciar sesi�n debido al siguiente error: durante de un intento de conexi�n, el usuario contexto de seguridad ha acumulado demasiados identificadores de seguridad. Por favor, vuelva a intentarlo o consulte el administrador del sistema.

Volver al principio | Enviar comentarios

Causa

Este problema se produce cuando un usuario (con un usuario administrativo cuenta o una cuenta de usuario no administrativo) que es un miembro de m�s de 1.015 grupos de seguridad intenta iniciar sesi�n.

Cuando un usuario inicia sesi�n en un equipo, la autoridad de seguridad Local (LSA, una parte de la seguridad Local Subsistema de autoridad) genera un testigo de acceso para el usuario representar el contexto de seguridad del usuario. El token de acceso contiene el usuario �nico identificador de seguridad (SID) y los SID de cada grupo que el usuario es un miembro de, incluidos los grupos transitivos.

Nota La �nica excepci�n a este comportamiento es que no todos los locales de dominio grupos de seguridad que el usuario es un miembro de se mostrar�n en el token del usuario. Los �nicos grupos de seguridad local de dominio que se mostrar�n (en el token del usuario) son aquellos grupos que el usuario es miembro de que tambi�n residen en el dominio que contiene la cuenta de equipo que el usuario est� iniciando sesi�n en. Para un ejemplo que ilustra este proceso, consulte la secci�n "M�s informaci�n".

Debido a una limitaci�n del sistema, el campo que contiene el SID de pertenencia a grupos del usuario en el token de acceso pueden contener un m�ximo de 1.024 SID. Si un usuario es miembro de m�s de 1024 grupos de seguridad, el LSA no puede crear un token de acceso para el usuario durante el intento de inicio de sesi�n. Por lo tanto, el usuario no podr� iniciar sesi�n. Durante la generaci�n de token de acceso, Dependiendo del tipo de inicio de sesi�n est� realizando, la LSA tambi�n inserta hasta 9 SID conocidos, adem�s de los SID de pertenencia a grupos del usuario (eval�a de manera transitiva).

Debido a la adici�n de SID conocidos la LSA, si un usuario es un miembro de m�s de 1,015 (es decir, 1.024 menos 9) grupos de seguridad, el total ser� m�s que el l�mite de 1.024 SID. Por lo tanto, la LSA no podr� crear un token de acceso para el usuario durante la intento de inicio de sesi�n. (Este n�mero 1.015 incluye pertenencias a grupos locales de la equipo que el usuario intenta iniciar sesi�n en.) Dado que el usuario no puede ser autenticado, no se inicien sesi�n.

Volver al principio | Enviar comentarios

Soluci�n

Para resolver este problema, utilice uno de los m�todos siguientes, Dependiendo de su situaci�n.

Caso 1: El usuario que se encuentra el error de inicio de sesi�n no es un administrador, pero los administradores pueden iniciar sesi�n en el equipo o en el dominio

Esta resoluci�n debe realizarlos un administrador que tenga permisos para modificar la pertenencia a grupos que el usuario afectado es un miembro de. El administrador debe modificar la pertenencia a grupos del usuario para asegurarse de que que el usuario ya no es un miembro de grupos de seguridad (tomar m�s de 1.015 en cuenta la pertenencia a grupos transitiva y las pertenencias a grupos locales). Despu�s el administrador quita el usuario de un n�mero suficiente de seguridad grupos, el usuario, a continuaci�n, podr� iniciar sesi�n en el dominio.

Nota Aunque el n�mero m�ximo de la seguridad de los grupos puede ser un usuario un miembro de es 1.024, como mejores pr�cticas, restringir el n�mero a 1,015. Esto n�mero hace que esa generaci�n de s�mbolo (token) se realizar� siempre correctamente ya que proporciona espacio para hasta 9 SID conocidos que son insertados por la LSA.

Caso 2: El usuario que se produce un error de inicio de sesi�n es un administrador

Cuando el usuario cuyo inicio de sesi�n falla debido demasiado muchos agrupar pertenencias a grupos es miembro del grupo de administradores, un administrador que tenga las credenciales para la cuenta de administrador (es decir, una cuenta que tenga un conocido identificador relativo [RID] de 500) debe reiniciar un controlador de dominio al seleccionar la Modo seguro opci�n de inicio (o seleccionando el Modo seguro con funciones de red opci�n de inicio) y, a continuaci�n, debe iniciar sesi�n al controlador de dominio mediante el uso de la cuenta de administrador.

Microsoft ha modificado el algoritmo de generaci�n de s�mbolo (token) de la LSA para que el LSA puede crear un token de acceso para la cuenta de administrador para que el administrador puede iniciar sesi�n sin tener en cuenta cu�ntos grupos transitivos o intransitivos grupos que la cuenta Administrador es miembro de. Cuando uno de se utiliza estas opciones de inicio de modo seguro, el token de acceso que se crea para la cuenta de administrador incluye los SID de integrados todos y todos los dominios Grupos globales que la cuenta Administrador es miembro de. Estos grupos por lo general incluyen lo siguiente:

Todo el mundo (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT Authority\usuarios autenticados (S-1-5-11)
LOCAL (S-1-2-0)
DominioLos usuarios de \domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
DominioAdministradores de \domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)

El token de acceso que se crea para la cuenta de administrador puede incluir opcionalmente los SID de la siguiente:

/ Builtin Windows 2000 compatible con Access(S-1-5-32-554) Si todo el mundo es un miembro de este grupo
Organizaci�n de AUTHORITY\This de NT (S-1-5-15) si el dominio controlador ejecuta Windows Server 2003

Notas

XXXXXXXX-yyyyyyyy-zzzzzzzz denota el componente de dominio de el SID.
El SID de NT AUTHORITY\NETWORK puede insertarse en lugar de el SID de NT AUTHORITY\INTERACTIVE, dependiendo del tipo de inicio de sesi�n.
Si el Modo seguro se utiliza la opci�n de inicio, los usuarios de Active Directory y los equipos de interfaz de usuario del complemento no est� est� disponible. En Windows Server 2003, el administrador tambi�n puede iniciar sesi�n al seleccionar la Modo seguro con funciones de red opci�n de inicio; en el es de este modo, la interfaz de usuario del complemento Active Directory Users and Computers est� disponible.

Despu�s de que un administrador ha iniciado sesi�n, seleccionando una de las Opciones de inicio de modo seguro y con las credenciales del administrador cuenta, el administrador debe identificar y modificar la pertenencia de la grupos de seguridad que produjo la denegaci�n de servicio de inicio de sesi�n.

Volver al principio | Enviar comentarios

Despu�s de realizar este cambio, los usuarios deben ser capaces de iniciar la sesi�n correctamente despu�s de un per�odo de tiempo que es igual que el dominio ha transcurrido la latencia de replicaci�n.

Volver al principio | Enviar comentarios

M�s informaci�n

El ejemplo siguiente muestra qu� dominio local grupos de seguridad se mostrar�n en el token del usuario cuando el usuario inicia sesi�n en un equipo de un dominio.

En este ejemplo, supongamos que Juan pertenece a Dominio A y es un miembro de un grupo local usuarios del dominio A\Chicago. Joe es Tambi�n es un miembro de un grupo local usuarios del dominio B\Chicago. Cuando Juan inicia sesi�n para un equipo que pertenezca al dominio A (por ejemplo, A\Workstation1 de dominio), un s�mbolo (token) se genera para Joe en el equipo, y contiene el s�mbolo (token), por otra parte todas la pertenencia de grupos globales y universales, el SID de dominio A\Chicago Usuarios. No contendr� el SID de los usuarios del dominio B\Chicago porque el equipo donde Joe ha registrado en (A\Workstation1 de dominio) pertenece al dominio A.

De forma similar, cuando Juan inicia sesi�n en un equipo que pertenezca al dominio b (por ejemplo, B\Workstation1 de dominio), un s�mbolo (token) se genera para Joe en el equipo y el token contiene, adem�s de todos los universal y global pertenencia al grupo, el SID de los usuarios del dominio B\Chicago; no contendr� la SID de los usuarios del dominio A\Chicago porque el equipo donde se inici� Joe en (dominio B\Workstation1) pertenece al dominio B.

Sin embargo, cuando Juan inicia sesi�n en un equipo que pertenezca al dominio C (por ejemplo, C\Workstation1 de dominio), un s�mbolo (token) se genera para Joe en el equipo de inicio de sesi�n que contiene todos los universal y pertenencia a grupo global para la cuenta de usuario de Juan. Ni el SID de dominio Los usuarios de A\Chicago ni el SID de los usuarios del dominio B\Chicago aparece en el s�mbolo (token) Dado que los grupos locales de dominio que Juan es un miembro de est� en otro dominio que el equipo donde Joe iniciado sesi�n (C\Workstation1 de dominio). Por el contrario, si Joe fuera un miembro de alg�n grupo local de dominio que pertenece a En el dominio C (por ejemplo, C\Chicago usuarios de dominio), el s�mbolo (token) que se genera para Contendr�a Joe en el equipo, adem�s de todos los universal y global pertenencia al grupo, el SID de los usuarios del dominio C\Chicago.

Volver al principio | Enviar comentarios

Propiedades

Id. de art�culo: 328889 - �ltima revisi�n: martes, 26 de marzo de 2013 - Versi�n: 1.0

La informaci�n de este art�culo se refiere a:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Starter
Windows Vista Ultimate
Windows Server 2008 Datacenter without Hyper-V
Windows Server 2008 Enterprise without Hyper-V
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard without Hyper-V
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Datacenter without Hyper-V
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Enterprise without Hyper-V
Windows Server 2008 R2 Foundation
Windows Server 2008 R2 Standard
Windows Server 2008 R2 Standard without Hyper-V
Windows 7 Enterprise
Windows 7 Enterprise N
Windows 7 Home Premium N
Windows 7 Professional N
Windows 7 Starter N
Windows 7 Ultimate N
Windows Server 2012 Datacenter
Windows Server 2012 Essentials
Windows Server 2012 Foundation
Windows Server 2012 Standard
Windows 8 Enterprise
Windows 8 Enterprise N
Windows 8 N
Windows 8 Pro
Windows 8 Professional N

kbinfo kbmt KB328889 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 328889

(http://support.microsoft.com/kb/328889/en-us/ )

Volver al principio | Enviar comentarios