Les utilisateurs qui sont membres des groupes de plus de 1 015 peuvent échouer l'authentification d'ouverture de session

Traductions disponibles Traductions disponibles
Numéro d'article: 328889 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Lorsqu'un utilisateur essaie d'ouvrir une session sur un ordinateur à l'aide d'une variable locale compte d'ordinateur ou un compte d'utilisateur de domaine, la demande d'ouverture de session peut échouer avec le message d'erreur suivant :
Message d'ouverture de session : Le système ne peut pas session en raison de l'erreur suivante : au cours d'une tentative de connexion, l'utilisateur contexte de sécurité a accumulé trop d'ID de sécurité. Essayez à nouveau ou consultez votre administrateur système.

Cause

Ce problème se produit lorsqu'un utilisateur (avec un utilisateur administratif compte ou un compte d'utilisateur non administratif) qui est un membre de plus de les groupes de sécurité 1 015 essaie de se connecter.

Lorsqu'un utilisateur ouvre une session sur un ordinateur, l'autorité de sécurité locale (LSA, une partie de la sécurité locale Sous-système d'autorité) génère un jeton d'accès de l'utilisateur représenter le contexte de sécurité de l'utilisateur. Le jeton d'accès contient l'utilisateur unique identificateur de sécurité (SID) et les SID de chaque groupe que l'utilisateur est membre de, y compris les groupes transitives.

Remarque : La seule exception à ce comportement est que pas tous les locaux de domaine les groupes de sécurité dont l'utilisateur est un membre seront afficheront dans le jeton d'utilisateur. Les seuls groupes locaux de sécurité qui seront affichent (dans le jeton d'utilisateur) sont les groupes que l'utilisateur est également un membre qui résident dans le domaine qui contient l'utilisateur ouvre une session sur le compte d'ordinateur. Pour une exemple qui illustre ce processus, consultez la section « Informations complémentaires ».

En raison d'une limitation du système, le champ qui contient le SID des appartenances aux groupes de l'utilisateur dans le jeton d'accès peut contenir au maximum de 1 024 SID. Si un utilisateur est membre des groupes de sécurité plus de 1 024, la LSA ne peut pas créer un jeton d'accès de l'utilisateur lors de la tentative d'ouverture de session. Par conséquent, l'utilisateur ne sera pas en mesure d'ouvrir une session. Pendant la génération de jeton d'accès, selon le type d'ouverture de session en cours d'exécution, le LSA insère également jusqu'à 9 SID connus en plus les SID pour les appartenances de l'utilisateur (évaluée de manière transitive).

En raison de l'ajout de SID connus par le LSA, si un utilisateur est membre de plus de 1,015 (c'est-à-dire, moins 9 1 024) groupes de sécurité, le total est supérieur à la limite de SID 1 024. Par conséquent, le LSA ne sera pas en mesure de créer un jeton d'accès de l'utilisateur au cours de la tentative d'ouverture de session. (Ce nombre 1 015 inclut les appartenances aux groupes locaux de la ordinateur qui tente de se connecter à l'utilisateur). Étant donné que l'utilisateur ne peut pas être authentifiés, ils ne peuvent pas ouvrent une session.

Résolution

Pour résoudre ce problème, appliquez l'une des méthodes suivantes, selon votre situation.

Cas 1: L'utilisateur qui rencontre l'erreur d'ouverture de session n'est pas un administrateur, mais les administrateurs peuvent ouvrir une session sur l'ordinateur ou au domaine

Cette résolution doit être effectuée par un administrateur qui dispose autorisations pour modifier les appartenances aux groupes que l'utilisateur concerné est membre de. L'administrateur doit modifier les appartenances aux groupes de l'utilisateur pour vous assurer que que l'utilisateur n'est plus un membre des groupes de sécurité plus de 1 015 (prise de notes en compte les appartenances aux groupes transitive et les appartenances aux groupes locaux). Après l'administrateur supprime l'utilisateur à partir d'un nombre suffisant de sécurité groupes, l'utilisateur puis sera en mesure de se connecter correctement au domaine.

Remarque : Bien que le nombre maximal de sécurité des groupes un utilisateur peut être un membre est de 1 024, comme une meilleure pratique, limiter le nombre à 1,015. Cela numéro rend que cette génération jeton échoue jamais, car il fournit espace pour jusqu'à 9 SID connus qui sont insérées par le LSA.

Cas 2: L'utilisateur qui ne parvient pas d'ouverture de session est un administrateur

Lorsque l'utilisateur dont ouverture de session échoue en raison de trop nombreux regroupement appartenances est un membre du groupe Administrateurs, un administrateur qui dispose de les informations d'identification pour le compte administrateur (autrement dit, un compte qui possède un identificateur relatif connu [RID] 500) doit redémarrer un contrôleur de domaine en sélectionnant le En Mode sans échec option de démarrage (ou en sélectionnant le En Mode sans échec avec réseau option de démarrage) et doit ouvrir une session pour le contrôleur de domaine en utilisant le compte administrateur.

Microsoft a modifié l'algorithme de génération de jeton dans le LSA afin que le LSA peut créer un jeton d'accès pour le compte administrateur afin que le administrateur peut ouvrir une session, quel que soit le nombre de groupes transitif ou groupes Intransitive le compte administrateur est membre. Lorsque l'une des Ces options de démarrage en mode sans échec est utilisé, jeton d'accès qui est créé pour le compte administrateur comprend les SID de tout intégré et domaine toutes les Groupes globaux du compte administrateur est membre. Ces groupes en général sont les suivants :
  • Tout le monde (S-1-1-0)
  • BUILTIN\Utilisateurs (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT\INTERACTIF (S-1-5-4)
  • Nt\utilisateurs (S-1-5-11)
  • LOCAL (S-1-2-0)
  • Domaine\Domain utilisateurs (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domaine\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Jeton d'accès qui est créé pour le compte administrateur peut éventuellement inclure les identificateurs de sécurité suivantes :
  • BUILTIN\Pre-Windows 2000 Compatible Access(S-1-5-32-554) Si tout le monde est membre de ce groupe
  • NT AUTHORITY\This organisation (S-1-5-15) si le domaine contrôleur exécute Windows Server 2003

Remarques

  • xxxxxxxx-yyyyyyyy zzzzzzzz indique le composant de domaine le SID.
  • L'identificateur de sécurité NT AUTHORITY\NETWORK peut être inséré à la place de le SID de NT\Interactif NT, en fonction du type d'ouverture de session.
  • Si le En Mode sans échec option de démarrage est utilisée, les utilisateurs Active Directory et les ordinateurs n'est pas l'interface utilisateur du composant logiciel enfichable disponible. Dans Windows Server 2003, l'administrateur peut également se connecter en sélectionnant le En Mode sans échec avec réseau option de démarrage ; dans Ce mode, l'interface utilisateur du composant logiciel enfichable ordinateurs et utilisateurs Active Directory est disponible.
Une fois un administrateur a ouvert une session en sélectionnant l'une de la options de démarrage en mode sans échec et en utilisant les informations d'identification de l'administrateur compte, l'administrateur doit ensuite identifier et modifier l'appartenance de la groupes de sécurité qui a provoqué le déni de service d'ouverture de session.
Une fois cette modification est effectuée, les utilisateurs doivent être en mesure de ouvrir une session après qu'une période de temps qui est égal au domaine la latence de réplication s'est écoulé.

Plus d'informations

L'exemple suivant illustre le domaine local groupes de sécurité seront afficheront dans le jeton d'utilisateur lorsque l'utilisateur ouvre une session sur un ordinateur dans un domaine.

Dans cet exemple, supposons que Joe appartient à Domaine A et est membre du groupe de domaine local utilisateurs du domaine A\Chicago. Joe est également un membre de groupe de domaine local utilisateurs du domaine B\Chicago. Lorsque Jean ouvre une session sur un ordinateur qui appartient au domaine A (par exemple, A\Workstation1 de domaine), un jeton est généré pour Jean sur l'ordinateur et le jeton contient en outre pour toutes les appartenances de groupe universels et globaux, le SID de domaine A\Chicago Utilisateurs. Il ne contiendra pas le SID pour les utilisateurs de domaine B\Chicago, car le ordinateur sur lequel Joe connecté (domaine A\Workstation1) appartient au domaine A.

De même, lorsque Jean ouvre une session sur un ordinateur qui appartient au domaine b (par exemple, B\Workstation1 de domaine), un jeton est généré pour Jean sur le ordinateur et le jeton contient ainsi que tous les universels et globaux membres du groupe, le SID pour les utilisateurs de domaine B\Chicago ; Il ne contiendra pas la Identificateur de sécurité pour les utilisateurs du domaine A\Chicago, car l'ordinateur sur lequel Joe connecté (domaine B\Workstation1) appartient au domaine B.

Toutefois, lorsque Jean se connecte à un ordinateur qui appartient au domaine C (par exemple, C\Workstation1 de domaine), un jeton est généré pour Jean sur l'ordinateur qui contient tous les universel et membres du groupe global pour le compte d'utilisateur de Joe. Ni le SID de domaine Les utilisateurs de A\Chicago, ni le SID pour les utilisateurs de domaine B\Chicago s'affiche dans le jeton Étant donné que les groupes locaux de domaine que Jean est membre sont dans un autre domaine que l'ordinateur où Joe connecté (domaine C\Workstation1). À l'inverse, si Joe était un membre d'un groupe local de domaine qui appartient à Domaine C (par exemple, domaine C\Chicago utilisateurs), le jeton qui est généré pour Joe sur l'ordinateur contient, en plus de tous les universels et globaux membres du groupe, le SID pour les utilisateurs de domaine C\Chicago.

Propriétés

Numéro d'article: 328889 - Dernière mise à jour: mardi 26 mars 2013 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Starter
  • Windows Vista Édition Intégrale
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Entreprise
  • Windows 7 Entreprise N
  • Windows 7 Édition Familiale Premium N
  • Windows 7 Professionnel N
  • Windows 7 Édition Starter N
  • Windows 7 Édition Integrale N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Mots-clés : 
kbinfo kbmt KB328889 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 328889
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com