Pengguna yang menjadi kelompok anggota lebih dari 1.015 mungkin gagal log masuk otentikasi

ID Artikel: 328889 - Melihat produk di mana artikel ini berlaku.
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Perbesar semua | Perkecil semua

Pada Halaman ini

Gejala

Ketika pengguna mencoba untuk log on ke komputer dengan menggunakan lokal Computer account atau account pengguna domain, permintaan log masuk mungkin gagal dengan pesan galat berikut:
Pesan masuk: Sistem tidak dapat login Anda pada karena galat berikut: selama upaya log masuk, pengguna 's keamanan konteks mengumpulkan terlalu banyak ID keamanan. Silakan coba lagi atau berkonsultasi administrator sistem Anda.
Kembali ke atas | Berikan Masukan

Penyebab

Masalah ini terjadi ketika pengguna (dengan pengguna administratif rekening atau akun pengguna non-administratif) yang merupakan anggota dari lebih dari kelompok-kelompok keamanan 1.015 mencoba untuk log on.

Ketika seorang pengguna log on ke komputer, otoritas keamanan lokal (LSA, Bagian dari keamanan lokal Subsistem otoritas) menghasilkan token akses bagi pengguna untuk mewakili konteks keamanan pengguna. Token akses berisi pengguna unik pengidentifikasi keamanan (SID) dan SIDs setiap kelompok bahwa pengguna adalah anggota termasuk kelompok Tengger.

Catatan Satu-satunya pengecualian untuk perilaku ini adalah bahwa tidak semua domain lokal kelompok-kelompok keamanan yang pengguna adalah anggota akan muncul di pengguna token. Hanya domain lokal keamanan kelompok yang akan muncul (di pengguna token) adalah kelompok-kelompok pengguna adalah anggota yang juga berada dalam domain yang berisi account komputer yang pengguna log on ke. Untuk contoh yang menggambarkan proses ini, lihat bagian "Informasi selengkapnya".

Karena pembatasan sistem, bidang yang mengandung SIDs keanggotaan Grup pengguna dalam token akses dapat berisi maksimum dari 1.024 SIDs. Jika pengguna anggota lebih dari 1.024 kelompok keamanan, LSA tidak dapat membuat token akses untuk pengguna selama usaha log masuk. Oleh karena itu, pengguna tidak akan dapat login pada. Selama akses token generasi, tergantung pada jenis log masuk yang dilakukan, LSA juga menyisipkan hingga 9 terkenal SIDs selain SIDs untuk keanggotaan Grup pengguna (dievaluasi transitively).

Karena penambahan terkenal SIDS oleh LSA, jika pengguna anggota lebih dari 1,015 (yaitu 1.024 minus 9) kelompok keamanan, total akan lebih dari batas SID 1.024. Oleh karena itu, LSA tidak akan mampu menciptakan token akses untuk pengguna selama upaya log masuk. (Jumlah 1.015 ini mencakup grup lokal keanggotaan komputer yang pengguna mencoba untuk log on ke.) Karena pengguna tidak dapat dikonfirmasi, mereka tidak bisa masuk.
Kembali ke atas | Berikan Masukan

Pemecahan masalah

Untuk mengatasi masalah ini, gunakan salah satu metode berikut, tergantung pada situasi Anda.

Kasus 1: Pengguna yang menemukan kesalahan log masuk bukanlah administrator, namun administrator dapat berhasil log on ke komputer atau ke domain

Resolusi ini harus dilakukan oleh administrator yang memiliki izin untuk memodifikasi keanggotaan grup bahwa pengguna terkena dampak adalah anggota . Administrator harus memodifikasi keanggotaan Grup pengguna untuk memastikan pengguna yang tidak lagi kelompok anggota keamanan lebih dari 1.015 (mengambil mempertimbangkan keanggotaan kelompok Tengger dan keanggotaan kelompok lokal). Setelah administrator menghapus pengguna dari jumlah yang memadai keamanan kelompok pengguna kemudian akan dapat berhasil log on ke domain.

Catatan Meskipun jumlah maksimum keamanan kelompok yang pengguna dapat anggota 1.024, sebagai praktek terbaik, membatasi jumlah menjadi 1,015. Ini nomor membuat yakin bahwa generasi token akan selalu berhasil karena menyediakan Gedung hingga 9 SIDs terkenal yang dimasukkan oleh LSA.

Kasus 2: Pengguna yang gagal log masuk adalah administrator

Ketika pengguna log masuk yang gagal karena terlalu banyak kelompok Keanggotaan adalah Kelompok anggota administrator, administrator yang memiliki kredensial account Administrator (yaitu account yang memiliki terkenal relatif identifier [RID] 500) harus me-restart pengendali domain dengan memilih Safe Mode startup pilihan (atau dengan memilih Mode aman dengan jaringan startup pilihan) dan harus kemudian log on ke pengendali domain dengan menggunakan akun administrator.

Microsoft telah diubah algoritma token generasi di LSA sehingga LSA dapat membuat akses token untuk akun administrator sehingga administrator dapat log on terlepas dari berapa banyak kelompok-kelompok Tengger atau intransitive kelompok yang akun administrator adalah anggota. Ketika salah satu dari pilihan ini startup mode aman digunakan, akses-token yang dibuat untuk akun administrator termasuk SIDs semua Built-in dan semua Domain Kelompok global yang akun administrator adalah anggota. Kelompok-kelompok ini biasanya meliputi:
  • Semua orang (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • AUTHORITY\INTERACTIVE NT (S-1-5-4)
  • NT AUTHORITY\Authenticated pengguna (S-1-5-11)
  • LOKAL (S-1-2-0)
  • Domain\Domain pengguna (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domain\Domain admin (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Akses-token yang dibuat untuk akun administrator opsional termasuk SIDs berikut:
  • BUILTIN\Pre-Windows 2000 kompatibel Access(S-1-5-32-554) Jika setiap orang adalah Kelompok anggota ini
  • NT AUTHORITY\This organisasi (S-1-5-15) jika domain controller menjalankan Windows Server 2003

Catatan

  • XXXXXXXX-yyyyyyyy-zzzzzzzz menunjukkan komponen domain SID.
  • NT AUTHORITY\NETWORK SID dapat dimasukkan bukan NT AUTHORITY\INTERACTIVE SID, tergantung pada tipe log masuk.
  • Jika Safe Mode startup pilihan ini digunakan, Active Directory pengguna dan komputer snap-in user interface yang tidak tersedia. Pada Windows Server 2003, administrator dapat atau log on dengan memilih Mode aman dengan jaringan startup pilihan; dalam mode ini, pengguna direktori aktif dan komputer snap-in user interface yang tersedia.
Setelah administrator telah masuk dengan memilih salah satu pilihan startup mode aman dan dengan menggunakan kredensial Administrator account, administrator harus mengidentifikasi kemudian memodifikasi keanggotaan kelompok-kelompok keamanan yang menyebabkan penolakan Layanan log masuk.
Kembali ke atas | Berikan Masukan
Setelah membuat perubahan ini, pengguna harus dapat log masuk berhasil setelah jangka waktu yang sama dengan domain replikasi latency telah lewat.
Kembali ke atas | Berikan Masukan

Informasi lebih lanjut

Contoh berikut menggambarkan yang domain lokal kelompok keamanan akan muncul di pengguna token ketika pengguna log on ke komputer di domain.

Dalam contoh ini, menganggap bahwa Joe milik Domain A dan merupakan anggota dari grup lokal domain Domain A\Chicago pengguna. Joe adalah juga Kelompok anggota lokal domain Domain B\Chicago pengguna. Ketika Joe log on ke komputer yang milik Domain A (misalnya, Domain A\Workstation1), Token yang dihasilkan untuk Joe pada komputer, dan token mengandung, selain Semua keanggotaan grup universal dan global, SID untuk Domain A\Chicago Pengguna. Itu tidak akan berisi SID untuk Domain B\Chicago pengguna karena komputer mana Joe log masuk (Domain A\Workstation1) milik Domain A.

Demikian pula, di ketika Joe log on ke komputer yang milik Domain B (misalnya, Domain B\Workstation1), tanda yang dihasilkan untuk Joe pada komputer, dan token mengandung, selain semua universal dan global keanggotaan grup, SID untuk Domain B\Chicago pengguna; itu tidak akan memuat SID untuk Domain A\Chicago pengguna karena komputer mana Joe log masuk (Domain B\Workstation1) milik Domain B.

Namun, ketika Joe log ke komputer yang milik Domain C (misalnya, Domain C\Workstation1), tanda yang dihasilkan untuk Joe pada komputer log masuk yang berisi semua universal dan Keanggotaan global grup untuk Joe's account pengguna. SID tidak untuk Domain A\Chicago pengguna maupun SID untuk Domain B\Chicago pengguna muncul dalam token karena kelompok-kelompok lokal domain bahwa Joe adalah anggota di yang berbeda domain dari komputer mana Joe log masuk (Domain C\Workstation1). Sebaliknya, jika Joe Kelompok anggota lokal beberapa domain yang dimiliki Domain C (misalnya, Domain C\Chicago pengguna), token yang dihasilkan untuk Joe pada komputer akan berisi, selain semua universal dan global keanggotaan grup, SID untuk Domain C\Chicago pengguna.
Kembali ke atas | Berikan Masukan

Properti

ID Artikel: 328889 - Kajian Terakhir: 26 Maret 2013 - Revisi: 4.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Pro N
Kata kunci: 
kbinfo kbmt KB328889 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini: 328889
(http://support.microsoft.com/kb/328889/en-us/ )
Kembali ke atas | Berikan Masukan

Berikan Masukan

 
Kembali ke atasKembali ke atas