Gli utenti che sono membri di gruppi pi¨ di 1,015 potrebbero non riuscire l'autenticazione di accesso

Traduzione articoli Traduzione articoli
Identificativo articolo: 328889 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Quando un utente tenta di accedere a un computer utilizzando una locale account del computer o un account utente di dominio, la richiesta di accesso potrebbe non riuscire con il messaggio di errore riportato di seguito:
Messaggio di accesso: Il sistema non pu˛ accedere a causa del seguente errore: durante di un tentativo di accesso, l'utente contesto di protezione accumulato troppi ID di protezione. Riprovare o consultare l'amministratore di sistema.

Cause

Questo problema si verifica quando un utente (con privilegi di amministratore account o un account utente non amministratore) Ŕ membro di pi¨ di 1,015 gruppi di protezione tenta di accedere.

Quando un utente accede a un computer, autoritÓ di protezione locale (LSA, una parte di protezione locali Sottosistema autoritÓ) genera un token di accesso per l'utente rappresentare il contesto di protezione dell'utente. Il token di accesso contiene l'utente univoco identificatore di protezione (SID) e i SID di tutti i gruppi che l'utente Ŕ un membro di, inclusi gruppi transitivi.

Nota. L'unica eccezione a questo comportamento Ŕ che non tutti i locali di dominio gruppi di protezione che l'utente Ŕ un membro di compariranno nel token dell'utente. I gruppi di protezione locale dominio solo da visualizzare (in token dell'utente) sono quelli che l'utente Ŕ anche un membro di che si trovano nel dominio che contiene l'account del computer Ŕ connesso l'utente. Per un Nell'esempio che illustra questo processo, vedere la sezione "Informazioni".

A causa di una limitazione del sistema, il campo che contiene il SID di appartenenze dell'utente nel token di accesso pu˛ contenere al massimo di 1.024 SID. Se un utente Ŕ membro di pi¨ di 1.024 gruppi di protezione, il LSA non Ŕ possibile creare un token di accesso per l'utente durante il tentativo di accesso. Pertanto, l'utente non potrÓ accedere. Durante la generazione di token di accesso, a seconda del tipo di accesso in corso, la LSA inserisce fino a 9 SID conosciuti oltre i SID per appartenenze ai gruppi dell'utente (valutato in modo transitivo).

Grazie all'aggiunta di SID noti da LSA, se un utente Ŕ membro di pi¨ di 1,015 (ovvero 1.024 meno 9) gruppi di protezione, il totale sarÓ pi¨ di 1.024 limite di SID. Di conseguenza, LSA non sarÓ in grado di creare un token di accesso per l'utente durante la tentativo di accesso. (Questo numero 1,015 include l'appartenenza ai gruppi locali del computer che l'utente sta tentando di accedere a.) PoichÚ l'utente non pu˛ essere autenticato, Ŕ possibile accedere.

Risoluzione

Per risolvere questo problema, utilizzare uno dei seguenti metodi a seconda della situazione.

Caso 1: L'utente che si verifica l'errore di accesso non Ŕ un amministratore, ma gli amministratori possono accedere correttamente al computer o al dominio

Questa soluzione deve essere eseguita da un amministratore con autorizzazioni per modificare le appartenenze ai gruppi che l'utente interessato sia un membro di. L'amministratore deve modificare le appartenenze di gruppo dell'utente per verificare che che l'utente non Ŕ pi¨ un membro dei gruppi di protezione pi¨ di 1,015 (tenendo in considerazione le appartenenze ai gruppi transitivi e le appartenenze ai gruppi locali). Dopo che l'amministratore rimuove l'utente da un numero sufficiente di protezione gruppi, sarÓ in grado di accedere al dominio dell'utente.

Nota. Sebbene il numero massimo di protezione gruppi a cui un utente pu˛ essere un membro di Ŕ 1.024, come una procedura consigliata, limitare il numero di 1,015. Questo numeri rende che tale generazione token sempre l'esito positivo perchÚ fornisce spazio per il SID noti fino a 9 vengono inseriti da LSA.

Caso 2: L'utente che si verifica un errore di accesso Ŕ un amministratore

Quando il cui accesso non riesce a causa di troppo molti gruppo utenti le appartenenze Ŕ un membro del gruppo Administrators, un amministratore con le credenziali per l'account amministratore (ovvero, un account che dispone di un noto relativo identificatore [RID] 500) necessario riavviare il controller di dominio selezionando il ModalitÓ provvisoria opzione di avvio (oppure selezionando il ModalitÓ provvisoria con rete opzione di avvio) e quindi accedere per il controller di dominio utilizzando l'account di amministratore.

Microsoft ha modificato l'algoritmo di generazione di token in LSA in modo che il LSA pu˛ creare un token di accesso per l'account amministratore in modo che il amministratore pu˛ accedere indipendentemente da quanti gruppi transitivi o gruppi intransitivo che l'account Administrator Ŕ un membro di. Quando uno di Queste opzioni di avvio modalitÓ provvisoria viene utilizzato, il token di accesso creato per l'account Administrator include il SID di dominio tutti e incorporate tutte le Gruppi globali che l'account Administrator Ŕ un membro di. Questi gruppi in genere i seguenti:
  • Everyone (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • LOCALE (S-1-2-0)
  • Dominio\Domain utenti (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Dominio\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Il token di accesso creato per l'account di amministratore pu˛ includere i seguenti SID:
  • BUILTIN\Accesso Windows 2000 compatibile con Access(S-1-5-32-554) Se tutti gli utenti Ŕ un membro di questo gruppo
  • NT AUTHORITY\This organizzazione (S-1-5-15) se il dominio controller Ŕ in esecuzione Windows Server 2003

Note

  • xxxxxxxx-yyyyyyyy-zzzzzzzz indica il componente del dominio di il SID.
  • ╚ possibile inserire il SID di NT AUTHORITY\NETWORK anzichÚ il SID AUTHORITY\INTERACTIVE NT, a seconda del tipo di accesso.
  • Se il ModalitÓ provvisoria viene utilizzata l'opzione di avvio, Active Directory utenti e computer l'interfaccia utente dello snap-in non Ŕ Ŕ disponibile. In Windows Server 2003, l'amministratore pu˛ in alternativa accedere selezionando il ModalitÓ provvisoria con rete opzione di avvio. in Questa modalitÓ, Ŕ l'interfaccia utente dello snap-in Active Directory Users and Computers Ŕ disponibile.
Dopo che un amministratore ha effettuato selezionando una del opzioni di avvio in modalitÓ provvisoria e utilizzando le credenziali dell'amministratore account, l'amministratore deve quindi identificare e modificare l'appartenenza del gruppi di protezione che ha causato il rifiuto del servizio di accesso.
Dopo aver apportata questa modifica, gli utenti devono essere in grado di accesso dopo un periodo di tempo che Ŕ uguale al dominio la latenza di replica Ŕ trascorso.

Informazioni

Nell'esempio riportato di seguito viene illustrato il dominio locale gruppi di protezione saranno disponibili nei token dell'utente quando l'utente accede a un computer in un dominio.

In questo esempio, si supponga che Joe appartiene a Dominio A ed Ŕ un membro di un gruppo locale di dominio gli utenti del dominio A\Chicago. Joe Ŕ anche un membro del gruppo locale di dominio gli utenti del dominio B\Chicago. Quando Joe accede in un computer appartenente al dominio (ad esempio, A\Workstation1 di dominio), un viene generato per Joe sul computer e il token contiene inoltre per tutte le globali e universali appartenenze, il SID del dominio A\Chicago Utenti. Non contiene il SID per gli utenti del dominio B\Chicago perchÚ il computer a cui Joe connesso (dominio A\Workstation1) appartiene al dominio A.

Analogamente, quando Paolo accede a un computer appartenente al dominio b (ad esempio, B\Workstation1 di dominio), viene generato un token di Joe nel computer e il token contiene, oltre a tutte le universali e globali appartenenza a gruppi, il SID per gli utenti del dominio B\Chicago; non sarÓ presente il SID per gli utenti del dominio A\Chicago perchÚ il computer a cui Joe connesso (dominio B\Workstation1) appartiene al dominio B.

Tuttavia, quando Paolo accede a un computer appartenente al dominio C (ad esempio, C\Workstation1 di dominio), un token viene generato per Joe sul computer di accesso che contiene tutte le universal e appartenenza a gruppi globali per l'account utente di Giovanni. NÚ il SID del dominio Gli utenti A\Chicago nÚ il SID per gli utenti del dominio B\Chicago viene visualizzata nel token PoichÚ i gruppi locali di dominio che Joe Ŕ un membro di sono in un altro dominio di computer cui Joe connesso (C\Workstation1 dominio). Al contrario, se Giovanni fosse un membro di un gruppo locale di dominio che appartiene a Dominio C (ad esempio, dominio C\Chicago utenti), il token generato per Joe sul computer pu˛ contenere, oltre a tutte le universali e globali appartenenza ai gruppi, il SID per gli utenti del dominio C\Chicago.

ProprietÓ

Identificativo articolo: 328889 - Ultima modifica: martedý 26 marzo 2013 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Chiavi:á
kbinfo kbmt KB328889 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 328889
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com