1,015 を超えるグループのメンバーであるユーザーは、ログオン認証に失敗する可能性があります。

文書翻訳 文書翻訳
文書番号: 328889 - 対象製品
すべて展開する | すべて折りたたむ

目次

現象

ユーザーが、ローカルを使用して、コンピューターにログオンしようとしたときコンピューター アカウントまたはドメイン ユーザー アカウント、ログオン要求が失敗すると、次のエラー メッセージします。
ログオン メッセージ: システムがすることはできません。次のエラーのためログオン: ログオンしようと、ユーザーの中にセキュリティ コンテキストで蓄積されたセキュリティ Id が多すぎます。もう一度やり直すかを参照してください。システム管理者。

原因

ユーザーしたとき (ユーザーが管理者でこの問題に発生します。アカウントまたは管理者以外のユーザー アカウント) のメンバーは誰も1,015 のセキュリティ グループはログオンしようとします。

ユーザーのログオンしたときに、コンピューターで、ローカル セキュリティ機関 (LSA をローカルのセキュリティの一部機関サブシステム) を表すために、ユーザーのアクセス トークンを生成します。ユーザーのセキュリティ コンテキスト。ユーザーのアクセス トークンを含む一意なセキュリティ識別子 (SID) とそのユーザーがメンバーであるすべてのグループの Sid推移的なグループを含みます。

メモ この問題の唯一の例外はあるすべてのドメイン ローカルユーザーの属するセキュリティ グループ、ユーザーのトークンに表示されます。(ユーザーのトークンで表示される唯一のドメイン ローカル セキュリティ グループユーザーがのメンバーもそのグループがドメイン内に存在するです。ユーザーがログオンして、コンピューター アカウントが含まれています。は、このプロセスは、サンプルの「関連情報」セクションを参照してください。

システムの制限によりを含むフィールドは、ユーザーのアクセス トークン内のグループ メンバーシップの Sid が最大を含めることができます。数が 1,024 個の Sid。ユーザーは 1,024 より多くのセキュリティ グループのメンバーである場合、LSA は、ユーザーのアクセス トークン、ログオンの試行中に作成できません。したがって、ユーザーはログオンすることができません。アクセス トークンの生成時に、実行中のログオンの種類に応じて、LSA は最大 9 を挿入します。既知の Sid がユーザーのグループ メンバーシップの Sid のほか(推移的に数えた。

既知の SID のための追加LSA は、ユーザー (つまり、マイナス 9 1,024) の 1,015 以上のメンバーである場合セキュリティ グループの合計が 1,024 の SID の制限を超える。そのため、LSA は、中にユーザーのアクセス トークンを作成することができません、ログオンしようとします。(この 1,015 数にはローカル グループのメンバーシップが含まれています、ユーザーがログオンしようとするコンピューター。ユーザーがすることはできませんので認証は、ログオンできません。

解決方法

この問題を解決するのには、次の方法のいずれかを使用して、状況に応じて。

ケース 1: ログオン エラーが発生したユーザーは管理者ではありませんが、管理者がコンピューターまたはドメインにログオンすることができます。

この解像度を持つ管理者が行う必要があります。影響を受けるユーザーがメンバーであるグループのメンバーシップを変更するアクセス許可。確認するのには、ユーザーのグループ メンバーシップを変更する必要があります、管理者ユーザーが (取る 1,015 以上のセキュリティ グループのメンバーであること考慮、推移的なグループ メンバーシップとローカル グループ メンバーシップ)。管理者とユーザーの十分な数のセキュリティから削除します。グループ、ユーザー、ドメインに正常にログオンすることができます。

メモ 最大数のセキュリティ グループは、ユーザーがすることができます。メンバーの 1,024、ベスト ・ プラクティスとして、制限 1,015 にします。これそれを提供するため番号が確認そのトークンの生成は常に成功しますLSA によって挿入される最大 9 既知の Sid のためのスペース。

ケース 2: ログオンに失敗したユーザーが管理者であります。

場合ユーザーは、ログオンのため非常に失敗する多くのグループします。メンバーシップは、管理者、Administrators グループのメンバーです。管理者アカウントの資格情報 (を持つアカウントは、500 の既知相対識別子 [RID]) は、ドメイン コント ローラーを再起動する必要があります。選択して、 セーフ モード スタートアップ オプション (またはを選択すると、 セーフ モードとネットワーク スタートアップのオプション) をクリックし、ログオンする必要があります管理者アカウントを使用してドメイン コント ローラーにします。

マイクロソフトは、トークンの生成アルゴリズム、LSA の変更は、LSA は、管理者アカウントのアクセス トークンを作成できるように、推移的なグループの数に関係なく、管理者がログオンに使用または管理者アカウントのメンバーであるイントランジティブのグループ。1 つの場合のセーフ モード スタートアップ オプションの使用に作成されたアクセス トークン管理者アカウントにはすべての組み込みおよびすべてのドメインの Sid が含まれています。管理者アカウントのメンバーであるグローバル グループ。これらのグループ通常は、次に示します。
  • すべてのユーザー (S-1-1-0)
  • \Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated ユーザー (S-1-5-11)
  • ローカル (S-1-2-0)
  • Domain\Domain ユーザー(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domain\Domain Admins(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
管理者アカウントで作成されたアクセス トークン必要に応じて、次の Sid が含まれます。
  • BUILTIN\Pre Windows 2000 互換性のある Access(S-1-5-32-554)誰もがこのグループのメンバーである場合
  • NT AUTHORITY\This 組織 (S-1-5-15) 場合ドメインコント ローラーが Windows Server 2003 を実行しています。

注意

  • xxxxxxxx-yyyyyyyy-zzzzzzzz のドメイン コンポーネントを表しますSID。
  • NT authority \network SID の代わりに挿入できます。NT AUTHORITY\INTERACTIVE SID はログオンの種類に応じて。
  • 場合は、 セーフ モード [スタートアップのオプションを使用する、[Active Directory ユーザーとコンピューター スナップインのユーザー インターフェイスではありません。利用可能です。Windows Server 2003 では、管理者またはログオン可能性があります。選択して、 セーフ モードとネットワーク スタートアップ オプションです。でこのモードは、Active Directory ユーザーとコンピューター スナップインのユーザー インターフェイスでください。利用可能です。
いずれかを選択すると、管理者をログオンした後、セーフ モード起動オプションと、管理者の資格情報を使用してアカウント、管理者する必要がありますを特定してのメンバーシップを変更します。ログオン サービスの拒否攻撃の原因となったセキュリティ グループ。
この変更を行った後は、ユーザーが行える必要があります。期間は、ドメインへの等しい後に正常にログオンします。レプリケーションの潜在期間が経過しました。

詳細

次の例は、ドメイン ローカルセキュリティ グループ表示されますユーザーのトークンにはユーザーがログオンすると、ドメイン内のコンピューター。

この例では、Joe に属していることを前提とドメイン A と A\Chicago のドメインのユーザーのドメイン ローカル グループのメンバーです。ジョーです。また、ドメイン ローカル グループ B\Chicago のドメイン ユーザーのメンバー。ジョーは、ログオンするとき(たとえば、A\Workstation1 のドメイン)、ドメイン A に所属しているコンピューターには、トークンは Joe のコンピューター上で生成し、さらにトークンが含まれてすべてのユニバーサルおよびグローバル グループ メンバーシップに、SID のドメイン A\Chicago をユーザー。B\Chicago のドメインのユーザーの SID はために含まれません、Joe (ドメイン A\Workstation1 上) の記録はコンピューターがドメインに属しています。A.

同様に、Joe がドメイン B に属するコンピューターにログオンするとき(たとえば、ドメインの B\Workstation1)、トークン Joe ので生成されます、コンピューターとトークンを含む、すべてのユニバーサルおよびグローバルだけでなくB\Chicago のドメインのユーザーの SID はグループ メンバーシップ。ないが含まれます、A\Chicago のドメインのユーザーの SID はため (ドメインのジョーにログオンしているコンピューターB\Workstation1) をドメイン B に属する

ただし、Joe ログオンしたときに、ドメイン C (たとえば、ドメイン C\Workstation1) トークンに属するコンピュータージョーのすべての世界を含む、ログオンしているコンピューターで生成し、ジョーのユーザー アカウントをグローバル グループのメンバーシップ。ドメインの SID はどちらA\Chicago ユーザーと B\Chicago のドメインのユーザーの SID は、トークンが表示されます。ドメイン ローカル グループのメンバーでは、Joe というで異なりますJoe (ドメインの C\Workstation1) の記録のドメイン コンピューター。逆に、ジョーが所属しているいくつかのドメインのローカル グループのメンバーとドメイン C (たとえば、ドメインの C\Chicago ユーザー)、トークンの生成すべてのユニバーサルおよびグローバルだけでなく、コンピューター上のジョーが含まれますC\Chicago のドメインのユーザーの SID はグループ メンバーシップ。

プロパティ

文書番号: 328889 - 最終更新日: 2013年3月26日 - リビジョン: 6.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
キーワード:?
kbinfo kbmt KB328889 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:328889
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com