1,015 이상 그룹의 구성원 인 사용자는 로그온 인증이 실패할 수 있다

기술 자료 번역 기술 자료 번역
기술 자료: 328889 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

현상

사용자 로컬을 사용 하 여 컴퓨터에 로그온 하려고 할 때 컴퓨터 계정 또는 도메인 사용자 계정을 로그온 요청이 실패할 수 있습니다와 다음 오류 메시지:
로그온 메시지: 시스템이 수 없습니다. 다음 오류 때문에 로그온: 로그온 시도, 사용자의 시 보안 컨텍스트가 너무 많은 보안 Id가 쌓 였습니다. 다시 시도 하거나 참조 하십시오 시스템 관리자에 게 있습니다.

원인

사용자 관리 사용자 (사용 하는 경우이 문제가 발생 계정 또는 관리자가 아닌 사용자 계정)의 구성원 인 이상 1,015 보안 그룹에 로그온 하려고 합니다.

사용자가 로그온 할 때에 컴퓨터에서 로컬 보안 기관 (LSA, 로컬 보안 부분 기관 하위 시스템)는 사용자가 나타내는 액세스 토큰을 생성 합니다 사용자의 보안 컨텍스트입니다. 사용자의 액세스 토큰을 들어 고유 보안 식별자 (SID) 및 사용자가 구성원 인지 모든 그룹의 Sid 전이적 그룹을 포함 하 여.

참고 즉 유일한 예외는이 동작이 모든 도메인 로컬 보안 그룹의 멤버는 사용자가 사용자의 토큰에 표시 됩니다. (사용자 토큰) 표시 되는 유일한 도메인 로컬 보안 그룹 사용자는 소속도 있는지 해당 그룹 도메인에 있는 됩니다. 사용자가 로그온 하는 컴퓨터 계정을 포함 합니다. 에 이 프로세스를 보여 주는 예제는 "추가 정보" 절을 참조 하십시오.

필드는 시스템 제한으로 인해 포함 된 Sid 액세스 토큰에는 사용자의 그룹 구성원의 최대를 포함할 수 있습니다. 1, 024 Sid입니다. 사용자 이상의 1024 보안 그룹의 구성원 인 경우는 LSA 로그온 시도 시 사용자의 액세스 토큰을 만들 수 없습니다. 따라서 사용자 로그온 할 수 없습니다. 액세스 토큰을 생성 하는 동안 수행 중인 로그온 유형에 따라 최대 9도 LSA 삽입 잘 알려진 Sid에 대 한 사용자의 그룹 구성원 Sid 이외에 (평가 전이적으로).

잘 알려진 SID 추가 하는 때문에 LSA에 의해 사용자 1,015 (9 뺀 1024) 이상의 멤버인 경우 보안 그룹의 총 수 1, 024 SID 제한 보다 더 많은입니다. 따라서 LSA 중 사용자의 액세스 토큰을 만들 수 있는 로그온 시도 합니다. (이 1,015 로컬 그룹 구성원 자격을 포함 합니다 사용자가 로그온 하려고 하는 컴퓨터입니다.) 사용자 수 없기 때문에 인증, 로그온 수 없습니다.

해결 방법

이 문제를 해결 하려면 다음 방법 중 하나를 사용, 상황에 따라.

사례 1: 누가 로그온 오류가 발생 하는 사용자, 관리자가 아닌 있지만 관리자가 성공적으로 컴퓨터 또는 도메인에 로그온 할 수 있습니다.

이 해상도 가진 관리자가 수행 해야 영향을 받은 사용자 구성원 인지 그룹 구성원 자격을 수정할 수 있는 권한이 입니다. 관리자가 있는지 확인 하는 사용자의 그룹 구성원 수정 해야 사용자는 더 이상 1,015 개 이상의 보안 그룹 (기록의 멤버 임을 고려는 전이적 그룹 구성원 및 로컬 그룹 구성원). 후 관리자는 많은 보안에서 사용자를 제거 그룹을 사용자 다음 성공적으로 도메인에 로그온 할 수 있습니다.

참고 최대 보안 그룹이 있지만 사용자 수 있습니다. 멤버의 모범 사례 1024, 1,015 수 제한. 이 제공 하기 때문에 번호 사용 하면 있는지 해당 토큰 생성 항상 성공 합니다. LSA에 의해 삽입 된 최대 9 잘 알려진 Sid에 대 한 공간입니다.

사례 2: 로그온 실패 한 사용자를 관리자가

사용자는 로그온 때문에 너무 실패 여러 그룹화 하는 경우 구성원 관리자 그룹을 가진 관리자가 소속 된 관리자 계정의 자격 증명 (이 계정, 즉 한 잘 알려진 RID 상대 식별자 [] 500) 도메인 컨트롤러를 다시 시작 해야 선택 하는 안전 모드 시작 옵션 (선택 하는 안전 모드 (네트워킹 사용) 시작 옵션) 및 다음 다시 로그온 해야 관리자 계정을 사용 하는 도메인 컨트롤러에 있습니다.

Microsoft LSA에 토큰 생성 알고리즘이 수정 되었습니다 있도록 있는 LSA 관리자 계정의 액세스 토큰을 만들 수 있도록 합니다 관리자 로그온에 관계 없이 얼마나 많은 전이적 그룹 또는 관리자 계정의 구성원이 자동사 그룹. 한 때의 이러한 안전 모드 시작 옵션을 사용 하 고에 대해 만든 액세스-토큰 관리자 계정은 모든 내장 및 모든 도메인의 Sid가 포함 됩니다. 관리자 계정의 구성원이 글로벌 그룹입니다. 이러한 그룹 일반적으로 다음과 같습니다.
  • 모든 사람 (S-1-1-0)
  • 빌트인 (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated 사용자 (S-1-5-11)
  • 로컬 (S-1-2-0)
  • 도메인\Domain 사용자 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • 도메인\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
관리자 계정에 대해 만든 액세스-토큰 선택적으로 다음 Sid 포함 될 수 있습니다.
  • BUILTIN\Pre Windows 2000 호환 Access(S-1-5-32-554) 모든 사람들이이 그룹의 구성원 인 경우
  • (S-1-5-15) NT AUTHORITY\This 조직의 경우 도메인 컨트롤러가 Windows Server 2003을 실행 중입니다.

노트

  • xxxxxxxx-yyyyyyyy-zzzzzzzz의 도메인 구성 요소를 나타냅니다. SID입니다.
  • NT AUTHORITY\NETWORK SID 대신 삽입 될 수 있습니다. 로그온 유형에 따라 표시 되는 NT AUTHORITY\INTERACTIVE SID입니다.
  • 경우는 안전 모드 시작 옵션 사용 Active Directory 사용자 및 컴퓨터 스냅인에서 사용자 인터페이스가 아닙니다. 사용할 수 있습니다. Windows Server 2003에서 관리자 또는 로그온 할 수 있습니다. 선택 하는 안전 모드 (네트워킹 사용) 시작 옵션을. 에서 이 모드에서는 Active Directory 사용자 및 컴퓨터 스냅인에서 사용자 인터페이스는 사용할 수 있습니다.
관리자 중 하나를 선택 하 여 로그온 한 후에 안전 모드 시작 옵션 관리자의 자격 증명을 사용 하 여 계정 관리자 해야 다음 식별 하 고 구성원을 수정 합니다 로그온 서비스 거부가 발생할 보안 그룹입니다.
이렇게 변경 하면 사용자가 액세스할 수 있어야 도메인에 동일한 된 기간 후 성공적으로 로그온 복제 대기 시간이 경과 되었습니다.

추가 정보

다음 예제는 도메인 로컬 보안 그룹 됩니다 나타나지 사용자의 토큰에는 사용자가 로그온 하는 경우는 도메인에 있는 컴퓨터입니다.

이 예제에서는 Joe가 속한 가정 도메인 A와 도메인 A\Chicago 사용자 도메인 로컬 그룹의 구성원입니다. Joe입니다. 또한 B\Chicago 사용자 도메인의 도메인 로컬 그룹의 구성원입니다. Joe가 로그온 할 때 (예: 도메인 A\Workstation1) A 도메인에 속한 컴퓨터는 토큰에 대 한 Joe 컴퓨터에 생성 되 고 또한 토큰 포함 모든 유니버설 및 글로벌 그룹 구성원, 도메인 A\Chicago SID 사용자가 합니다. 때문에 B\Chicago 사용자 도메인 SID 포함 됩니다 하지는 Joe (도메인 A\Workstation1)에 기록 하는 위치 하는 컴퓨터가 도메인에 속해 A.

마찬가지로 Joe 도메인 B에 속한 컴퓨터에 로그온 할 때 (예: 도메인 B\Workstation1) 토큰에 대 한 Joe 생성 되며는 컴퓨터 및 토큰 포함, 모든 유니버설 및 글로벌 외에 그룹 구성원, 도메인 B\Chicago 사용자의 SID. 포함 될 수 있는 도메인 A\Chicago 사용자 SID 때문에 김 기록 (도메인에 있는 컴퓨터 B\workstation1의 경우) 도메인 B에 속한

그러나 Joe 로그온 때에 컴퓨터가 속한 도메인 C (예를 들어 도메인 C\Workstation1) 토큰 Joe에 대 한 모든 유니버설 포함 된 로그온 컴퓨터에 생성 되 고 Joe's 사용자 계정에 대 한 글로벌 그룹 구성원 자격입니다. 두 도메인에 대 한 SID A\Chicago 사용자 또는 도메인 B\Chicago 사용자의 SID는 토큰에 나타납니다. 도메인 로컬 그룹의 구성원이 해당 Joe 이므로 다른에 있습니다. Joe (도메인 C\Workstation1)에 기록 하는 위치 하는 도메인 컴퓨터 보다. 반대로, Joe가 속한 일부 도메인 로컬 그룹 구성원 이었던 경우 도메인 C (예를 들어, 도메인 C\Chicago 사용자)에 대해 생성 된 토큰 Joe의 컴퓨터에서 모든 유니버설 및 글로벌 외에도 포함 됩니다. 그룹 구성원, 도메인 C\Chicago 사용자에 대 한 SID입니다.

속성

기술 자료: 328889 - 마지막 검토: 2013년 3월 26일 화요일 - 수정: 1.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
키워드:?
kbinfo kbmt KB328889 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
이 문서의 영문 버전 보기:328889

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com