Os usuários que são membros dos grupos mais de 1,015 poderão falhar a autenticação de logon

Traduções deste artigo Traduções deste artigo
ID do artigo: 328889 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Quando um usuário tenta fazer logon em um computador com um local conta de computador ou uma conta de usuário de domínio, a solicitação de logon pode falhar com a mensagem de erro seguinte:
Mensagem de logon: O sistema não fazer logon devido ao seguinte erro: durante uma tentativa de logon, o usuário contexto de segurança acumulou muitas identificações de segurança. Tente novamente ou consulte o administrador do sistema.

Causa

Esse problema ocorre quando um usuário (com um usuário administrativo conta ou uma conta de usuário não administrativo) que é um membro de mais de grupos de segurança 1,015 tenta fazer logon.

Quando um usuário faz logon em um computador, a autoridade de segurança Local (LSA, uma parte da segurança Local Subsistema de autoridade) gera um token de acesso do usuário representar o contexto de segurança do usuário. O token de acesso contém o usuário exclusivo Identificador de segurança (SID) e os SIDs de todos os grupos que o usuário é membro do, incluindo grupos transitivos.

Observação A única exceção para esse comportamento é que nem todos os locais de domínio grupos de segurança que o usuário é um membro da aparecerá no token do usuário. Os únicos grupos de segurança local de domínio aparecerão (no token do usuário) são esses grupos que o usuário é um membro do que também residem no domínio que contém a conta de computador que o usuário está se conectando. Para um exemplo que ilustra esse processo, consulte a seção "Mais informações".

Devido a uma limitação do sistema, o campo que contém o SIDs de membros do grupo do usuário no token de acesso pode conter no máximo 1.024 SIDs. Se um usuário for um membro de mais de 1.024 grupos de segurança, o LSA não pode criar um token de acesso do usuário durante a tentativa de logon. Portanto, o usuário não poderá fazer logon. Durante a geração de token de acesso Dependendo do tipo de logon que está sendo executada, a LSA também insere até 9 SIDs conhecidos, além de SIDs para membros do grupo do usuário (avaliada temporariamente).

Devido a adição de SIDS conhecidos pela LSA, se um usuário for um membro de mais de 1,015 (ou seja, 1.024 menos 9) grupos de segurança, o total será mais do que o limite de SID 1.024. Portanto, a LSA não será capaz de criar um token de acesso do usuário durante a tentativa de logon. (Esse número 1,015 inclui membros do grupo local de computador que o usuário está tentando fazer logon.) Porque o usuário não pode ser autenticado, não consegue fazer logon.

Resolução

Para resolver esse problema, use um dos seguintes métodos, Dependendo da situação.

Caso 1: O usuário que encontrou o erro de logon não é um administrador, mas os administradores podem fazer logon no computador ou domínio

Essa resolução deve ser realizada por um administrador que tenha permissões para modificar os membros do grupo usuários de impacto é um membro de. O administrador deve modificar participações em grupos do usuário para certificar-se que o usuário não é mais um membro dos grupos de segurança mais de 1,015 (levando em conta os membros do grupo transitiva e os membros do grupo local). Após o administrador remove o usuário de um número suficiente de segurança grupos, o usuário será capaz de fazer logon com êxito no domínio.

Observação Embora o número máximo de segurança grupos que um usuário pode ser um membro de 1.024, como uma prática recomendada, restrinja o número de 1,015. Isso número torna-se de que essa geração de token sempre terá êxito porque ele fornece espaço para até 9 SIDs conhecidos que são inseridos pelo LSA.

Caso 2: O usuário que falha de logon é um administrador

Quando o usuário cujo logon falha porque muito muitos grupo membros é um membro do grupo Administradores, um administrador que tenha as credenciais da conta de administrador (ou seja, uma conta que tenha um conhecido identificador relativo [RID] de 500) deve reiniciar um controlador de domínio selecionando o Modo de segurança opção de inicialização (ou selecionando o Modo seguro com redes opção de inicialização) e, em seguida, faça logon para o controlador de domínio usando a conta de administrador.

Microsoft modificou o algoritmo de geração de token na LSA para que o LSA pode criar um token de acesso para a conta de administrador para que o administrador pode fazer logon, independentemente de quantos grupos transitivos ou intransitivos grupos que a conta administrador é um membro de. Quando um dos Essas opções de inicialização modo de segurança é usado, o token de acesso que é criado para a conta de administrador inclui os SIDs de todos os internos e domínio de todos os Grupos globais que a conta administrador é um membro de. Esses grupos normalmente incluem o seguinte:
  • Todos (S-1-1-0)
  • BUILTIN \ usuários (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT\INTERATIVO (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • LOCAL (S-1-2-0)
  • Domínio\Domain usuários (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domínio\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
O token de acesso que é criado para a conta de administrador pode, opcionalmente, incluir os SIDs a seguir:
  • BUILTIN\Pre-Windows 2000 compatível com Access(S-1-5-32-554) Se todos é membro deste grupo
  • Organização de AUTHORITY\This do NT (S-1-5-15) se o domínio controlador estiver executando o Windows Server 2003

Observações

  • XXXXXXXX-yyyyyyyy-zzzzzzzz indica o componente de domínio do o SID.
  • O NT AUTHORITY\NETWORK SID pode ser inserido em vez de NT NT\Interativo SID, dependendo do tipo de logon.
  • Se o Modo de segurança opção de inicialização for usada, o Active Directory Users e computadores snap-in de interface do usuário não é disponível. No Windows Server 2003, o administrador também pode fazer logon selecionando o Modo seguro com redes opção de inicialização; em Nesse modo, a interface do usuário do snap-in Active Directory Users and Computers é disponível.
Depois que um administrador faz logon, selecionando uma do Opções de inicialização do modo de segurança e usando as credenciais do administrador conta, o administrador deve identificar e modificar a participação no grupos de segurança que causou a negação de serviço de logon.
Após essa alteração é feita, os usuários devem ser capazes de fazer logon com êxito após um período de tempo que é igual do domínio latência de replicação tenha decorrido.

Mais Informações

O exemplo a seguir ilustra o domínio local grupos de segurança aparecerá no token do usuário quando o usuário fizer logon em um computador em um domínio.

Neste exemplo, vamos supor que Joe pertence a Domínio A e é um membro de um grupo local usuários do domínio A\Chicago. Joe é também é um membro de um grupo local usuários do domínio B\Chicago. Quando Jorge faz logon em um computador que pertence ao domínio (por exemplo, A\Workstation1 de domínio), um token é gerado para José no computador e o token contém, além disso para todos os membros do grupo universal e global, o SID do domínio A\Chicago Usuários. Ele não conterá o SID para usuários do domínio B\Chicago porque o computador em que Jorge conectado (domínio A\Workstation1) pertence ao domínio .

Da mesma forma, quando Jorge faz logon em um computador que pertence ao domínio b (por exemplo, B\Workstation1 de domínio), um token é gerado para Joe sobre o computador e o token contém, além de todos os universais e globais membros do grupo, o SID para usuários do domínio B\Chicago; não conterá a SID para usuários do domínio A\Chicago porque o computador em que Jorge (domínio de logon B\Workstation1) pertence ao domínio B.

No entanto, quando Joe faz logon em um computador que pertença ao domínio C (por exemplo, C\Workstation1 de domínio), um token é gerado para José no computador de logon que contém todos os universal e membros do grupo global para a conta de usuário do João. Nem o SID do domínio A\Chicago usuários nem o SID para usuários do domínio B\Chicago aparece no token como os grupos locais do domínio que Joe é um membro da estão em um local diferente domínio do computador em que Jorge conectado (domínio C\Workstation1). Por outro lado, se um membro de algum grupo local de domínio que pertence a Joe Domínio C (por exemplo, C\Chicago Admins), o token que é gerado para Joe no computador deve conter, além de todos os universais e globais membros do grupo, o SID para usuários do domínio C\Chicago.

Propriedades

ID do artigo: 328889 - Última revisão: terça-feira, 26 de março de 2013 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Palavras-chave: 
kbinfo kbmt KB328889 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 328889

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com