Iniciar Sess�o

Select the product you need help with

Os usu�rios que s�o membros dos grupos mais de 1,015 poder�o falhar a autentica��o de logon

ID do artigo: 328889 - Exibir os produtos aos quais esse artigo se aplica.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Recolher tudo

Sintomas

Quando um usu�rio tenta fazer logon em um computador com um local conta de computador ou uma conta de usu�rio de dom�nio, a solicita��o de logon pode falhar com a mensagem de erro seguinte:

Mensagem de logon: O sistema n�o fazer logon devido ao seguinte erro: durante uma tentativa de logon, o usu�rio contexto de seguran�a acumulou muitas identifica��es de seguran�a. Tente novamente ou consulte o administrador do sistema.

Voltar para o in�cio | Submeter coment�rios

Causa

Esse problema ocorre quando um usu�rio (com um usu�rio administrativo conta ou uma conta de usu�rio n�o administrativo) que � um membro de mais de grupos de seguran�a 1,015 tenta fazer logon.

Quando um usu�rio faz logon em um computador, a autoridade de seguran�a Local (LSA, uma parte da seguran�a Local Subsistema de autoridade) gera um token de acesso do usu�rio representar o contexto de seguran�a do usu�rio. O token de acesso cont�m o usu�rio exclusivo Identificador de seguran�a (SID) e os SIDs de todos os grupos que o usu�rio � membro do, incluindo grupos transitivos.

Observa��o A �nica exce��o para esse comportamento � que nem todos os locais de dom�nio grupos de seguran�a que o usu�rio � um membro da aparecer� no token do usu�rio. Os �nicos grupos de seguran�a local de dom�nio aparecer�o (no token do usu�rio) s�o esses grupos que o usu�rio � um membro do que tamb�m residem no dom�nio que cont�m a conta de computador que o usu�rio est� se conectando. Para um exemplo que ilustra esse processo, consulte a se��o "Mais informa��es".

Devido a uma limita��o do sistema, o campo que cont�m o SIDs de membros do grupo do usu�rio no token de acesso pode conter no m�ximo 1.024 SIDs. Se um usu�rio for um membro de mais de 1.024 grupos de seguran�a, o LSA n�o pode criar um token de acesso do usu�rio durante a tentativa de logon. Portanto, o usu�rio n�o poder� fazer logon. Durante a gera��o de token de acesso Dependendo do tipo de logon que est� sendo executada, a LSA tamb�m insere at� 9 SIDs conhecidos, al�m de SIDs para membros do grupo do usu�rio (avaliada temporariamente).

Devido a adi��o de SIDS conhecidos pela LSA, se um usu�rio for um membro de mais de 1,015 (ou seja, 1.024 menos 9) grupos de seguran�a, o total ser� mais do que o limite de SID 1.024. Portanto, a LSA n�o ser� capaz de criar um token de acesso do usu�rio durante a tentativa de logon. (Esse n�mero 1,015 inclui membros do grupo local de computador que o usu�rio est� tentando fazer logon.) Porque o usu�rio n�o pode ser autenticado, n�o consegue fazer logon.

Voltar para o in�cio | Submeter coment�rios

Resolu��o

Para resolver esse problema, use um dos seguintes m�todos, Dependendo da situa��o.

Caso 1: O usu�rio que encontrou o erro de logon n�o � um administrador, mas os administradores podem fazer logon no computador ou dom�nio

Essa resolu��o deve ser realizada por um administrador que tenha permiss�es para modificar os membros do grupo usu�rios de impacto � um membro de. O administrador deve modificar participa��es em grupos do usu�rio para certificar-se que o usu�rio n�o � mais um membro dos grupos de seguran�a mais de 1,015 (levando em conta os membros do grupo transitiva e os membros do grupo local). Ap�s o administrador remove o usu�rio de um n�mero suficiente de seguran�a grupos, o usu�rio ser� capaz de fazer logon com �xito no dom�nio.

Observa��o Embora o n�mero m�ximo de seguran�a grupos que um usu�rio pode ser um membro de 1.024, como uma pr�tica recomendada, restrinja o n�mero de 1,015. Isso n�mero torna-se de que essa gera��o de token sempre ter� �xito porque ele fornece espa�o para at� 9 SIDs conhecidos que s�o inseridos pelo LSA.

Caso 2: O usu�rio que falha de logon � um administrador

Quando o usu�rio cujo logon falha porque muito muitos grupo membros � um membro do grupo Administradores, um administrador que tenha as credenciais da conta de administrador (ou seja, uma conta que tenha um conhecido identificador relativo [RID] de 500) deve reiniciar um controlador de dom�nio selecionando o Modo de seguran�a op��o de inicializa��o (ou selecionando o Modo seguro com redes op��o de inicializa��o) e, em seguida, fa�a logon para o controlador de dom�nio usando a conta de administrador.

Microsoft modificou o algoritmo de gera��o de token na LSA para que o LSA pode criar um token de acesso para a conta de administrador para que o administrador pode fazer logon, independentemente de quantos grupos transitivos ou intransitivos grupos que a conta administrador � um membro de. Quando um dos Essas op��es de inicializa��o modo de seguran�a � usado, o token de acesso que � criado para a conta de administrador inclui os SIDs de todos os internos e dom�nio de todos os Grupos globais que a conta administrador � um membro de. Esses grupos normalmente incluem o seguinte:

Todos (S-1-1-0)
BUILTIN \ usu�rios (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT\INTERATIVO (S-1-5-4)
NT AUTHORITY\Authenticated Users (S-1-5-11)
LOCAL (S-1-2-0)
Dom�nio\Domain usu�rios (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Dom�nio\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)

O token de acesso que � criado para a conta de administrador pode, opcionalmente, incluir os SIDs a seguir:

BUILTIN\Pre-Windows 2000 compat�vel com Access(S-1-5-32-554) Se todos � membro deste grupo
Organiza��o de AUTHORITY\This do NT (S-1-5-15) se o dom�nio controlador estiver executando o Windows Server 2003

Observa��es

XXXXXXXX-yyyyyyyy-zzzzzzzz indica o componente de dom�nio do o SID.
O NT AUTHORITY\NETWORK SID pode ser inserido em vez de NT NT\Interativo SID, dependendo do tipo de logon.
Se o Modo de seguran�a op��o de inicializa��o for usada, o Active Directory Users e computadores snap-in de interface do usu�rio n�o � dispon�vel. No Windows Server 2003, o administrador tamb�m pode fazer logon selecionando o Modo seguro com redes op��o de inicializa��o; em Nesse modo, a interface do usu�rio do snap-in Active Directory Users and Computers � dispon�vel.

Depois que um administrador faz logon, selecionando uma do Op��es de inicializa��o do modo de seguran�a e usando as credenciais do administrador conta, o administrador deve identificar e modificar a participa��o no grupos de seguran�a que causou a nega��o de servi�o de logon.

Voltar para o in�cio | Submeter coment�rios

Ap�s essa altera��o � feita, os usu�rios devem ser capazes de fazer logon com �xito ap�s um per�odo de tempo que � igual do dom�nio lat�ncia de replica��o tenha decorrido.

Voltar para o in�cio | Submeter coment�rios

Mais Informa��es

O exemplo a seguir ilustra o dom�nio local grupos de seguran�a aparecer� no token do usu�rio quando o usu�rio fizer logon em um computador em um dom�nio.

Neste exemplo, vamos supor que Joe pertence a Dom�nio A e � um membro de um grupo local usu�rios do dom�nio A\Chicago. Joe � tamb�m � um membro de um grupo local usu�rios do dom�nio B\Chicago. Quando Jorge faz logon em um computador que pertence ao dom�nio (por exemplo, A\Workstation1 de dom�nio), um token � gerado para Jos� no computador e o token cont�m, al�m disso para todos os membros do grupo universal e global, o SID do dom�nio A\Chicago Usu�rios. Ele n�o conter� o SID para usu�rios do dom�nio B\Chicago porque o computador em que Jorge conectado (dom�nio A\Workstation1) pertence ao dom�nio .

Da mesma forma, quando Jorge faz logon em um computador que pertence ao dom�nio b (por exemplo, B\Workstation1 de dom�nio), um token � gerado para Joe sobre o computador e o token cont�m, al�m de todos os universais e globais membros do grupo, o SID para usu�rios do dom�nio B\Chicago; n�o conter� a SID para usu�rios do dom�nio A\Chicago porque o computador em que Jorge (dom�nio de logon B\Workstation1) pertence ao dom�nio B.

No entanto, quando Joe faz logon em um computador que perten�a ao dom�nio C (por exemplo, C\Workstation1 de dom�nio), um token � gerado para Jos� no computador de logon que cont�m todos os universal e membros do grupo global para a conta de usu�rio do Jo�o. Nem o SID do dom�nio A\Chicago usu�rios nem o SID para usu�rios do dom�nio B\Chicago aparece no token como os grupos locais do dom�nio que Joe � um membro da est�o em um local diferente dom�nio do computador em que Jorge conectado (dom�nio C\Workstation1). Por outro lado, se um membro de algum grupo local de dom�nio que pertence a Joe Dom�nio C (por exemplo, C\Chicago Admins), o token que � gerado para Joe no computador deve conter, al�m de todos os universais e globais membros do grupo, o SID para usu�rios do dom�nio C\Chicago.

Voltar para o in�cio | Submeter coment�rios

Propriedades

ID do artigo: 328889 - �ltima revis�o: ter�a-feira, 26 de mar�o de 2013 - Revis�o: 1.0

A informa��o contida neste artigo aplica-se a:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Starter
Windows Vista Ultimate
Windows Server 2008 Datacenter without Hyper-V
Windows Server 2008 Enterprise without Hyper-V
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard without Hyper-V
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Datacenter without Hyper-V
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Enterprise without Hyper-V
Windows Server 2008 R2 Foundation
Windows Server 2008 R2 Standard
Windows Server 2008 R2 Standard without Hyper-V
Windows 7 Enterprise
Windows 7 Enterprise N
Windows 7 Home Premium N
Windows 7 Professional N
Windows 7 Starter N
Windows 7 Ultimate N
Windows Server 2012 Datacenter
Windows Server 2012 Essentials
Windows Server 2012 Foundation
Windows Server 2012 Standard
Windows 8 Enterprise
Windows 8 Enterprise N
Windows 8 N
Windows 8 Pro
Windows 8 Professional N

kbinfo kbmt KB328889 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 328889

(http://support.microsoft.com/kb/328889/en-us/ )

Voltar para o in�cio | Submeter coment�rios