Utilizatorii care sunt membri ai grupurilor de mai mult 1,015 poate eșua conecta autentificare

Traduceri articole Traduceri articole
ID articol: 328889 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

Simptome

Când un utilizator încearcă să se conecteze la un computer utilizând un local contul de computer sau un cont de utilizator de domeniu, solicitarea de conecta poate eșua cu următorul mesaj de eroare:
conecta mesaj: Sistemul nu poate conecta datorită următoarei erori: în timpul o încercare conecta, utilizator context de securitate a acumulat prea multe ID-uri de securitate. Vă rugăm să încercați din nou sau de a consulta administrator de sistem.

Cauză

Această problemă apare când un utilizator (cu un utilizator administrativ cont sau un cont de utilizator non-administrativ) care este un membru al mai mult grupurilor de securitate 1,015 încearcă să facă conecta.

Când un utilizator face conecta la un calculator, autoritatea de securitate locală (LSA, o parte din Local de securitate Subsistemul de autoritate) generează un token de acces pentru utilizator de a reprezenta context de securitate al utilizatorului. Conține simbolul acces utilizator unic identificatorul de securitate (SID) și SIDs fiecare grup că utilizatorul este membru de, inclusiv grupuri tranzitive.

Notă Singura excepție de la acest comportament este că nu toate domeniu locale grupurilor de securitate utilizator este un membru va apărea în simbolul al utilizatorului. Singurul domeniu local de securitate grupuri care vor fi afișate (în simbolul al utilizatorului) sunt acele grupuri care utilizatorul este membru care, de asemenea, locuiesc în domeniul care conține contul de computer utilizator este de logare pe la. Pentru o exemplu care ilustrează acest proces, consultați secțiunea "Mai multe informații".

Din cauza unui sistem de limitare, câmpul care conține Sid-uri de utilizator Grupa de membru în simbolul acces poate conține maximum de 1024 SIDs. Dacă un utilizator este un membru al mai mult de 1024 grupuri de securitate, LSA nu poate crea un simbol acces de utilizator în timpul încercarea de conecta. Prin urmare, utilizatorul nu va fi capabil să facă conecta. În timpul de acces generație simbolică, în funcție de tipul de log efectuată, LSA introduce, de asemenea, până la 9 bine-cunoscut SIDs pe lângă SIDs pentru apartenența la grup a utilizatorului (evaluat transitively).

Adaosului de bine-cunoscut SIDS de LSA, dacă un utilizator este un membru al mai mult 1,015 (care este, 1024 minus 9) grupuri de securitate, total va fi mai mult decât limita de 1024 SID. Prin urmare, LSA nu va fi capabil de a crea un simbol acces utilizator în timpul încercarea de conecta. (Acest număr 1,015 include apartenen?e grup local de computer care utilizatorul este încercarea de a face conecta.) Deoarece utilizatorul nu poate fi autentificat, ce nu poate face conecta.

Rezoluție

Pentru a rezolva această problemă, utilizați una dintre următoarele metode, în funcție de situația dvs.

Cazul 1: Utilizator care întâmpină eroare de conecta nu este un administrator, dar administratorii pot cu succes conecta la computer sau la domeniu

Această soluție trebuie să fie efectuate de un administrator care are permisiuni pentru a modifica abonamentele Grupa că afectate utilizator este un membru de. Administratorul trebuie să modifice utilizatorului apartenența la grup pentru a vă asigura utilizatorul nu mai este membru al grupurilor de securitate mai mult 1,015 (luând în considerare apartenen?e grup tranzitive și apartenen?e grup local). După ce administratorul elimină utilizator dintr-un număr suficient de securitate grupuri, utilizatorul va putea apoi să cu succes face conecta la domeniu.

Notă Deși numărul maxim de securitate grupuri care un utilizator poate fi membru este 1024, ca o practică de cel mai bun, să restrângă numărul la 1,015. Acest lucru numărul face sigur că generație simbol întotdeauna reuși pentru că oferă spațiu pentru până la 9 SIDs bine-cunoscute care sunt introduse de LSA.

Cazul 2: Utilizatorul care nu reușește conecta este un administrator

Când utilizatorul a căror conecta nu reușește din cauza prea multe grup de membru este un membru al grup de Administratori, administrator care are acreditările pentru cont administrator (care este, un cont care are o bine-cunoscut Identificator relativă [RID] 500) trebuie să reporniți un controler de domeniu prin selectarea Modul de siguranță op?iune de pornire (sau selectând Modul de siguranță cu rețea op?iune de pornire) și apoi trebuie să faceți conecta controler de domeniu utilizând cont administrator.

Microsoft a modificat algoritm simbol generație în LSA astfel încât LSA poate crea un token de acces pentru cont administrator pentru ca administratorul poate face conecta indiferent de cât de multe grupuri tranzitive sau intranzitiv grupuri care cont administrator este un membru. Atunci când unul dintre se utilizează aceste opțiuni de pornire în siguranță model, simbol acces creat pentru cont administrator include SIDs toate Built-in și toate domeniu Grupuri globale care cont administrator este un membru. Aceste grupuri de obicei includ următoarele:
  • Toată lumea (S-1-1-0)
  • Încorporat\utilizatori (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated utilizatorilor (S-1-5-11)
  • LOCALE (S-1-2-0)
  • Domeniu\Domain utilizatori (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domeniu\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
simbol acces creat pentru cont administrator poate include opțional SIDs următoarele:
  • BUILTIN\Pre-Ferestre 2000 compatibil Access(S-1-5-32-554) Dacă toată lumea este un membru al acestui grup
  • NT AUTHORITY\This organizație (S-1-5-15) dacă domeniu controler se execută Windows Server 2003

Note

  • xxxxxxxx-yyyyyyyy-zzzzzzzz denotă componenta domeniului de SID.
  • NT AUTHORITY\NETWORK SID poate fi inserat în loc de NT AUTHORITY\INTERACTIVE SID, în funcție de tipul de conecta.
  • Dacă Modul de siguranță op?iune de pornire este folosit, Active Directory Users and Computers interfața cu utilizatorul de completare snap-in nu este disponibil. În Windows Server 2003, administratorul poate alternativ conecta prin selectarea Modul de siguranță cu rețea op?iune de pornire; în acest mod, interfața cu utilizatorul de completare snap-in Active Directory Users and Computers este disponibil.
După ce un administrator a înregistrat selectând una dintre Op?iuni de pornire în siguranță model și utilizând acreditările de Administrator cont, administratorul trebuie să apoi identifica și modifica apartenen?a grupurilor de securitate care a cauzat refuzul de logon serviciu.
După această modificare este făcută, utilizatorii ar trebui să fie capabil să faceți conecta cu succes, după o perioadă de marcă de timp care este egal cu domeniu Replication latență s-a scurs.

Informații suplimentare

Următorul exemplu ilustrează ce domeniu locale grupurilor de securitate va apărea în simbolul al utilizatorului, atunci când utilizatorul face conecta la un calculator într-un domeniu.

În acest exemplu, presupune că Joe aparține Domeniu A și este un membru al unui grup local de domeniu domeniu A\Chicago utilizatori. Joe este de asemenea, un membru al unui grup local de domeniu domeniu B\Chicago utilizatori. Când Joe busteni un computer care aparține domeniului A (de exemplu, domeniu A\Workstation1), o simbolul este generat pentru Joe pe computer, și token-ul conține, în plus pentru toate abonamentele universale și global grup, SID pentru domeniu A\Chicago Utilizatorii. Acesta nu va conține SID pentru utilizatorii de B\Chicago domeniu deoarece calculator unde Joe conectat (domeniu A\Workstation1) face parte din domeniu A.

În mod similar, când Joe busteni un computer care aparține domeniului b (de exemplu, domeniu B\Workstation1), un simbol este generat pentru Joe pe computer și token-ul conține, pe lângă toate universale și globale apartenența la grup, SID pentru utilizatorii B\Chicago domeniu; nu va conține SID pentru utilizatorii de A\Chicago domeniu deoarece computerul unde Joe conectat (domeniu B\Workstation1) aparține domeniului B.

Cu toate acestea, când Joe jurnalele de la un computer care aparține domeniului C (de exemplu, domeniu C\Workstation1), un simbol este generat pentru Joe pe conecta computer care conține toate universale și Global grupul abonamentele pentru contul de utilizator lui Joe. Nici SID pentru domeniu A\Chicago utilizatori nici SID pentru utilizatorii de B\Chicago domeniu apare în simbolul deoarece grupurile locale de domeniu că Joe este membru sunt într-un alt domeniu decât computerul unde Joe conectat (domeniu C\Workstation1). Invers, dacă Joe au fost membru unele domeniu grupului local de care aparține C (de exemplu, domeniul C\Chicago utilizatori), token-ul generat pentru un domeniu Joe pe calculator să conțină, pe lângă toate universale și globale apartenența la grup, SID pentru utilizatorii de C\Chicago domeniu.

Proprietă?i

ID articol: 328889 - Ultima examinare: 26 martie 2013 - Revizie: 1.0
Se aplică la:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Cuvinte cheie: 
kbinfo kbmt KB328889 KbMtro
Traducere automată
IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât și articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuși, un articol tradus automat nu este întotdeauna perfect. Acesta poate conține greșeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greșeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conținutului sau de utilizarea traducerii necorespunzătoare de către clienții nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 328889

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com