Пользователи, являющиеся членами групп более чем 1,015 может произойти сбой проверки подлинности при входе

Переводы статьи Переводы статьи
Код статьи: 328889 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

Когда пользователь пытается войти в систему на компьютере, с помощью локального учетная запись компьютера или учетной записи пользователя домена, запрос на вход в систему не удастся с следующее сообщение об ошибке:
Сообщение входа в систему: Не удается системы войти в систему из-за следующей ошибки: во время попытки входа в систему, пользователь было использовано слишком много кодов безопасности. Повторите попытку или обратитесь к системный администратор.

Причина

Эта проблема возникает, когда пользователь (с правами администратора учетная запись или учетную запись пользователя без прав администратора), является членом более чем 1,015 групп безопасности пытается войти в систему.

При входе пользователя в систему компьютер, локальный администратор безопасности (LSA, является частью локальной безопасности Подсистема центра) создает маркер доступа пользователя для представления контекст безопасности пользователя. Маркер доступа содержит пользователя уникальный Идентификатор безопасности (SID) и ИД безопасности каждой группы, он входит включая транзитивные группы.

Примечание Единственным исключением из этого поведения в том, что не все локального домена группы безопасности, членом которых является пользователь появится в маркер пользователя. Только локальных групп безопасности домена, которые будут отображаться (в маркере пользователя) являются те группы, пользователь является членом, также находятся в домене содержащий вход пользователя в учетную запись компьютера. Для пример, иллюстрирующий процесс, обратитесь к разделу «Дополнительная информация».

Из-за ограничений системы, поля, содержащего ИД безопасности пользователя членства в группе в маркере доступа может содержать не более от 1 024 ИД безопасности. Если пользователь является членом более 1 024 групп безопасности LSA не удалось создать маркер доступа для пользователя во время попытки входа в систему. Таким образом пользователь не сможет войти в систему. Во время создания маркера доступа, в зависимости от типа выполняемого входа в систему LSA также вставляет до 9 хорошо известные идентификаторы безопасности в дополнение к идентификаторы SID для пользователя членства (оценка транзитивно.)

Из-за добавления хорошо известные идентификаторы безопасности с LSA Если пользователь является членом более чем 1,015 (то есть 1024 минус 9) группы безопасности всего будет превышать ограничение 1 024 SID. Таким образом, локальный администратор безопасности не сможет создать маркер доступа для пользователя во время Попытка входа в систему. (1,015 Учитываются локальных группах компьютер, пользователь пытается войти в систему.) Так как пользователь не может быть проверку подлинности, они не могут войти в систему.

Решение

Для решения этой проблемы используйте один из следующих способов в зависимости от конкретной ситуации.

Случай 1: Пользователь, возникает ошибка входа в систему, не является администратором, но администраторы могут успешно подключиться к компьютеру или домену

Это разрешение должны быть выполнены администратором, имеющим разрешения на изменение группах, что риск входит пользователь о. Администратор должен изменить членство в группах пользователя Убедитесь, что что пользователь больше не является членом более чем 1,015 групп безопасности (ведения в счет транзитивное членство в группах и локальных группах). После администратор удаляет пользователя из достаточное количество безопасности группы, пользователь будет возможность успешного входа в домен.

Примечание Несмотря на то, что максимальное количество безопасности группы, пользователь может быть член 1 024, как рекомендации, ограничить число 1,015. Это номер делает убедиться, что маркер поколения всегда будет успешным, так как он предоставляет места для до 9 хорошо известные идентификаторы SID, который вставлен Локальным администратором безопасности.

Случай 2: Сбой входа в систему пользователь является администратором

Когда пользователь, которого неудачно из-за слишком многие группы в группах является членом группы «Администраторы», администратор, имеющий учетные данные для учетной записи администратора (то есть с учетной записью известный относительный идентификатор [RID] 500), необходимо перезагрузить контроллер домена выбрав Безопасный режим параметр запуска (или выбрав Безопасный режим с загрузкой сетевых драйверов вариант загрузки) и необходимо войти в систему контроллер домена с учетной записью администратора.

Корпорация Майкрософт изменила алгоритм создания маркера в LSA таким образом, Локальный администратор безопасности можно создать маркер доступа администратора, Администратор может войти в систему независимо от того, сколько транзитивных групп или и нетранзитивное групп, членом которых является учетная запись администратора. Когда один из Эти параметры загрузки безопасного режима используется, маркер доступа, для которого создается учетная запись администратора содержит идентификаторы безопасности все встроенные и всех доменов Глобальные группы, членом которых является учетная запись администратора. Эти группы обычно включают:
  • «Все» (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • ПРОШЕДШИХ (S-1-5-4)
  • Прошедшие проверку (S-1-5-11)
  • ЛОКАЛЬНАЯ (S-1-2-0)
  • Домен\Администраторы домена пользователей (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Домен\Администраторы домена (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Маркер доступа, для которого создается учетная запись администратора При необходимости могут содержаться следующие коды безопасности:
  • Совместимость Access(S-1-5-32-554) BUILTIN\Pre Windows 2000 Если «все» является членом этой группы
  • Организация AUTHORITY\This NT (S-1-5-15) Если домен контроллер работает под управлением Windows Server 2003

Заметки

  • XXXXXXXX-yyyyyyyy-zzzzzzzz обозначает, что компонент домена ИД безопасности.
  • ИД безопасности NT AUTHORITY\NETWORK могут вставляться вместо SID NT AUTHORITY\INTERACTIVE в зависимости от типа входа в систему.
  • Если Безопасный режим использовать параметр запуска Active Directory — пользователи и компьютеры, оснастка пользовательский интерфейс не является доступные. В Windows Server 2003 администратор может также войти в систему выбрав Безопасный режим с загрузкой сетевых драйверов параметр запуска; в Этот режим является интерфейс пользователя оснастки Active Directory-пользователи и компьютеры доступные.
После администратор вошел в систему, выбрав один из параметры загрузки безопасного режима и с помощью учетных данных администратора учетной записи, администратор должен затем определить и изменить членство в группы безопасности, которые привели отказ службы входа в систему.
После этого изменения, пользователи должны иметь возможность успешно войти в систему после периода времени, равно домена Задержка репликации истек.

Дополнительная информация

В следующем примере показано, какой локальный домен группы безопасности будут отображаться в маркере пользователя при входе пользователя в систему компьютер в домене.

В этом примере предполагается, что Сергей принадлежит Домен a и является членом локальной группы домена A\Chicago пользователей домена. Сергей также является членом локальной группы домена B\Chicago пользователей домена. При входе Сергей на компьютере, который принадлежит к домену А (например, A\Workstation1 домена) на компьютере для Джо генерируется маркер и маркер содержит, кроме для всех глобальных и универсальных группах, SID для домена A\Chicago Пользователи. Он не будут содержать SID для пользователей домена B\Chicago компьютер, где Сергей систему (домен A\Workstation1) принадлежит к домену А.

Аналогично, когда Ивана в систему на компьютере, который принадлежит к домену Б (например, B\Workstation1 домена), генерируется маркер для Джо на содержит компьютера и маркер, чтобы все универсальные и глобальные членство в группах, ИД безопасности для пользователей домена B\Chicago; он не будет содержать Идентификатор безопасности для пользователей домена A\Chicago так как компьютер, где Сергей систему (домен B\Workstation1) принадлежит к домену б.

Тем не менее, когда Джо входит в компьютер, к которому принадлежит домену C (например, домен C\Workstation1), маркер генерируется для Джо на компьютере вход в систему, содержащую все универсальной и в глобальных группах для учетной записи пользователя Ивана. Ни один из SID для домена A\Chicago пользователей, ни SID для B\Chicago пользователей домена появится в маркере Поскольку локальные группы домена, Сергей входит в состав находятся в другом домен от компьютера, где Джо систему (домен C\Workstation1). И наоборот Если Джо были членами некоторых локальную группу домена, которому принадлежит C (например, C\Chicago пользователей домена), маркер, который создается для домена Будет содержать Джо на компьютере, чтобы все универсальные и глобальные членство в группах, SID для C\Chicago пользователей домена.

Свойства

Код статьи: 328889 - Последний отзыв: 8 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Корпоративная
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
Ключевые слова: 
kbinfo kbmt KB328889 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:328889

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com