Užívatelia, ktorí sú členmi skupín, viac ako 1 015 môže zlyhať overenie prihlásenia

Preklady článku Preklady článku
ID článku: 328889 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

Príznaky

Keď sa používateľ snaží prihlásiť do počítača pomocou miestnej konto počítača alebo domény používateľského konta, žiadosti o prihlásenie môže zlyhať s nasledovné chybové hlásenie:
Hlásenie pri prihlásení: Systém nemôže sa prihlásiť z dôvodu nasledovnej chyby: počas pokusu o prihlásenie, užívateľ je v kontexte zabezpečenia nahromadilo príliš veľa identifikátorov zabezpečenia. Skúste znova alebo sa obráťte správca systému.

Príčina

Tento problém nastane, keď užívateľ (so správcom alebo neadministratívneho používateľské konto) kto je členom viac ako 1 015 skupiny zabezpečenia sa prihlási.

Keď sa používateľ prihlasuje do počítač, miestny úrad zabezpečenia (LSA, súčasťou lokálneho zabezpečenia Authority Subsystem) generuje token prístupu pre používateľa predstavovať kontext zabezpečenia používateľa. Prístupový token používateľa obsahuje jedinečné identifikátor zabezpečenia (SID) a SIDs každý používateľ je členom skupiny vrátane tranzitívne skupiny.

Poznámka Jedinou výnimkou z tohto správania je, že nie všetky domény lokálnej používateľ je členom skupiny zabezpečenia sa objaví tokenu používateľa. Iba domény lokálneho zabezpečenia skupiny, ktoré sa budú zobrazovať (v tokene používateľa) sú tie skupiny, že používateľ je členom, tiež zdržiavať v doméne ktorá zahŕňa počítačové konto, ktoré používateľ prihlasuje do. Pre príklad, ktorý ilustruje tento proces, nájdete v časti "Ďalšie informácie".

Z dôvodu obmedzenia systému, oblasti, ktorá obsahuje SIDs členstiev v prístupovom tokene používateľa môže obsahovať najviac z 1.024 SIDs. Ak je používateľ členom viac ako 1,024 skupiny zabezpečenia, LSA nemôže vytvoriť prístupový token používateľa počas pokusu o prihlásenie. Preto používateľ nebude môcť prihlásiť. Počas generovania tokenu prístupu, v závislosti od typu prihlásenie vykonáva, LSA tiež vloží až 9 známy SIDs okrem SIDs pre užívateľa členstvo v skupine (vyhodnotené prechodný).

Pretože okrem známych SIDS od LSA, ak je používateľ členom viacerých 1,015 (t.j. 1.024 mínus 9) skupiny zabezpečenia, bude celková viac ako 1,024 SID limit. Preto, lokálny úrad zabezpečenia nebude možné vytvoriť prístupový token používateľa počas pokus o prihlásenie. (Toto číslo 1 015 zahŕňa miestne členstiev mesta počítač, ktorý používateľ pokúša prihlásiť.) Pretože používateľ nemôže byť overené, že nemôžete prihlásiť.

Riešenie

Ak chcete vyriešiť tento problém, použite jednu z nasledujúcich metód, v závislosti na vašej situácii.

Prípad 1: Používateľ, ktorý narazí prihlasovacie chyba nie je správcom, ale správcovia môžu úspešne sa prihlásite do počítača alebo do domény

Toto uznesenie musí byť vykonávaná správcu, ktorý má povolenia upravovať členstvo v skupine či ovplyvnili používateľ je členom . Správca musí upraviť užívateľa členstvo v skupine sa uistiť aby používateľ nie je členom skupiny zabezpečenia vyše 1 015 (pričom do úvahy tranzitívne členstiev a členstvo v lokálnej skupine). Po správcovi odstráni používateľa z dostatočný počet bezpečnostných skupín, užívateľ bude potom môcť úspešne prihlásiť do domény.

Poznámka Hoci maximálny počet zabezpečenia skupiny, ktoré používateľ môže byť člen 1.024, ako najlepšie-prax, obmedziť počet 1,015. Toto číslo je určite tokenu generácie bude vždy uspieť, pretože poskytuje priestor pre až 9 známy SIDs, ktorý vkladá LSA.

Prípad 2: Používateľ, ktorý nedokáže prihlásenia je správca

Keď používateľ ktorého prihlásení zlyhá z dôvodu príliš veľa skupiny členstvo je členom skupiny Administrators, správcu, ktorý má poverenia pre konto Administrator (t.j. konta, ktoré má známy relatívny identifikátor [RID] 500), musíte reštartovať radič domény výberom Núdzový režim možnosti spustenia (alebo výberom Núdzový režim so sieťou možnosť spúšťania) a potom musíte prihlásiť na radič domény pomocou konta správcu.

Microsoft zmenil algoritmus tokenu generácie lokálneho úradu zabezpečenia tak, aby LSA môže vytvoriť prístupový token pre konto správcu, aby Správca môže prihlásiť bez ohľadu na to koľko tranzitívne skupín alebo Netranzitívne že konto Administrator je členom skupiny. Keď jeden z Tieto možnosti spustenia núdzového režimu sa používa Prístupový token, ktorý je vytvorený pre konto správcu zahŕňa SIDs všetky vstavaný a všetky domény Globálne skupiny, ktoré konto Administrator je členom. Tieto skupiny zvyčajne zahŕňajú:
  • Všetci (S-1-1-0)
  • Vstavané alebo používateľské (S-1-5-32-545)
  • Builtin\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • MIESTNE (S-1-2-0)
  • Domény\Domain užívateľov (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domény\Domain správcovi (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Prístupový token, ktorý je vytvorený pre konto správcu nepovinne môže zahŕňať nasledujúce SIDs:
  • BUILTIN\Pre-Windows 2000 kompatibilné Access(S-1-5-32-554) Ak každý člen tejto skupiny
  • NT AUTHORITY\This organizácie (S-1-5-15) Ak doména regulátor je spustený systém Windows Server 2003

Poznámky

  • xxxxxxxx-yyyyyyyy-zzzzzzzz označuje súčasť domény identifikátor SID.
  • NT AUTHORITY\NETWORK SID môžu byť vložené namiesto NT AUTHORITY\INTERACTIVE SID, podľa toho, aký typ prihlásenia.
  • Ak Núdzový režim možnosť spúšťania sa používa, Active Directory Users a počítače modul snap-in rozhranie nie je k dispozícii. V systéme Windows Server 2003, správca môže prípadne prihlásiť sa výberom Núdzový režim so sieťou možnosti spustenia; v Tento režim, Active Directory Users a počítače modul snap-in rozhranie je k dispozícii.
Po má správca prihlásení výberom jedného z možnosti spúšťania núdzového režimu s použitím poverení správcu účet, správca musí potom identifikáciu a zmenu členstva skupiny zabezpečenia, ktoré spôsobilo odmietnutie služby prihlasovanie.
Po vykonaní tejto zmeny, užívatelia by mali byť schopné úspešne prihlásiť po určitý čas ktorý sa rovná domény Replication latencia uplynul.

Ďalšie informácie

Nasledujúci príklad ilustruje ktorá doména miestnej skupiny zabezpečenia sa objaví v tokene používateľa keď používateľ prihlasuje do počítač v doméne.

V tomto príklade predpokladajme, že Joe patrí Domény a je členom domény lokálnej skupiny používatelia domény A\Chicago. Joe je tiež členom domény lokálnej skupiny používatelia domény B\Chicago. Keď Joe prihlási do počítača, ktorý patrí do domény (napríklad, doménu A\Workstation1) token je generovaný pre Joe v počítači, a token obsahuje, okrem všetky univerzálne a globálnych členstiev, SID domény A\Chicago Užívateľov. Nebude obsahovať SID používateľov v doméne B\Chicago pretože kde Joe prihlásený (domény A\Workstation1) počítač patrí do domény A.

Podobne, keď Joe prihlási do počítača, ktorý patrí do domény b (napríklad doménu B\Workstation1), token je generovaný pre Joe na počítač a token obsahuje okrem všetky univerzálne a globálnych členstvo v skupine, SID domény B\Chicago užívateľov; nebude obsahovať SID používateľov v doméne A\Chicago pretože kde Joe prihlásený (doména počítača B\Workstation1) patrí do domény B.

Avšak, keď Joe prihlási na počítač patrí do domény C (napríklad doménu C\Workstation1), token je generovaný pre Joe na prihlásenie počítača, ktorý obsahuje všetky univerzálne a Globálna skupina členstvo pre konto používateľa Joe. Ani SID domény A\Chicago užívateľov ani SID domény B\Chicago používateľom sa zobrazuje v token pretože lokálne skupiny domény že Joe je členom sú v inom domény než počítač kde Joe prihlásený (domény C\Workstation1). Naopak, ak Joe bol členom niektoré domény lokálnej skupiny, do ktorej patrí Doménu C (napríklad C\Chicago používateľov domény), token, ktorý je generovaný pre Joe na počítači by obsahovať, okrem všetkých univerzálne a globálnych členstvo v skupine, SID používateľov v doméne C\Chicago.

Vlastnosti

ID článku: 328889 - Posledná kontrola: 26. marca 2013 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Kľúčové slová: 
kbinfo kbmt KB328889 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 328889

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com