ผู้ใช้ที่เป็นสมาชิกของกลุ่มมากกว่า 1,015 อาจล้มเหลวรับรองความถูกต้องเข้าสู่ระบบ

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 328889 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

เมื่อผู้ใช้พยายามเข้าสู่ระบบคอมพิวเตอร์ โดยใช้แบบท้องถิ่น บัญชีคอมพิวเตอร์หรือบัญชีผู้ใช้โดเมน การร้องขอการเข้าสู่ระบบอาจล้มเหลวด้วยการ ข้อผิดพลาดต่อไปนี้:
ข้อความที่เข้าสู่ระบบ: ระบบไม่ คุณเข้าสู่เนื่องจาก มีข้อผิดพลาดต่อไปนี้: ในระหว่างพยายามเข้าสู่ระบบ ผู้ใช้ของ บริบทการรักษาความปลอดภัยสะสมรหัสความปลอดภัยที่มากเกินไป กรุณาลองอีกครั้ง หรือปรึกษา ผู้ดูแลระบบของคุณ

สาเหตุ

ปัญหานี้เกิดขึ้นเมื่อผู้ใช้ (โดยผู้ดูแล บัญชีหรือบัญชีผู้ใช้ที่ไม่ใช่ผู้ดูแล) ที่เป็นสมาชิกของมากกว่า กลุ่มความปลอดภัย 1,015 พยายามเข้าสู่ระบบ

เมื่อผู้ใช้ล็อกออนเข้า คอมพิวเตอร์ หน่วยงานการรักษาความปลอดภัยภายในเครื่อง (LSA เป็นส่วนหนึ่งของการรักษาความปลอดภัยท้องถิ่น ระบบย่อยของหน่วยงานจัดเก็บ) สร้างโทเค็นการเข้าถึงสำหรับผู้ใช้เพื่อแทน บริบทการรักษาความปลอดภัยของผู้ใช้ โทเค็นการเข้าถึงของผู้ใช้ที่มีข้อมูลที่ไม่ซ้ำกัน ตัวระบุความปลอดภัย (SID) และ SIDs ของกลุ่มทุกว่า ผู้ใช้ที่เป็นสมาชิก ของ รวมทั้งกลุ่ม transitive

หมายเหตุ ข้อยกเว้นที่เดียวกับลักษณะการทำงานนี้เป็นที่ท้องถิ่นของโดเมนทั้งหมด กลุ่มความปลอดภัยที่ผู้ใช้ที่เป็นสมาชิกของจะแสดงในโทเค็นของผู้ใช้ กลุ่มความปลอดภัยภายในโดเมนเท่านั้นที่จะแสดง (ในโทเค็นของผู้ใช้) มีกลุ่มเหล่านั้นว่า ผู้ใช้ที่เป็นสมาชิกของที่ยังอยู่ในโดเมน ซึ่งประกอบด้วยบัญชีผู้ใช้คอมพิวเตอร์ที่ผู้ใช้จะล็อกออนเข้า สำหรับภาพ ตัวอย่างที่แสดงถึงกระบวนการนี้ ดูส่วน "ข้อมูลเพิ่มเติม"

เนื่องจากมีข้อจำกัดของระบบ ฟิลด์ที่ประกอบด้วยการ SIDs ของสมาชิกของกลุ่มของผู้ใช้ในโทเค็นการเข้าถึงสามารถประกอบด้วยอักขระได้สูงสุด ของ 1024 SIDs ถ้าผู้ใช้ที่เป็นสมาชิกของกลุ่มรักษาความปลอดภัยมากกว่า 1024, LSA ไม่สามารถสร้างโทเค็นการเข้าถึงสำหรับผู้ใช้ในระหว่างความพยายามในการเข้าสู่ระบบ ดังนั้น ผู้ใช้จะไม่สามารถเข้าสู่ระบบ ในระหว่างการสร้างโทเค็นการเข้าถึง ขึ้นอยู่กับชนิดของการเข้าสู่ระบบที่มีการดำเนินการ LSA ยังแทรกถึง 9 SIDs นอกเหนือจาก SIDs สำหรับสมาชิกของกลุ่มของผู้ใช้ที่รู้จักกันดี (ประเมิน transitively)

เนื่องจาก มีการเพิ่ม SIDS ที่รู้จักกันดี โดย LSA เมื่อผู้ใช้ที่เป็นสมาชิกของมากกว่า 1,015 (นั่นคือ 1024 ลบ ด้วย 9) กลุ่มความปลอดภัย ผลรวมจะถูกเพิ่มเติมกว่าขีดจำกัด SID 1024 ดังนั้น LSA จะไม่สามารถสร้างโทเค็นการเข้าถึงสำหรับผู้ใช้ในระหว่าง ความพยายามในการเข้าสู่ระบบ (หมายเลข 1,015 นี้ประกอบด้วยสมาชิกของกลุ่มท้องถิ่นของตัว คอมพิวเตอร์ที่ผู้ใช้พยายามล็อกออนเข้า) ไม่สามารถสร้างผู้ใช้ การพิสูจน์ตัวจริง จะไม่สามารถล็อกออนได้

การแก้ไข

เมื่อต้องการแก้ไขปัญหานี้ ใช้หนึ่งในวิธีต่อไปนี้ ขึ้นอยู่กับสถานการณ์ของคุณ

กรณีที่ 1: ผู้ใช้ที่พบข้อผิดพลาดในการเข้าสู่ระบบไม่ใช่ผู้ดูแล แต่ผู้ดูแลสามารถเข้าสู่ระบบเรียบร้อยแล้วในคอมพิวเตอร์ หรือโดเมน

การแก้ปัญหานี้ต้องดำเนินการ โดยผู้ดูแลที่มี สิทธิ์ในการปรับเปลี่ยนสมาชิกของกลุ่มที่ว่า ผู้ใช้ impacted เป็นสมาชิก ของ ผู้ดูแลระบบต้องปรับเปลี่ยนสมาชิกของกลุ่มของผู้ใช้เพื่อให้แน่ใจ ว่า ผู้ใช้จะไม่ใช่สมาชิกของกลุ่มรักษาความปลอดภัยมากกว่า 1,015 (จด ลงในบัญชีที่สมาชิกของกลุ่มที่ transitive และสมาชิกของกลุ่มท้องถิ่นที่) หลังจากที่ผู้ดูแลเอาผู้ใช้จากจำนวนความปลอดภัยเพียงพอ กลุ่ม ผู้ใช้จากนั้นจะสามารถล็อกออนโดเมนเสร็จเรียบร้อยแล้ว

หมายเหตุ ถึงแม้ว่ากลุ่มหมายเลขสูงสุดของการรักษาความปลอดภัยที่ ผู้ใช้สามารถเป็น สมาชิกของ 1024 ฟิลด์นี้เป็นการปฏิบัติที่ดีที่สุด จำกัดจำนวนการ 1,015 นี้ หมายเลขการทำให้แน่ใจว่าที่สร้างโทเค็นจะเสมอสำเร็จเนื่องจากจะแสดง เนื้อที่สำหรับสูงสุด 9 SIDs รู้จักกันดีที่จะถูกแทรก โดย LSA

กรณีที่ 2: ผู้ใช้ที่ไม่เข้าสู่ระบบเป็นผู้ดูแล

เมื่อผู้ใช้ที่มีการเข้าสู่ระบบล้มเหลวเนื่องจากเกินจำนวนกลุ่ม สมาชิกที่เป็นสมาชิกของกลุ่มผู้ดูแล ผู้ดูแลที่มี ข้อมูลประจำตัวสำหรับบัญชีผู้ดูแล (นั่นคือ แอคเคาท์ที่มีการ รู้จักกันดีสัมพัทธ์รหัส [RID] 500) ต้องเริ่มต้นตัวควบคุมโดเมน โดยการเลือกแบบ เซฟโหมด ตัวเลือกการเริ่มต้นระบบ (หรือ โดยการเลือกแบบ เซฟโหมดที่ มีระบบเครือข่าย ตัวเลือกการเริ่มต้น) และต้องล็อกออ ตัวควบคุมโดเมนโดยใช้บัญชีผู้ดูแล

Microsoft ได้ปรับเปลี่ยนอัลกอริทึมการสร้างโทเค็นใน LSA เพื่อให้การ LSA สามารถสร้างโทเค็นการเข้าถึงสำหรับบัญชีผู้ดูแลเพื่อให้การ ผู้ดูแลสามารถเข้าสู่ระบบโดยไม่คำนึงถึงจำนวนกลุ่มที่ transitive หรือ intransitive กลุ่มที่บัญชีผู้ดูแลเป็นสมาชิกของ เมื่อต้องการหนึ่งของ ตัวเลือกการเริ่มต้นระบบเซฟโหมดเหล่านี้จะใช้ การเข้าถึงโทเค็นที่สร้างขึ้นสำหรับ แอคเคาท์ผู้ดูแลระบบรวม SIDs แล้วภายในทั้งหมดและโดเมนทั้งหมด กลุ่มส่วนกลางที่แอคเคาท์ผู้ดูแลระบบที่เป็นสมาชิกของ กลุ่มเหล่านี้ โดยทั่วไปมีดังนี้:
  • ทุกคน (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • \ผู้ดูแลระบบ (S-1-5-32-544)
  • AUTHORITY\INTERACTIVE NT (S-1-5-4)
  • ผู้ใช้ AUTHORITY\Authenticated NT (S-1-5-11)
  • ภายในเครื่อง (S-1-2-0)
  • โดเมนผู้ใช้ \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • โดเมน\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
การเข้าถึงโทเค็นที่สร้างขึ้นสำหรับบัญชีผู้ดูแล อีกทางหนึ่งคืออาจรวม SIDs ต่อไปนี้:
  • Access(S-1-5-32-554) ที่เข้ากันได้ของ BUILTIN\Pre-Windows 2000 ถ้าทุกคนเป็นสมาชิกของกลุ่มนี้
  • องค์กร AUTHORITY\This NT (S-1-5-15) ถ้าโดเมน ตัวควบคุมที่กำลังเรียกใช้ Windows Server 2003

บันทึกย่อ

  • xxxxxxxx yyyyyyyy zzzzzzzz แสดงส่วนประกอบของโดเมน SID
  • คุณสามารถแทรก SID ถิ่นใด ๆ NT แทน NT AUTHORITY\INTERACTIVE SID ขึ้นอยู่กับชนิดของการเข้าสู่ระบบ
  • ถ้าการ เซฟโหมด ใช้ตัวเลือกการเริ่มต้น ผู้ใช้ไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ที่ไม่มีอินเทอร์เฟซสำหรับผู้ใช้สแน็ปอิน พร้อมใช้งาน ใน Windows Server 2003 ผู้ดูแลระบบอาจหรือล็อกอิน โดยการเลือกแบบ เซฟโหมดที่ มีระบบเครือข่าย ตัวเลือกการเริ่มต้น ใน โหมดนี้ คือส่วนติดต่อผู้ใช้สแน็ปอินผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ พร้อมใช้งาน
หลังจากที่ผู้ดูแลระบบได้เข้าสู่ระบบ โดยการเลือกอย่างใดอย่างหนึ่ง ตัวเลือกการเริ่มต้นระบบเซฟโหมดและ โดยใช้ข้อมูลประจำตัวของผู้ดูแลระบบ บัญชี ผู้ดูแลต้องแล้วระบุ และปรับเปลี่ยนสมาชิกของการ กลุ่มความปลอดภัยที่ทำให้เกิดการปฏิเสธการเข้าสู่ระบบบริการ
หลังจากนี้การเปลี่ยนแปลง ผู้ใช้ควรจะสามารถ ล็อกอินสำเร็จแล้วหลังจากรอบระยะเวลาที่เท่ากับโดเมน เวลาแฝงที่จำลองแบบได้ล่วงเลยไป

ข้อมูลเพิ่มเติม

ตัวอย่างต่อไปนี้แสดงให้เห็นภายในโดเมน กลุ่มความปลอดภัยจะแสดงในโทเค็นของผู้ใช้เมื่อผู้ใช้ล็อกออนเข้า คอมพิวเตอร์ในโดเมน

ในตัวอย่างนี้ สมมติว่า joe จึงเป็นสมาชิก โดเมน A และเป็นสมาชิกของกลุ่มโดเมนภายในเครื่องผู้ใช้ A\Chicago ของโดเมน Joe จึงเป็น นอกจากนี้สมาชิกของกลุ่มโดเมนภายในเครื่องผู้ใช้ B\Chicago ของโดเมน เมื่อ joe จึงล็อกบน ไปยังคอมพิวเตอร์ที่เป็นสมาชิกของโดเมน A (ตัวอย่างเช่น A\Workstation1 โดเมน), การ มีสร้างโทเค็นสำหรับ joe จึงบนเครื่องคอมพิวเตอร์ และโทเค็น มี นอกจากนี้ เมื่อต้องการทั้งหมดที่สากล และสากลสมาชิกกลุ่ม SID สำหรับโดเมน A\Chicago ผู้ใช้ จะเป็น SID สำหรับผู้ใช้ B\Chicago ของโดเมนได้เนื่องจากการ คอมพิวเตอร์ที่ joe จึงเข้าสู่ระบบใน (โดเมน A\Workstation1) เป็นสมาชิกของโดเมน A.

ในทำนองเดียวกัน เมื่อ joe จึงล็อกบนคอมพิวเตอร์ที่เป็นสมาชิกของโดเมน B (ตัวอย่างเช่น B\Workstation1 โดเมน), โทเค็นจะถูกสร้างขึ้นสำหรับ joe จึงบน คอมพิวเตอร์ และโทเค็นประกอบด้วย นอกเหนือจากทั้งหมดสากล และสากล สมาชิกกลุ่ม SID สำหรับผู้ใช้โดเมนที่ B\Chicago จะเป็นแบบ SID สำหรับผู้ใช้ A\Chicago ของโดเมนได้เนื่องจากคอมพิวเตอร์ที่ joe จึงเข้าสู่ระบบใน (โดเมน B\Workstation1) เป็นสมาชิกของโดเมน B.

อย่างไรก็ตาม เมื่อ joe จึงล็อกออนเข้า คอมพิวเตอร์ที่เป็นสมาชิกของ C โดเมน (ตัวอย่างเช่น โดเมน C\Workstation1), โทเค็น จะถูกสร้างขึ้นสำหรับ joe จึงบนคอมพิวเตอร์เข้าสู่ระบบที่ประกอบด้วยมาตรฐานสากลทั้งหมด และ สมาชิกกลุ่มส่วนกลางสำหรับบัญชีผู้ใช้ของ joe จึง ทั้ง SID สำหรับโดเมน ผู้ใช้ A\Chicago หรือ SID สำหรับผู้ใช้ B\Chicago ของโดเมนที่ปรากฏในโทเค็นการ เนื่องจากว่านั้น joe จึงเป็นสมาชิกของกลุ่มภายในโดเมนอยู่ในที่ที่แตกต่างกัน ไม่ใช่โดเมนมากกว่าที่คอมพิวเตอร์ที่ joe จึงเข้าสู่ระบบบน (C\Workstation1 โดเมน) กลับ joe จึงได้ เป็นสมาชิกของกลุ่มภายในโดเมนบางอย่างที่เป็นสมาชิก โดเมน C (ตัวอย่างเช่น Domain C\Chicago Users), โทเค็นที่สร้างขึ้นสำหรับ Joe จึงบนคอมพิวเตอร์จะประกอบด้วย นอกเหนือจากทั้งหมดสากล และสากล สมาชิกกลุ่ม SID สำหรับผู้ใช้ C\Chicago ของโดเมน

คุณสมบัติ

หมายเลขบทความ (Article ID): 328889 - รีวิวครั้งสุดท้าย: 26 มีนาคม 2556 - Revision: 1.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Keywords: 
kbinfo kbmt KB328889 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:328889

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com