Birden fazla 1,015 gruplarının üyeleri olan kullanıcılar oturum açma kimlik doğrulaması başarısız olabilir

Makale çevirileri Makale çevirileri
Makale numarası: 328889 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Ne zaman kullanarak yerel bilgisayara oturum açmak kullanıcı çalışır bilgisayar hesabı veya bir etki alanı kullanıcı hesabı, oturum açma isteği başarısız olabilir Aşağıdaki hata iletisi:
Oturum açma iletisi: Sistem olamaz. Aşağıdaki hata nedeniyle oturum: oturum açma girişimi sırasında kullanıcı'nın güvenlik içeriği çok fazla güvenlik kimliği biriktirdi. Lütfen yeniden deneyin veya başvurun Sistem yöneticiniz.

Neden

Bu sorun bir kullanıcı (yönetimsel kullanıcı ile oluşur hesabı veya bir yönetici olmayan bir kullanıcı hesabı) üyesi kim birden Oturum 1,015 güvenlik grupları çalışır.

Bir kullanıcı oturum açtığında üzerinde bir bilgisayar, yerel güvenlik yetkilisi (LSA, yerel güvenlik bölümü Yetkilisi alt sistemi) göstermek kullanıcı için bir erişim belirteci oluşturur kullanıcının güvenlik bağlamında. Kullanıcı erişim belirteci içeren benzersiz Güvenlik tanımlayıcısı (SID) ve kullanıcının üyesi olduğu her grubun SID Karşılıklı gruplar dahil.

Not Bu davranış için tek özel durum olan tüm yerel etki alanı Kullanıcının üyesi olduğu güvenlik gruplarına kullanıcı belirteci gösterecektir. (Kullanıcı belirteci) gösterecektir yalnızca etki alanı yerel güvenlik grupları Kullanıcı Ayrıca, üyesi olduğu grupların etki alanında yer alması olduğu Kullanıcı oturum bilgisayar hesabını içerir. İçin bir Bu işlem gösterilmiştir örnek "Ek bilgi" bölümüne bakın.

Alan, sistem sınırlaması içerir Maksimum kullanıcı grup üyelikleri erişim simgesindeki SID'ler içerebilir 1.024, SID. Bir kullanıcı birden fazla 1.024 güvenlik gruplarının bir üyesi ise LSA, oturum açma girişimi sırasında kullanıcı için bir erişim belirteci oluşturamaz. Bu nedenle, kullanıcı oturum açma olanağınız olmayacak. Erişim belirteci oluşturma sırasında oturum açma gerçekleştirilen türüne bağlı olarak, LSA da en fazla 9 ekler. ek olarak, kullanıcının grup üyeliklerini SID'lerin iyi bilinen SID'ler (Geçişli olarak değerlendirilen).

İyi bilinen SID'ler eklenmesi tarafından LSA, bir kullanıcı birden fazla 1,015 (yani, eksi 9 1,024) üyesi ise güvenlik grupları, toplam olacaktır 1.024 SID sınırından daha fazla. Bu nedenle, LSA sırasında kullanıcı için bir erişim belirteci oluşturmak mümkün değil oturum açma girişimi. (Yerel grup üyeliği, bu 1,015 içerir kullanıcının oturum açmaya çalıştığı bilgisayar.) Kullanıcı olamaz çünkü kimlik doğrulaması, kullanıcıların oturum açamaz.

Çözüm

Bu sorunu gidermek için aşağıdaki yöntemlerden birini kullanın, durumunuza bağlı olarak.

Durum 1: oturum açma hatası karşılaştığında kullanıcıyı yönetici değil, ancak yöneticiler başarıyla bilgisayarda veya etki alanında oturum açabilir

Bu çözüm sahip bir yönetici tarafından gerçekleştirilmesi gerekir etkilenen kullanıcının üyesi olduğu grup üyeliklerini değiştirme izinleri . Yönetici emin olmak için kullanıcının grup üyeliklerini değiştirmek gerekir Kullanıcı artık birden fazla 1,015 (alma güvenlik gruplarının bir üyesi değil dikkate geçişli grup üyeliklerini ve yerel grup üyeliği). Sonra yönetici kullanıcı yeterli sayıda güvenlik kaldırır. gruplar, kullanıcı daha sonra başarılı bir şekilde oturum açma etki alanını görebilirsiniz.

Not En fazla güvenlik grupları rağmen bir kullanıcı olabilir 1.024, en iyi uygulama, sayısını kısıtlamak için 1,015 üyesi. Bu bunun sağladığı için numara yapar emin bu simge oluşturma her zaman başarılı olur LSA tarafından eklenen 9 adede kadar iyi bilinen SID'ler alanı.

Durum 2: oturum açma başarısız bir Yönetici kullanıcıdır

Çoğu zaman çok olan oturum açma nedeniyle başarısız kullanıcı grubu Üyelikleri olan yönetici yöneticiler grubunun bir üyesi olduğu Yönetici hesabı için kimlik bilgilerini (yani, sahip bir hesap bir iyi bilinen göreli tanımlayıcı [RID] 500) bir etki alanı denetleyicisini yeniden başlatın seçerek Güvenli mod başlangıç seçeneği (veya seçerek Ağ desteği ile güvenli mod başlangıç seçeneği) ve sonra oturum açmalısınız Yönetici hesabını kullanarak etki alanı denetleyicisi için.

Microsoft simge üretme algoritması LSA içinde değiştirilmiş böylece LSA, yönetici hesabı için bir erişim belirteci oluşturabilir böylece Yönetici oturum açabilirler kaç geçişli Grup veya Yönetici hesabının üyesi olduğu grupları geçişsiz. Bir zaman, Bu güvenli modda başlatma seçenekleri kullanılır için oluşturulan erişim belirteci Yönetici hesabı, tüm yerleşik ve tüm etki alanı SID'leri içerir Yönetici hesabının bir üyesi olan genel gruplar. Bu gruplar genellikle şunları içerir:
  • Everyone (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • YEREL (S-1-2-0)
  • Etki alanı\Domain users (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Etki alanı\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Yönetici hesabı için oluşturulan erişim belirteci İsteğe bağlı olarak aşağıdaki SID içerebilir:
  • BUILTIN\Pre Windows 2000 uyumlu Access(S-1-5-32-554) Herkes bu grubun üyesi ise
  • NT AUTHORITY\This kuruluş (S-1-5-15), etki alanı Windows Server 2003 çalıştıran denetleyicisi

Notlar

  • xxxxxxxx yyyyyyyy zzzzzzzz etki alanı bileşeni gösterir. SID.
  • NT AUTHORITY\NETWORK SID yerine eklenebilir NT AUTHORITY\INTERACTIVE SID, oturum açma türüne bağlı olarak.
  • Eğer, Güvenli mod başlangıç seçeneği kullanılır, Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninde kullanıcı arabirimi değil kullanılabilir. Windows Server 2003'te yönetici alternatif olarak oturum açabilir seçerek Ağ desteği ile güvenli mod başlangıç seçeneği; içinde Bu mod, Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini kullanıcı arabirimidir kullanılabilir.
Yönetici birini seçerek oturum açtıktan sonra Güvenli modda başlatma seçenekleri ve yönetici kimlik bilgilerini kullanarak Hesap, yönetici sonra tanımlamak ve üyeliğini değiştirme oturum açma hizmet reddine neden olan güvenlik grupları.
Bu değişikliği yaptıktan sonra kullanıcılar yapabilir olmalıdır etki alanı için eşit bir süre sonra başarıyla oturum açın Çoğaltma gecikme süresi geçti.

Daha fazla bilgi

Aşağıdaki örnek, yerel etki alanı gösterir. güvenlik grupları görünmesini kullanıcı belirteci kullanıcının oturum açtığı zaman bir Bilgisayar bir etki alanında.

Bu örnekte, Joe ait olduğunu varsayalım. Etki alanı A ve etki alanı yerel grubu A\Chicago kullanıcılar etki alanı üyesi olan. Joe olan Ayrıca B\Chicago etki alanı kullanıcıları etki alanı yerel grubu üyesi. Joe açtığında (örneğin, etki alanı A\Workstation1), bir etki alanına ait bir bilgisayarda bir belirteci için Joe bilgisayarda oluşturulur ve belirteç içerir, ayrıca tüm genel ve evrensel grup üyelikleri, A\Chicago etki alanı SID'si Kullanıcılar. Bu etki alanı B\Chicago kullanıcılar için SID için içermez Burada Joe (etki alanı A\Workstation1) üzerinde oturum bilgisayar etki alanına ait. A.

Benzer şekilde, Joe, etki alanı B'ye ait olduğu bir bilgisayara açtığında (örneğin, etki alanı B\Workstation1), bir belirteç için Joe üzerinde oluşturulan bilgisayar ve simge içeren, tüm Evrensel ve genel Grup üyelikleri, SID'si etki alanı B\Chicago kullanıcılar için; değil içerecektir Etki alanı A\Chicago kullanıcılar için SID çünkü burada Joe (etki alanı üzerinde oturum bilgisayar B\Workstation1) etki alanı B'ye aittir.

Ancak, Joe açtığında üzerinde bir bilgisayarın ait olduğu etki alanı C (örneğin, etki alanı C\Workstation1), bir belirteç Joe için tüm Evrensel içeren oturum açma bilgisayarda oluşturulur ve Genel grup üyeliklerini Joe's kullanıcı hesabı için. Her iki etki alanı SID'si A\Chicago kullanıcılar ya da etki alanı B\Chicago kullanıcılar için SID belirteç görünür. farklı bir etki alanı yerel grupları, Joe üyesi olduğu için olan Burada Joe (etki alanı C\Workstation1) üzerinde oturum etki alanı bilgisayarı daha. Buna karşılık, Joe ait bazı etki alanı yerel grubu üyesi olsaydı Etki alanı C (örneğin, etki alanı C\Chicago kullanıcılar) için oluşturulan belirteç Tüm Evrensel ve genel ek olarak bilgisayarda Joe içerecektir Grup üyelikleri, SID'si etki alanı C\Chicago kullanıcılar için.

Özellikler

Makale numarası: 328889 - Last Review: 26 Mart 2013 Salı - Gözden geçirme: 1.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Anahtar Kelimeler: 
kbinfo kbmt KB328889 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 328889

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com