Користувачі, які є членами більш ніж 1.015 груп можуть не автентифікації для входу

Переклади статей Переклади статей
Номер статті: 328889 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Ознаки

Коли користувач намагається увійти до комп'ютера за допомогою локального обліковий запис А комп'ютера або обліковий запис А комп'ютера користувача домену, запит входу може не з в таке протокол IMAP про помилку:
Входу до повідомлення: Не вдається система увійти через таку помилку: під Вільний час на спробу входу, користувача, контекст безпеки накопичуються надто багато кодів безпеки. Повторіть спробу або зверніться до системним адміністратором.

причина

Ця проблема виникає, коли користувач (з правами адміністратора обліковий запис А комп'ютера або обліковий запис А комп'ютера не адміністративних) які є членом більш ніж 1.015 група безпеки невдалих спроб входу.

Коли користувач реєструється на для в комп’ютер-зразок, до локального центра безпеки (LSA, частиною локальної безпеки Підсистема повноважень) генерує маркер доступу для користувача, щоб представляти на контекст безпеки користувача. маркер доступу містить користувача унікальний ідентифікатор безпеки (SID) і Морс кожна група, що користувач є членом в тому числі перехідних груп.

Примітка. Єдиним винятком з цього поведінки в тому, що не всі доменних локальної група безпеки, що користувач є членом буде відображатися у користувача маркер. Тільки доменних локальної безпеки групи, які будуть відображатися (у користувача маркер) є тих груп, що користувач є членом, також проживають у домені яка містить обліковий запис А комп'ютера комп'ютера, що користувач є входу на. Для в приклад, який ілюструє цей процес, у розділі "Додаткові відомості".

Це обмеження системи поле яка містить до Морс користувача в групах у необмеженого доступу може містити до з 1024 Морс. Якщо користувач є членом більш ніж 1024 група безпеки, до LSA не вдалося створити маркер доступу для користувача під Вільний час спроби входу до системи. Таким чином, користувач не зможете увійти. Під Вільний час доступу до маркера покоління, Залежно від типу під Вільний час виконання входу до системи у LSA також Вставка 9 відомі Морс Крім Морс для користувача в групах (оцінено імпортованих).

З додаванням відомих Морс оглянуто LSA якщо користувач є членом більш ніж 1015 (тобто 1024 мінус 9) група безпеки, загальна буде більше, ніж граничний 1.024 SID. Таким чином, у LSA буде неможливо створити маркер доступу для користувача під Вільний час на спробу входу. (Це 1.015 число включає в себе місцеві в групах з в комп’ютер-зразок, який користувач намагається увійти в.) Тому, що користувач не може бути перевірку автентичності, вони не вдалося увійти.

Розв'язанн

Щоб вирішити цю проблему, використовуйте один з наступних методів, Залежно від ситуації.

Випадку 1: Користувач, який виникає помилка входу до системи не є адміністратором, але адміністратори можуть увійти до комп'ютера або до домену

Ця резолюція повинна виконуватися адміністратором, який має дозволи на змінення групах, що вплив користувач є членом з. Адміністратор повинен змінити користувача в групах переконайтеся, що що користувач більше не є членом більш ніж 1.015 група безпеки (прийняття до уваги Транзитивне групах і локальних групах). Після адміністратор видаляє користувача з достатньої кількості безпеки групи, користувач буде потім мати можливість успішного входу до домену.

Примітка. Хоча Максимальна кількість безпеки груп, які користувач може бути член 1024, як передової практики, обмежити число 1015. Це число робить звичайно маркера покоління буде завжди вдається тому, що вона забезпечує простір для до 9 відомих Морс, які вставляються у LSA.

Випадку 2: Користувач, який не вдається вхід є адміністратор

Коли користувач, чий входу до системи не з дуже багатьох групування Членство є членом групи адміністраторів, адміністратора, який має облікові дані облікового запису адміністратора (тобто облікового запису, який має на відомі відносний ідентифікатор [RID] 500), необхідно перезапустити контролера домену вибравши в безпечний режим способів запуску (або вибравши в безпечний режим з підтримкою мережі способів запуску) і потім необхідно увійти на контролері домену, використовуючи обліковий запис А комп'ютера адміністратора.

Microsoft змін у LSA, алгоритм маркера покоління так що на LSA можна створити маркер доступу для облікового запису адміністратора тому що на Адміністратор може увійти незалежно від того, скільки перехідних груп або нетранзитивне групи, який є обліковим записом адміністратора. Коли один з Ці варіанти завантаження безпечний режим використовується,-маркер доступу, створений для обліковий запис А комп'ютера адміністратора містить ідентифікаторів SID всі вбудовані та всіх доменів Глобальні групи, який є обліковим записом адміністратора. Ці групи як правило, включають наступне:
  • Кожен (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated користувачів (S-1-5-11)
  • МІСЦЕВИЙ (S-1-2-0)
  • Домен\Domain користувачів (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Домен\Domain адміністраторів (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
маркер доступу, створений для облікового запису адміністратора за бажанням може включати такі Морс:
  • BUILTIN\Pre-Windows 2000 сумісні Access(S-1-5-32-554) Якщо кожна людина є членом цієї групи
  • NT AUTHORITY\This організації (S-1-5-15) Якщо домен контролер працює під керуванням Windows Server 2003

Примітки

  • xxxxxxxx-yyyyyyyy-zzzzzzzz позначає домену компонент SID.
  • NT AUTHORITY\NETWORK SID можна вставити замість NT AUTHORITY\INTERACTIVE SID, залежно від типу входу до системи.
  • Якщо на безпечний режим способів запуску використовується, служба Active Directory - користувачі й комп'ютери оснастки інтерфейсу користувача не є доступні. У Windows Server 2003 адміністратор може також можна увійти вибравши в безпечний режим з підтримкою мережі способів запуску; у Цей режим є інтерфейсу оснастки користувача служба Active Directory - користувачі й комп'ютери доступні.
Після того, як адміністратор має увійти, вибравши один з в Параметри запуску в безпечному режимі і за допомогою фінансові дані адміністратора обліковий запис А комп'ютера, адміністратор повинен потім визначити і змінити членство в група безпеки, яка спричинила відмову входу до служби.
Після цього зміни, користувачі повинні мати можливість Вхід успішно після періоду часу це складає до домену минув Вільний час затримка реплікації.

Додаткові відомості

Наступний приклад ілюструє локального домену група безпеки будуть відображатися в користувача маркер, коли користувач входить до на комп'ютера в домені.

У цьому прикладі припустимо, що Джо належить Домену A і є членом доменних локальна група домену користувачів домену A\Chicago. Джо є також є членом доменних локальна група домену користувачів домену B\Chicago. Коли Джо журнали на на комп'ютері, який належить до домену A (наприклад, домен A\Workstation1) на маркер для створюється Джо на комп'ютері, і маркер містить, крім щоб усі універсальний і Глобальна група членство, SID для домену A\Chicago Користувачів. Він не буде містити SID для користувачів домену B\Chicago, тому що на комп’ютер-зразок, де Джо ввійшли (домен A\Workstation1) належить до домену А.

Аналогічним чином, коли Джо входить в комп'ютері, який належить до домену b (наприклад, домен B\Workstation1), знак для створюється Джо на в комп’ютер-зразок і маркер містить, на додаток до всіх універсальний і глобальної членство в групах, SID для користувачів домену B\Chicago; Він не буде містити в SID для користувачів домену A\Chicago оскільки комп’ютер-зразок, де Джо ввійшли (домен B\Workstation1) належить до домену b.

Однак, коли Джо журнали на для в комп’ютер-зразок, який належить до домену C (наприклад, домен C\Workstation1), знак створюється для Джо на комп'ютері для входу, який містить всі універсальні і Глобальна група членство Джо облікового запису користувача. Ні SID для домену A\Chicago користувачів і SID для користувачів домену B\Chicago не з'явиться маркер оскільки локальних групах домену, що Джо є членом знаходяться в іншому домен ніж комп’ютер-зразок де Джо ввійшли (домен C\Workstation1). І навпаки, якщо Джо був членом деякі доменних локальна група домену, що належить Домен C (наприклад, C\Chicago користувачів домену), маркер, що створюється для Джо на комп'ютері будуть містити, крім всі універсальні і глобальної членство в групах, SID для користувачів домену C\Chicago.

Властивості

Номер статті: 328889 - Востаннє переглянуто: 26 березня 2013 р. - Редакція: 1.0
Застосовується до:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
Ключові слова: 
kbinfo kbmt KB328889 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 328889

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com