多個 1,015 的群組成員的使用者可能無法登入驗證

文章翻譯 文章翻譯
文章編號: 328889 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

使用者嘗試使用本機登入電腦電腦帳戶或網域使用者帳戶,登入要求可能會失敗下列的錯誤訊息:
登入訊息: 系統不能因為下列錯誤,所以將您登入: 在登入時,使用者的安全性內容累積太多的安全性識別碼。請再試一次,或詢問您的系統管理員。

發生的原因

(具有系統管理使用者的使用者時,就會發生這個問題以非系統管理員的使用者帳戶) 誰是成員的多個1,015 的安全性群組會嘗試登入。

當使用者登入本機安全性授權 (LSA,本機安全性的一部分的電腦授權子系統) 會產生來代表使用者的存取權杖使用者安全性內容。存取權杖包含使用者的唯一安全性識別碼 (SID) 與每個使用者為其成員的群組之 Sid則還包括可轉移的群組。

附註這種行為的唯一例外是,並非所有的網域本機在安全群組的使用者所屬的成員會出現在使用者的權杖。只有網域本機安全性群組,會顯示 (在使用者的權杖)是該使用者也是成員之一,這些群組存在於網域中在包含該使用者登入的電腦帳戶。針對範例,說明此程序,請參閱 〈 其他資訊 〉 一節。

因為是系統的限制,所以該欄位含有最多可以包含使用者的存取權杖中的群組成員資格的 Sid1024 的 Sid。如果使用者已超過 1024 個安全性群組的成員LSA 無法建立存取權杖的使用者在登入嘗試。因此,使用者將無法再登入。在存取權杖產生期間,修復效果將視正在執行的登入而定,LSA 也插入多達 9除了之使用者的群組成員資格的 Sid 以外的知名 Sid(可轉移評估)。

因為加入的知名 SID由 LSA,如果使用者屬於多個 1,015 (也就是 1024 減去 9)安全性群組中,總計會高於 1024 的 SID 限制更多。因此,LSA 無法建立在使用者的存取權杖登入嘗試。(這個 1,015 的數字包括本機群組成員資格電腦與使用者嘗試登入。)因為使用者不可以是通過驗證,就無法登入。

解決方案

如果要解決這個問題,請使用下列方法之一,根據您的情況。

案例 1: 發生登入錯誤的使用者不是系統管理員,但系統管理員可以成功登入到電腦或網域

有的系統管理員才能執行這個解決方案若要修改受影響的程度的使用者為其成員的群組成員資格的權限。系統管理員必須修改使用者的群組成員資格,並確定使用者已不再屬於多個 1,015 的安全性群組 (製作考慮轉移群組的成員資格和本機群組成員資格)。系統管理員之後移除使用者足量的安全性群組、 使用者然後就可以成功登入網域的狀態。

附註雖然安全性的最大數目群組,可能是使用者成員是 1024,最佳作法,限制為 1,015 的數目。這數字可確定該權杖的層代就必定都會成功因為它提供最多由 9 已知的 Sid 插入 LSA 的所需空間。

案例 2: 使用者無法登入為系統管理員

許多群組的使用者的登入失敗因為太時成員資格是系統管理員群組,而擁有系統管理員的成員系統管理員帳戶的認證 (也就是具有的帳戶已知相關識別元 [RID] 為 500) 必須重新啟動網域控制站藉由選取 「 安全模式 啟動選項 (或選取 「 安全模式含網路功能 啟動選項),然後必須登入若要使用的系統管理員帳戶的網域控制站。

Microsoft 已經修改在 LSA 中的語彙基元產生演算法,讓LSA 可建立系統管理員帳戶的存取權杖,讓系統管理員可以登入,不論多少可轉移的群組或不可移轉的系統管理員帳戶是成員的群組。當一個的使用這些安全模式啟動選項,則會針對建立存取權杖系統管理員帳戶包含所有的內建和所有網域的 Sid系統管理員帳戶是成員的通用群組。這些群組通常包括:
  • 每個人 (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • 的話 (1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT 授權 \ 驗證使用者 (S-1-5-11)
  • 當地 (S-1-2-0)
  • 網域\Domain 使用者() S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513
  • 網域\Domain 系統管理員() S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512
為系統管理員帳戶建立存取權杖可以選擇性地包含下列的 Sid:
  • BUILTIN\Pre Windows 2000 相容的 Access(S-1-5-32-554)如果每個人都是這個群組的成員
  • NT AUTHORITY\This 組織 (S-1-5-15) 如果網域控制站正在執行 Windows Server 2003

注意

  • xxxxxxxx-yyyyyyyy-zzzzzzzz 代表網域元件SID。
  • 可插入 NT AUTHORITY\NETWORK SID,而不是NT AUTHORITY\INTERACTIVE SID,視登入類型而定。
  • 如果 「 安全模式 使用啟動選項,Active Directory 使用者和電腦] 嵌入式管理單元使用者介面不是使用這個選項。在 Windows Server 2003 中,系統管理員或者可登入藉由選取 「 安全模式含網路功能 啟動選項。在此模式下,Active Directory 使用者和電腦] 嵌入式管理單元使用者介面是使用這個選項。
藉由選取其中一個系統管理員身分登入之後「 安全模式啟動選項和使用 「 系統管理員認證帳戶系統管理員必須再找出和修改成員資格導致登入服務阻斷的安全性群組。
在進行這項變更之後,使用者應該能夠成功登入後一段時間,相當於網域過了複寫延遲。

其他相關資訊

下例顯示了本機網域安全性群組不僅會顯示在使用者的權杖在使用者登入在網域中的電腦。

在這個範例中,假設 [Joe 屬於網域 A 和網域 A\Chicago 使用者網域本機群組的成員。Joe 是也是網域本機群組網域 B\Chicago 使用者的成員。當 Joe 登入時電腦屬於網域 A (例如,網域 A\Workstation1)語彙基元會在電腦上,產生 Joe 和另外語彙基元包含給所有萬用和通用群組成員資格,網域 A\Chicago 的 SID使用者。也不會包含網域 B\Chicago 使用者的 SID,因為Joe 登入 (網域 A\Workstation1) 的位置的電腦屬於網域答:

同樣地,當 Joe 登入到電腦所屬網域 b(例如,網域 B\Workstation1),將語彙基元會產生 Joe 上電腦和語彙基元包含,除了之外的所有通用和全域群組成員資格的 SID 網域 B\Chicago 使用者 ;也不會包含網域 A\Chicago 使用者的 SID 因為 Joe (網域的記錄所在的電腦屬於網域 b 的 B\Workstation1)

不過,當 Joe 登入網域 C (比方說,網域 C\Workstation1) 的語彙基元所屬的電腦會產生 Joe 登入電腦,其中包含所有的通用和Joe 的使用者帳戶的通用群組成員資格。這兩個網域的 SIDA\Chicago 使用者也不是網域 B\Chicago 使用者的 SID 會出現在語彙基元因為網域本機群組的 Joe 的成員位於不同的於電腦的網域 Joe 登入 (網域 C\Workstation1) 的位置。相反地,如果 Joe 屬於某個網域本機群組的成員網域 C (比方說,網域 C\Chicago 使用者),會針對產生的語彙基元將包含在電腦上的 Joe,除了之外的所有通用和全域群組成員資格,網域 C\Chicago 使用者的 SID。

屬性

文章編號: 328889 - 上次校閱: 2013年3月26日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Windows Vista Starter
  • Windows Vista 旗艦版
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows 7 Enterprise
  • Windows 7 Enterprise N
  • Windows 7 Home Premium N
  • Windows 7 Professional N
  • Windows 7 Starter N
  • Windows 7 Ultimate N
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows 8 Enterprise
  • Windows 8 Enterprise N
  • Windows 8 N
  • Windows 8 Pro
  • Windows 8 Professional N
關鍵字:?
kbinfo kbmt KB328889 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:328889
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com