أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

قد يفشل تسجيل الدخول عضوا في مجموعات 1010 أكثر من حساب مستخدم على جهاز كمبيوتر يستند إلى Windows Server

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية328889
الأعراض
عندما يحاول مستخدم لتسجيل الدخول إلى كمبيوتر باستخدام حساب محلي أو حساب مستخدم مجال طلب تسجيل الدخول قد تفشل، وتتلقى رسالة الخطأ التالية:
رسالة تسجيل الدخول: النظام لا يمكن تسجيل دخولك نظراً للخطأ التالي: أثناء محاولة تسجيل الدخول إلى سياق الأمان الخاص بالمستخدم بتكديس عدد كبير جداً من معرفات الأمان. الرجاء إعادة المحاولة أو استشارة المسؤول عن النظام.
تحدث هذه المشكلة عند تسجيل دخول المستخدم عضوا بشكل صريح أو انتقالي في حوالي 1010 أو أكثر من مجموعات الأمان.

نوع الحدث: تحذير
مصدر الحدث: معرفاً الحدثان
فئة الحدث: بلا
معرف الحدث: 6035
التاريخ:التاريخ
الوقت:الوقت
المستخدم: n/A
جهاز الكمبيوتر: اسم المضيف

الوصف:

أثناء محاولة تسجيل الدخول إلى سياق الأمان الخاص بالمستخدم بتكديس عدد كبير جداً من معرفات الأمان. وهذه حالة غير عادية جداً. إزالة المستخدم من بعض المجموعات العمومية أو المحلية لتقليل عدد معرفات لدمج في سياق الأمان الأمان.

المستخدم سيد معرف الأمان

إذا كان حساب المسؤول، ستمكن تسجيل الدخول في الوضع الأمن مسؤول بتسجيل الدخول بشكل تلقائي تقييد عضوية المجموعة.

السبب
عند تسجيل دخول المستخدم إلى كمبيوتر، "تخويل الأمان المحلي" (LSA، جزء من النظام الفرعي لمرجع الأمان المحلي) بإنشاء رمز وصول الذي يمثل سياق الأمان الخاص بالمستخدم. يتكون الرمز المميز للوصول من معرفات الأمان الفريد (SID) لكل مجموعة يكون المستخدم عضوا. وتشمل هذه الدول الجزرية الصغيرة النامية المجموعات متعدية وقيم SID من SIDHistory المستخدم وحسابات المجموعة.

يمكن أن يحتوي على صفيف يحتوي على معرفات أمان عضوية المجموعة للمستخدم في الرمز المميز للوصول إلى أكثر من 1024 الدول الجزرية الصغيرة النامية. لا يمكن إفلات LSA أي SID من الرمز المميز. لذا، إذا كان هناك مزيد من الدول الجزرية الصغيرة النامية، فشل LSA لإنشاء الرمز المميز للوصول ولن يتمكن المستخدم من تسجيل الدخول.

عندما يتم إنشاء قائمة الدول الجزرية الصغيرة النامية، يدرج LSA أيضا عدة SIDs العامة، المعروفة بالإضافة إلى الدول الجزرية الصغيرة النامية لعضوية المجموعة للمستخدم (تقييم الأنواع). وبالتالي إذا كان مستخدم عضوا في أكثر من حوالي 1010 مجموعات أمان مخصصة، يمكن أن يتجاوز العدد الإجمالي للدول الجزرية الصغيرة النامية حد SID 1024.

هام
  • الرموز المميزة لحسابات غير مسؤول ومسؤول تخضع للحد.
  • يختلف عدد معرفات الأمان المخصصة مع إصدار نظام تشغيل وحدة التحكم بالمجال والكمبيوتر الذي يقوم بإنشاء الرمز المميز ونوع تسجيل دخول (على سبيل المثال، شبكة تفاعلية، الخدمة،).
  • استخدام بروتوكول المصادقة Kerberos أو NTLM ليس لها أي تأثير على حد الوصول إلى الرمز المميز.
  • العميل Kerberos إعداد "MaxTokenSize" قد تمت مناقشته في قاعدة المعارف 327825. "رمز" في سياق Kerberos يشير إلى المخزن المؤقت للبطاقات التي تلقاها مضيف Kerberos ل Windows. اعتماداً على حجم البطاقة، ونوع هذه الدول وما إذا كان ممكناً ضغط SID، يتسع المخزن المؤقت أقل أو العديد من هذه الدول أكثر مما يناسب في الرمز المميز للوصول.
قائمة معرفات الأمان المخصصة سوف تشمل ما يلي:
  • معرفات الأمان الأساسي المستخدم/الكمبيوتر ومجموعات الأمان يكون الحساب عضوا.
  • معرفات الأمان في السمة SIDHistory من المجموعات في مجال تسجيل الدخول.
السمة SIDHistory يمكن أن تحتوي على قيم متعددة، حد 1024 الدول الجزرية الصغيرة النامية يمكن الوصول إليها بسرعة كبيرة إذا تم ترحيل الحسابات عدة مرات. سيقوم العدد من الدول الجزرية الصغيرة النامية في "الوصول إلى رمز" بليس من إجمالي عدد المجموعات التي يكون المستخدم عضوا في الحالة التالية:
  • كان المستخدم من مجال موثوق فيها SIDHistory والدول الجزرية الصغيرة النامية تصفية.
  • كان المستخدم من مجال موثوق به ثقة حيث يتم فحصها الدول الجزرية الصغيرة النامية. بعد ذلك، يتم تضمين هذه الدول من نفس مجال المستخدم.
  • يتم تضمين فقط "المجال المحلي مجموعة الدول الجزرية الصغيرة النامية" من مجال المورد.
  • يتم تضمين فقط "الخادم المحلية مجموعة الدول الجزرية الصغيرة النامية" من خادم المورد.
وبسبب هذه الاختلافات، فمن الممكن أن المستخدم يمكن تسجيل الدخول إلى جهاز كمبيوتر في مجال واحد ولكن ليس على جهاز كمبيوتر في مجال آخر. قد يكون المستخدم قادراً على تسجيل الدخول إلى ملقم واحد في مجال، لكن ليس على خادم آخر في نفس المجال.
الحل
لحل هذه المشكلة، استخدم إحدى الطرق التالية، تبعاً للموقف لديك.

الطريقة الأولى

هذا القرار ينطبق على الحالة التي المستخدم الذي واجه خطأ تسجيل الدخول ليس مسؤولاً، ويمكن للمسؤولين بنجاح تسجيل جهاز الكمبيوتر أو المجال.

يجب تنفيذ هذا القرار من قبل مسؤول لديه أذونات لتغيير عضوية مجموعة المستخدم المتأثر يكون عضوا من. يجب على المسؤول تغيير عضوية المجموعة للمستخدم للتأكد من أن المستخدم لم يعد عضوا في مجموعات الأمان أكثر من حوالي 1010 (مع مراعاة عضوية المجموعات متعدية وعضويات المجموعة المحلية).

تتضمن خيارات لتقليل عدد معرفات الأمان في الرمز المميز للمستخدم التالي:
  • إزالة المستخدم من عدد كاف من مجموعات الأمان.
  • تحويل مجموعات الأمان غير المستخدمة إلى مجموعات التوزيع. مجموعات التوزيع لا يحسب ما حد رمز الوصول. يمكن تحويل مجموعات التوزيع إلى مجموعات الأمان عند طلب مجموعة محولة.
  • تحديد ما إذا كانت تعتمد على محفوظات SID أساسيات الأمان للوصول إلى الموارد. إذا لم يكن الأمر كذلك، إزالة السمة SIDHistory من هذه الحسابات. يمكنك استرداد قيمة السمة من خلال استعادة موثوقة.
ملاحظة: على الرغم من أن الحد الأقصى لعدد مجموعات الأمان التي يمكن أن يكون مستخدم عضوا 1024، وكطريقة أفضل، قصر العدد أقل من 1010. هذا الرقم يجعل من ذلك إنشاء الرمز المميز دائماً ستنجح لأنه يوفر المساحة العامة الدول الجزرية الصغيرة النامية التي تم إدراجها ب LSA.

الطريقة الثانية

القرار ينطبق على الحالة في أي مسؤول الحساب لا يمكن الدخول إلى الكمبيوتر.

عندما يكون المستخدم تسجيل الدخول الذي فشل وجود عدد كبير جداً من عضوية المجموعة عضوا المجموعة Administrators، مسؤول لديه بيانات الاعتماد لحساب المسؤول (أي حساب يحتوي على معرف نسبي معروفة [RID] 500) يجب إعادة تشغيل وحدة تحكم مجال عن طريق تحديد خيار الوضع الأمن لبدء التشغيل (أو عن طريق تحديد خيار بدء التشغيل في الوضع الأمن مع الاتصال بالشبكة ). في الوضع الأمن، يجب ثم تسجيل الدخول إلى وحدة تحكم المجال باستخدام بيانات اعتماد حساب مسؤول هذا.

قامت Microsoft بتغيير خوارزمية إنشاء الرمز المميز حيث أن LSA إنشاء الرمز مميز لوصول لحساب المسؤول حيث يمكن للمسؤول تسجيل الدخول بغض النظر عن عدد المجموعات متعدية أو مجموعات لازم أن حساب المسؤول عضو. عند استخدام أحد خيارات بدء التشغيل في الوضع الأمن هذه، يتضمن الوصول-الرمز المميز الذي تم إنشاؤه لحساب المسؤول SIDs المضمنة كافة وكافة مجموعات "عمومية في مجال" حساب المسؤول عضو.

تتضمن هذه المجموعات عادة ما يلي:
  • الجميع (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • AUTHORITY\INTERACTIVE NT (د-1-5-4)
  • المستخدمون AUTHORITY\Authenticated (S/1-5-11) في NT
  • محلي (S-1-2-0)
  • المجال\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • المجال"المسؤولين" \Domain "(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre Windows 2000 متوافق مع Access(S-1-5-32-554) إذا كان أي شخص يكون عضوا في هذه المجموعة
  • مؤسسة AUTHORITY\This NT (S-1-5-15) في حالة تشغيل وحدة التحكم بالمجال Windows Server 2003
ملاحظة: إذا تم استخدام خيار الوضع الأمن لبدء التشغيل، لا يتوفر مستخدمي Active Directory وأجهزة الكمبيوتر الأداة الإضافية لواجهة مستخدم (UI). في Windows Server 2003, المسؤول يمكن بدلاً من ذلك تسجيل الدخول عن طريق تحديد خيار بدء التشغيل فيالوضع الأمن مع الاتصال بالشبكة ; في هذا الوضع، مستخدمي Active Directory وأجهزة الكمبيوتر الأداة الإضافية لواجهة المستخدم متوفراً.

بعد مسؤول بتسجيل الدخول عن طريق تحديد أحد خيارات بدء التشغيل في الوضع الأمن واستخدام بيانات الاعتماد الخاصة بحساب المسؤول، المسؤول ثم تحديد وتعديل عضوية مجموعات الأمان التي تسببت برفض خدمة تسجيل الدخول.

بعد إجراء هذا التغيير، يجب أن يتمكن المستخدمون من تسجيل الدخول بنجاح بعد انقضاء فترة زمنية تساوي استتار النسخ المتماثل للمجال.
معلومات أخرى
معرفات الأمان العام لحساب غالباً ما يلي:
الجميع (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
المستخدمون AUTHORITY\Authenticated (S/1-5-11) في NT
معرف أمان جلسة عمل تسجيل الدخول (S-1-5-5-X-Y)
هام: يستخدم غالباً أداة "Whoami" لفحص "رموز الوصول المميزة". لا تظهر هذه الأداة SID جلسة تسجيل الدخول.

أمثلة للدول الجزرية الصغيرة النامية اعتماداً على نوع جلسة تسجيل الدخول:
محلي (S-1-2-0)
تسجيل الدخول إلى وحدة التحكم (دا-1-2-1)
AUTHORITY\NETWORK NT (د-1-5-2)
AUTHORITY\SERVICE NT (S-1-5-6)
AUTHORITY\INTERACTIVE NT (د-1-5-4)
AUTHORITY\TERMINAL NT SERVER USER (S/1-5-13)
AUTHORITY\BATCH NT (د-1-5-3)
الدول الجزرية الصغيرة النامية "المجموعات الأساسية" المستخدمة بشكل متكرر:
\Domain domain Computers (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
\Domain domain Users (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Domain Admins \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
الدول الجزرية الصغيرة النامية التي توثق كيف حصلت على التحقق من "جلسة عمل تسجيل الدخول":
أكدت سلطة توثيق الهوية (د-1-18-1)
وتؤكد الخدمات الهوية (د-1-18-2)
الدول الجزرية الصغيرة النامية التي تصف مستوى التناسق الرمز المميز:
متوسط المستوى الإلزامي (S-1-16-8192)
عالي المستوى الإلزامي (S-1-16-12288)
قد اختيارياً تضمين رمز الوصول الدول الجزرية الصغيرة النامية التالية:
BUILTIN\Pre Windows 2000 متوافق مع Access(S-1-5-32-554) إذا كان أي شخص يكون عضوا في هذه المجموعة
مؤسسة AUTHORITY\This NT (S-1-5-15) إذا كان الحساب من الكمبيوتر نفس الغابة.
ملاحظة:
  • لا تعتمد الدول الجزرية الصغيرة النامية في قائمة النواتج أداة كما ترى بالملاحظة في إدخال معرف الأمان "SID جلسة تسجيل الدخول"، ويفترض أنها كاملة لكافة أجهزة الكمبيوتر المستهدفة وأنواع تسجيل الدخول. يجب حساب في خطر الوقوع في هذا الحد عندما يحتوي على أكثر من 1000 الدول الجزرية الصغيرة النامية. لا تنسى أنه، اعتماداً على الكمبيوتر حيث تم إنشاء رمز مميز، المجموعات المحلية على محطة عمل أو ملقم يمكن أيضا إضافة.
  • xxxxxxxx-يييييييي-زززززززينديكاتيس مكونات المجال أو محطة عمل SID.
يوضح المثال التالي الأمان المحلي المجال أي مجموعات ستظهر في الرمز المميز للمستخدم عند تسجيل دخول المستخدم إلى كمبيوتر في مجال.

في هذا المثال، نفترض أن جو ينتمي إلى المجال وكان عضوا في المجموعة المحلية المجال Domain A\Chicago Users. جو عضو مجموعة المجال المحلية B\Chicago Domain Users. عند دخول جو إلى كمبيوتر ينتمي إلى المجال (على سبيل المثال، A\Workstation1 مجال)، يتم إنشاء رمز مميز لجو على الكمبيوتر، والرمز المميز الذي يشمل، بالإضافة إلى كافة عضوية المجموعة عالمي، معرف الأمان "المستخدمين A\Chicago المجال". لن يحتوي على معرف الأمان "المستخدمين B\Chicago المجال" للكمبيوتر حيث دخوله جو (المجال A\Workstation1) تنتمي إلى المجال أ.

وبالمثل، عند جو بتسجيل الدخول إلى كمبيوتر الذي ينتمي إلى مجال B (على سبيل المثال، المجال B\Workstation1)، يتم إنشاء رمز مميز لجو على الكمبيوتر، والرمز المميز الذي يتضمن، بالإضافة إلى كافة عضوية المجموعة عالمي، معرف الأمان "المستخدمين B\Chicago المجال"؛ لن يحتوي على معرف الأمان "المستخدمين A\Chicago المجال" للكمبيوتر حيث سجلت أحمد على (المجال B\Workstation1) تنتمي إلى "المجال b."

ومع ذلك، عند جو بتسجيل الدخول إلى كمبيوتر الذي ينتمي إلى مجال C (على سبيل المثال، المجال C\Workstation1)، يتم إنشاء رمز مميز لجو على الكمبيوتر تسجيل الدخول الذي يحتوي على كافة عضويات مجموعة عالمي لانس حساب المستخدم. معرف الأمان "المستخدمين A\Chicago المجال" معرف الأمان "المستخدمين B\Chicago المجال" يظهر في الرمز المميز لمجموعات المجال المحلية أن جو عضو من ليست في مجال مختلف عن الكمبيوتر حيث دخوله جو (المجال C\Workstation1). وبالعكس، إذا كان جو عضوا بعض مجموعة المجال المحلية الذي ينتمي إلى مجال C (على سبيل المثال، C\Chicago Domain Users)، الرمز المميز الذي تم إنشاؤه لجو على الكمبيوتر سيتضمن، بالإضافة إلى كافة عضوية المجموعة عالمي، معرف الأمان "المستخدمين C\Chicago المجال".

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 328889 - آخر مراجعة: 06/20/2016 07:00:00 - المراجعة: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtar
تعليقات
;did=1&t=">yTagName("head")[0].appendChild(m); age);" class="ng-binding" id="language-es-uy">Uruguay - Español
대한민국 - 한국어
España - Español
Paraguay - Español
Venezuela - Español
>did=1&t=">c1.microsoft.com/c.gif?DI=4050&did=1&t=">