Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Ein Benutzerkonto über 1010 Gruppen Anmeldung fehlschlagen auf einem Windows Server-basierten computer

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

328889
Problembeschreibung
Wenn ein Benutzer versucht, sich an ein Computer mit einem lokalen Konto oder ein Domänenbenutzerkonto der Anmeldeanfrage fehlschlagen und sinngemäß die folgende Fehlermeldung angezeigt:
Anmeldenachricht: Das System kann Sie nicht anmelden aufgrund des folgenden Fehlers: im Verlauf eines Anmeldeversuchs sammelte Sicherheitskontext des Benutzers zu viele Sicherheits-IDs. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator.
Das Problem tritt auf, wenn der angemeldete Benutzer ein Mitglied explizit oder transitive ca. 1010 oder mehrere Sicherheitsgruppen ist.
Ursache
Wenn ein Benutzer an einem Computer anmeldet, generiert die lokale Sicherheitsautorität (LSA, einen Teil der lokalen Sicherheitsautorität) ein Zugriffstoken, der Sicherheitskontext des Benutzers darstellt. Das Zugriffstoken besteht aus eindeutigen Sicherheitsbezeichner (SID) für jede Gruppe, der der Benutzer angehört. Diese SIDs sind transitive Gruppen und SID-Werte von SIDHistory der Benutzer-und Gruppenkonten.

Das Array mit den SIDs der Gruppenmitgliedschaften im Zugriffstoken des Benutzers darf nicht mehr als 1024 SIDs. Die LSA kann keine SID aus dem Token gelöscht. So sind weitere SIDs, LSA nicht Zugriffstoken erstellt und des Benutzers nicht anmelden.

Bei der Erstellung der Liste der SIDs fügt die LSA auch mehrere generische, bekannten SIDs neben die SIDs für die Gruppenmitgliedschaften des Benutzers (transitiv ausgewertet). Daher ist ein Benutzer Mitglied von mehr als etwa 1.010 benutzerdefinierte Sicherheitsgruppen, die Gesamtzahl der SIDs kann überschreitet die 1.024 SID.

Wichtig
  • Token für Administrator und nicht-Administratorkonten unterliegen der Beschränkung.
  • Die genaue Anzahl der benutzerdefinierten SIDs hängt Anmeldetyp (z. B. interaktive, Service, Netzwerk) und Betriebssystemversion von Domänencontroller und Computer, die das Token erstellt.
  • Mit Kerberos oder NTLM als Authentifizierungsprotokoll hat keinen Einfluss auf Access token Limit.
  • Einstellung "MaxTokenSize" Kerberos-Client werden in KB 327825. "Token" in Kerberos Kontext bezieht sich auf den Puffer für empfängt eine Windows Kerberos-Tickets. Je nach Größe des Tickets, die SIDs und ob SID-Komprimierung aktiviert ist kann der Puffer weniger oder viele weitere SIDs als passen in das Zugriffstoken.
Die Liste der benutzerdefinierten SIDs umfasst Folgendes:
  • Die primären SIDs dem Benutzercomputer und Sicherheitsgruppen gehört das Konto.
  • Die SIDs in SIDHistory-Attribut der Gruppen im Bereich der Anmeldung.
Da das SIDHistory-Attribut mehrere Werte enthalten kann, kann maximal 1024 SIDs sehr schnell erreicht werden wenn Konten mehrmals migriert werden. Die Anzahl der SIDs in Access Token wird Beless als die Gesamtanzahl der Gruppen, denen der Benutzer Mitglied in den folgenden Situationen:
  • Der Benutzer kann aus einer vertrauten Domäne, SID-Verlauf und SIDs herausgefiltert.
  • Der Benutzer kann aus einer vertrauten Domäne über eine Vertrauensstellung, SIDs isoliert. Dann nur SIDs aus derselben Domäne wie des Benutzers gehören.
  • Nur die Gruppe SIDs der lokalen Domäne aus der Domäne der Ressource gehören.
  • Nur der Server lokale Gruppen-SIDs aus dem Ressourcenserver sind enthalten.
Aufgrund dieser Unterschiede ist es möglich, dass der Benutzer einen Computer in einer Domäne, jedoch nicht auf einem Computer in einer anderen Domäne anmelden kann. Der Benutzer kann möglicherweise auch mit einem Server in einer Domäne, jedoch nicht auf einen anderen Server in derselben Domäne anmelden.
Lösung
Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden entsprechend Ihrer Situation.

Methode 1

Diese Lösung gilt für die Situation, in der die Anmeldung Fehler Benutzer kein Administrator ist, und Administratoren können erfolgreich anmelden, auf dem Computer oder der Domäne.

Diese Lösung muss von einem Administrator ausgeführt werden mit Berechtigungen zum Ändern der Gruppenmitgliedschaften, denen betroffene Benutzer angehört. Der Administrator muss die Gruppenmitgliedschaften des Benutzers um sicherzustellen, dass der Benutzer nicht mehr als ca. 1010 Sicherheitsgruppen (unter Berücksichtigung der transitive Gruppenmitgliedschaften und lokale Gruppenmitgliedschaft) gehört ändern.

Die folgenden: Optionen zum Reduzieren der Anzahl von SIDs im Benutzertoken
  • Entfernen Sie den Benutzer über eine ausreichende Anzahl von Sicherheitsgruppen.
  • Konvertieren Sie nicht verwendete Sicherheitsgruppen in Verteilergruppen. Verteilergruppen nicht Access token Limit angerechnet. Verteilergruppen können zu Sicherheitsgruppen konvertiert werden, wenn eine konvertierte Gruppe erforderlich ist.
  • Bestimmt, ob SID History für den Ressourcenzugriff von Sicherheitsprinzipalen verwenden. Anderenfalls entfernen Sie das Attribut SIDHistory aus diesen Konten. Sie können den Attributwert über eine autorisierende Wiederherstellung abrufen.
Hinweis Zwar von Sicherheitsgruppen, denen ein Benutzer Mitglied sein kann maximal 1024 als eine optimale wenige auf weniger als 1010. Diese Zahl wird werden token Generation sicher immer erfolgreich, da bietet Platz für generischen SIDs, die von der LSA eingefügt werden.

Methode 2

Die Lösung gilt für die Situation in welcher, die Administrator Konto auf dem Computer nicht anmelden.

Der Benutzer, deren Anmeldung schlägt, weil zu viele Gruppenmitgliedschaften fehl, Mitglied der Administratorengruppe ist, muss ein Administrator die Anmeldeinformationen für das Administratorkonto (also ein Konto mit einem bekannten RID-relative ID [] 500) Domänencontroller durch Auswählen der Startoption Abgesicherter Modus (oder die Option Abgesicherter Modus mit Netzwerktreibern starten) starten. Im abgesicherten Modus muss er dann an den Domänencontroller anmelden mithilfe dieser Anmeldeinformationen.

Microsoft hat den token Algorithmus geändert, damit die LSA ein Zugriffstoken für das Administratorkonto erstellen unabhängig wie viele Gruppen transitiv Intransitiv Gruppen, denen das Administratorkonto Mitglied der Administrator anmelden kann. Bei einer dieser Optionen im abgesicherten Modus starten, enthält das Zugriffstoken, das für das Administratorkonto erstellt SIDs aller integrierten und alle globale Gruppen der Domäne, die das Administratorkonto Mitglied.

Diese Gruppen umfassen normalerweise Folgendes:
  • Jeder (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • VORDEFINIERT\Administratoren (S-1-5-32-544)
  • NT-AUTORITÄT\INTERAKTIV (S-1-5-4)
  • NT-AUTORITÄT\Authentifizierte Benutzer (S-1-5-11)
  • LOKALE (S-1-2-0)
  • Domäne\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domäne\Domain-Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre-Windows 2000 kompatibler Access(S-1-5-32-554) jeder ein Mitglied dieser Gruppe ist
  • NT AUTHORITY\This Organisation (S-1-5-15) Wenn der Domänencontroller Windows Server 2003 ausgeführt wird
Hinweis Wenn die Startoption Abgesicherter Modus verwendet wird, ist die Active Directory-Benutzer und -Computer-Snap-in Benutzeroberfläche (UI) nicht verfügbar. In Windows Server 2003 kann der Administrator Alternativ Anmelden die OptionAbgesicherter Modus mit Netzwerktreibern starten; In diesem Modus Snap-in Active Directory-Benutzer und-Computer, Benutzeroberfläche verfügbar ist.

Nachdem ein Administrator eine der Optionen des abgesicherten Modus starten und mithilfe der Anmeldeinformationen des Administratorkontos angemeldet hat, muss der Administrator identifizieren und Ändern der Mitgliedschaft in Sicherheitsgruppen, die die Anmeldung Dienstverweigerungsangriff verursacht.

Nach dieser Änderung sollte Benutzern erfolgreich anmelden, nach Ablauf ein Zeitraums der Domäne Replikationswartezeit entspricht.
Weitere Informationen
Die generischen SIDs eines Kontos häufig folgende:
Jeder (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
VORDEFINIERT\Administratoren (S-1-5-32-544)
NT-AUTORITÄT\Authentifizierte Benutzer (S-1-5-11)
Anmeldung Sitzung Sid (S-1-5-5-X-Y)
Wichtig: das Tool "Whoami" wird häufig Zugriffstoken überprüfen. Dieses Tool zeigt die Sitzung SID.

Geben Sie Beispiele für SIDs je nach Anmeldung
LOKALE (S-1-2-0)
KONSOLE ANMELDEN (S-1-2-1)
NT-AUTORITÄT\NETZWERKDIENST (S-1-5-2)
NT-AUTHORITY\SERVICE (S-1-5-6)
NT-AUTORITÄT\INTERAKTIV (S-1-5-4)
NT AUTHORITY\TERMINAL SERVER-BENUTZER (S-1-5-13)
NT-AUTHORITY\BATCH (S-1-5-3)
SIDs für häufig verwendete primäre Gruppen:
\Domain Computer (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
\Domain Domänenbenutzer (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
\Domain Domänenadministratoren (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
SIDs, die dokumentieren, wie die Sitzung überprüft haben:
Die Authentifizierungsautorität bestätigt die Identität (S-1-18-1)
Dienst bestätigt die Identität (S-1-18-2)
SIDs, die die Konsistenz des Tokens beschreiben:
Mittlere Verbindlichkeitsstufe (S-1-16-8192)
Hohe obligatorische Stufe (S-1-16-12288)
Das Zugriffstoken kann optional die folgenden SIDs enthalten:
BUILTIN\Pre-Windows 2000 kompatibler Access(S-1-5-32-554) jeder ein Mitglied dieser Gruppe ist
NT-AUTHORITY\This-Organisation (S-1-5-15) ist das Konto aus derselben Gesamtstruktur wie der Computer.
Hinweis
  • Siehe mit der SID-Eintrag "Anmeldung Sitzung SID", nicht zählen Sie die SIDs in der Tool-Ausgaben und davon ausgehen Sie, dass sie für alle Zielcomputer und Anmeldetypen. Sie sollten sich ein Konto Gefahr laufen in diesen Grenzwert bei mehr als 1000 SIDs. Vergessen Sie nicht, dass je nach Token Erstellungsort Computer, Server oder Workstation Gruppen auch hinzugefügt werden können.
  • Xxxxxxxx-Yyyyyyyy-Zzzzzzzzindicates der Domäne oder Arbeitsstation Komponenten der SID.
Das folgende Beispiel veranschaulicht die domänenlokale Sicherheitsgruppe Gruppen im Zugriffstoken des Benutzers angezeigt werden, wenn der Benutzer auf einen Computer in einer Domäne anmeldet.

In diesem Beispiel wird davon ausgegangen Sie, Joe gehört zur Domäne A ist ein Mitglied einer lokalen Domänengruppe Domänenbenutzer A\Chicago. Joe ist auch Mitglied der lokalen Domänengruppe Domänenbenutzer B\Chicago. Wenn Joe Anmelden an einem Computer in Domäne A (z. B. Domäne A\Workstation1), ein Token auf dem Computer für Joe generiert und das Token enthält neben die universelle und globale Gruppenmitgliedschaften, die SID für Domänenbenutzer A\Chicago. Die SID für Domänenbenutzer B\Chicago enthält, da der Computer (Domain A\Workstation1), Joe angemeldet zu Domäne a gehört

Wenn Joe an einem Computer, der Domäne B (z. B. Domäne B\Workstation1) angehört anmeldet, ein Token für Joe auf dem Computer generiert, und das Token enthält neben die universelle und globale Gruppenmitgliedschaften, die SID für Domänenbenutzer B\Chicago; die SID für Domänenbenutzer A\Chicago enthält da (Domain B\Workstation1), Joe angemeldeten Computer b gehört

Jedoch wenn Joe an einem Computer, der Domäne C (z. B. Domäne C\Workstation1) angehört anmeldet, wird ein Token für Joe Rechner anmelden generiert, alle universelle und globale Gruppenmitgliedschaften für Joes Benutzerkonto enthält. Die SID für Domänenbenutzer A\Chicago weder die SID sind für Domänenbenutzer B\Chicago im Token angezeigt wird, ist die lokale Domänengruppen, Joe Mitglied in einer anderen Domäne als der Computer, Joe (Domain C\Workstation1) angemeldet. Umgekehrt wäre Joe Mitglied einige lokale Gruppe der Domäne, die Domäne C (z. B. C\Chicago von Domänenbenutzern) gehört, enthält das Token, das auf dem Computer für Joe generiert wird, neben die universelle und globale Gruppenmitgliedschaften, die SID für Domänenbenutzer C\Chicago.
Informationsquellen
Bekannte SIDs

Warnung: Dieser Artikel wurde automatisch übersetzt

Eigenschaften

Artikelnummer: 328889 – Letzte Überarbeitung: 12/15/2015 06:52:00 – Revision: 3.0

  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtde
Feedback
06977" class="ctl_footerNavLink" data-bi-name="Footer_TermsOfUse" data-bi-slot="1"> Nutzungsbedingungen
  • Datenschutz und Cookies
  • Markenzeichen
  • Kontakt
  • Impressum
  • Informationen zu unserer Werbung
  • © 2016 Microsoft