Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Ein Benutzerkonto über 1010 Gruppen Anmeldung fehlschlagen auf einem Windows Server-basierten computer

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 328889
Problembeschreibung
Wenn ein Benutzer versucht, sich ein Computer mit einem lokalen Computerkonto oder ein Domänenbenutzerkonto der Anmeldeanfrage fehlschlagen und Sie erhalten die folgende Fehlermeldung angezeigt:
Anmeldenachricht: Das System kann Sie nicht anmelden aufgrund des folgenden Fehlers: im Verlauf eines Anmeldeversuchs sammelte Sicherheitskontext des Benutzers zu viele Sicherheits-IDs. Versuchen Sie es erneut, oder wenden Sie sich an Ihren Systemadministrator.
Das Problem tritt auf, wenn der angemeldete Benutzer ein Mitglied explizit oder transitive etwa 1010 oder mehrere Sicherheitsgruppen ist.

Ereignistyp: Warnung
Quelle: LsaSrv
Kategorie: keine
Ereignis-ID: 6035
Datum:Datum
Zeit:Zeit
Benutzer: nicht vorhanden
Computer: Hostname

Beschreibung

Im Verlauf eines Anmeldeversuchs sammelte Sicherheitskontext des Benutzers zu viele Sicherheits-IDs. Dies ist eine äußerst ungewöhnliche Situation. Entfernen Sie den Benutzer aus einigen globalen oder lokalen Gruppen Reduzierung der Sicherheits-IDs in den Sicherheitskontext integrieren.

Benutzer SID SID

Ist dies das Administratorkonto wird im abgesicherten Modus anmelden Administrator anmelden automatisch Gruppenmitgliedschaften einschränken aktivieren.

Ursache
Wenn ein Benutzer an einem Computer anmeldet, generiert die lokale Sicherheitsautorität (LSA, einen Teil der lokalen Sicherheitsautorität) ein Zugriffstoken, der Sicherheitskontext des Benutzers darstellt. Das Zugriffstoken besteht eindeutige Sicherheits-ID (SID) für jede Gruppe, der der Benutzer angehört. Diese SIDs sind transitive Gruppen und SID-Werte von SIDHistory der Benutzer-und Gruppenkonten.

Das Array, das die SIDs der Gruppenmitgliedschaften des Benutzers im Zugriffstoken enthält darf nicht mehr als 1024 SIDs. Die LSA kann keine SID aus dem Token gelöscht. Also wenn weitere SIDs sind LSA Zugriffstoken erstellt und der Benutzer sich anmelden können.

Bei der Erstellung der Liste der SIDs fügt die LSA auch mehrere generische, bekannte SIDs neben die SIDs für die Gruppenmitgliedschaften des Benutzers (transitiv ausgewertet). Daher ist ein Benutzer Mitglied von mehr als ca. 1.010 benutzerdefinierte Sicherheitsgruppen, die Gesamtzahl der SIDs kann überschreitet die 1.024 SID.

Wichtig
  • Token für Administrator und nicht-Administratorkonten sind beschränkt.
  • Die genaue Anzahl der benutzerdefinierten SIDs hängt Anmeldetyp (z. B. interaktive, Service, Netzwerk) und Betriebssystemversion von Domänencontroller und Computer, die das Token erstellt.
  • Mit Kerberos oder NTLM als Authentifizierungsprotokoll hat keinen Einfluss auf Access token.
  • Einstellung "MaxTokenSize" Kerberos-Client wird in KB behandelt. 327825. "Token" in Kerberos Kontext bezieht sich auf den Puffer für empfängt eine Windows Kerberos-Tickets. Je nach Größe des Tickets, die SIDs und ob SID Komprimierung aktiviert ist kann der Puffer weniger oder viele weitere SIDs als passen in das Zugriffstoken.
Die Liste der benutzerdefinierten SIDs umfasst Folgendes:
  • Die primären SIDs dem Benutzercomputer und Sicherheit das Konto ist Mitglied.
  • Die SIDs im Attribut SIDHistory Gruppen im Bereich der Anmeldung.
Da das SIDHistory-Attribut mehrere Werte enthalten kann, kann maximal 1024 SIDs sehr schnell erreicht werden wenn Konten mehrmals migriert werden. Die Anzahl der SIDs in den Zugriffstoken wird Beless als die Gesamtzahl der Gruppen, denen der Benutzer Mitglied in den folgenden Situationen:
  • Der Benutzer kann aus einer vertrauenswürdigen Domäne, SID-Verlauf und SIDs herausgefiltert werden.
  • Der Benutzer kann aus einer vertrauten Domäne über eine Vertrauensstellung, SIDs isoliert werden. Dann nur SIDs aus der gleichen Domäne wie des Benutzers enthalten sind.
  • Nur die Gruppe SIDs der lokalen Domäne aus der Domäne der Ressource gehören.
  • Nur der Server lokale Gruppen-SIDs aus dem Ressourcenserver sind enthalten.
Aufgrund dieser Unterschiede ist es möglich, dass der Benutzer auf einem Computer in einer Domäne, jedoch nicht auf einem Computer in einer anderen Domäne anmelden kann. Der Benutzer kann möglicherweise auch mit einem Server in einer Domäne, aber nicht auf einen anderen Server in derselben Domäne anmelden.
Lösung
Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden entsprechend Ihrer Situation.

Methode 1

Diese Lösung gilt für die Situation in der Anmeldung fehlerbehaftete Benutzer kein Administrator ist, und Administratoren können erfolgreich anmelden, auf dem Computer oder der Domäne.

Diese Lösung muss von einem Administrator ausgeführt hat Berechtigungen zum Ändern von Gruppenmitgliedschaften der betroffene Benutzer Mitglied ist. Der Administrator muss die Gruppenmitgliedschaften des Benutzers sicherstellen, dass der Benutzer nicht mehr Mitglied von mehr als ca. 1010 Sicherheitsgruppen (unter Berücksichtigung der transitive Gruppenmitgliedschaften und lokale Gruppenmitgliedschaft) ändern.

Reduzieren Sie die Anzahl der SIDs in das Benutzertoken folgende Optionen:
  • Entfernen Sie den Benutzer über eine ausreichende Anzahl von Sicherheitsgruppen.
  • Konvertieren Sie nicht verwendete Sicherheitsgruppen in Verteilergruppen. Verteilergruppen zählen nicht Access token Limit. Verteilergruppen können zu Sicherheitsgruppen konvertiert werden, wenn eine konvertierte Gruppe erforderlich ist.
  • Bestimmen Sie, ob SID History für den Ressourcenzugriff Sicherheitsprinzipale abhängig sind. Wenn dies nicht der Fall ist, entfernen Sie das Attribut SIDHistory aus diesen Konten. Sie können den Attributwert über eine autorisierende Wiederherstellung abrufen.
Hinweis Die maximale Anzahl von Sicherheitsgruppen, denen ein Benutzer Mitglied sein kann zwar 1024 als eine optimale wenige auf weniger als 1010. Dadurch Zahl wird token Generation sicher immer erfolgreich, da es dient für generischen SIDs, die von der LSA eingefügt werden.

Methode 2

Die Lösung gilt für die Situation in welcher, die Administrator Konto auf dem Computer nicht anmelden.

Wenn Benutzer, deren Anmeldung schlägt, weil zu viele Gruppenmitgliedschaften fehl, Mitglied der Administratorengruppe ist, muss ein Administrator mit den Anmeldeinformationen für das Administratorkonto (ein Konto, das ein bekannter RID-relative ID [] 500) Domänencontroller durch Auswählen der Startoption Abgesicherter Modus (oder durch Auswählen der Startoption Abgesicherter Modus mit Netzwerktreibern ) neu starten. Im abgesicherten Modus muss er dann dem Domänencontroller anmelden mithilfe dieser Anmeldeinformationen.

Microsoft hat den token Algorithmus geändert, damit die LSA ein Zugriffstoken für das Administratorkonto erstellen unabhängig wie viele Gruppen transitiv Intransitiv Gruppen, denen das Administratorkonto Mitglied der Administrator anmelden kann. Wird eine der folgenden Optionen im abgesicherten Modus starten enthält das Zugriffstoken, das für das Administratorkonto erstellt die SIDs aller integrierten und alle globale Gruppen der Domäne, die das Administratorkonto Mitglied.

Diese Gruppen umfassen normalerweise Folgendes:
  • Jeder (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • VORDEFINIERT\Administratoren (S-1-5-32-544)
  • NT-AUTORITÄT\INTERAKTIV (S-1-5-4)
  • NT-AUTORITÄT\Authentifizierte Benutzer (S-1-5-11)
  • LOKALE (S-1-2-0)
  • Domäne\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domäne\Domain-Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre-Windows 2000 kompatibler Access(S-1-5-32-554) jeder ein Mitglied dieser Gruppe ist
  • NT AUTHORITY\This Organisation (S-1-5-15) Wenn der Domänencontroller Windows Server 2003 ausgeführt wird
Hinweis Wenn die Startoption Abgesicherter Modus verwendet wird, ist die Active Directory-Benutzer und Computer Snap-in-Benutzeroberfläche (UI) nicht verfügbar. In Windows Server 2003 kann der Administrator Alternativ Anmelden die OptionAbgesicherter Modus mit Netzwerktreibern starten; In diesem Snap-in Active Directory-Benutzer und-Computer, UI verfügbar ist.

Nachdem ein Administrator eine der Startoptionen im abgesicherten Modus und mit den Anmeldeinformationen des Administratorkontos angemeldet hat, muss der Administrator identifizieren und Ändern der Mitgliedschaft in Sicherheitsgruppen, die die Anmeldung Dienstverweigerungsangriff verursacht.

Nach dieser Änderung sollte Benutzer erfolgreich anmelden, nach Ablauf ein Zeitraums der Domäne Replikationswartezeit entspricht.
Weitere Informationen
Die generischen SIDs eines Kontos häufig Folgendes:
Jeder (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
VORDEFINIERT\Administratoren (S-1-5-32-544)
NT-AUTORITÄT\Authentifizierte Benutzer (S-1-5-11)
Anmeldung Sitzung Sid (S-1-5-5-X-Y)
Wichtig: das Tool "Whoami" wird häufig Zugriffstoken überprüfen. Dieses Tool zeigt die Sitzung SID.

Beispiele für SIDs je Sitzung anmelden:
LOKALE (S-1-2-0)
KONSOLE ANMELDEN (S-1-2-1)
NT-AUTORITÄT (S-1-5-2)
NT-AUTHORITY\SERVICE (S-1-5-6)
NT-AUTORITÄT\INTERAKTIV (S-1-5-4)
NT AUTHORITY\TERMINAL SERVER-BENUTZER (S-1-5-13)
NT-AUTHORITY\BATCH (S-1-5-3)
SIDs für häufig verwendete Primärgruppen:
\Domain Computer (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
\Domain Domänenbenutzer (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Domänenadministratoren \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
SIDs, die dokumentieren, wie die Sitzung überprüft haben:
Die Authentifizierungsautorität bestätigt die Identität (S-1-18-1)
Dienst bestätigt die Identität (S-1-18-2)
SIDs, die die Konsistenz des Tokens beschreiben:
Mittlere Verbindlichkeitsstufe (S-1-16-8192)
Hohe Verbindlichkeitsstufe (S-1-16-12288)
Das Zugriffstoken kann optional die folgenden SIDs enthalten:
BUILTIN\Pre-Windows 2000 kompatibler Access(S-1-5-32-554) jeder ein Mitglied dieser Gruppe ist
NT AUTHORITY\This Organisation (S-1-5-15) ist das Konto aus derselben Gesamtstruktur wie der Computer.
Hinweis
  • Siehe mit der SID-Eintrag "Anmeldung Sitzung SID", nicht zählen die SIDs in der Tool-Ausgaben und für alle Zielcomputer Anmeldung abgeschlossen sind. Sie sollten berücksichtigen, dass ein Konto ist auf diese Grenze bei mehr als 1000 SIDs. Vergessen Sie nicht, dass je nach ein Token Erstellungsort Computer, Server oder Workstation Gruppen auch hinzugefügt werden können.
  • Xxxxxxxx-Yyyyyyyy-Zzzzzzzzindicates der Domäne oder Arbeitsstation Komponenten der SID.
Das folgende Beispiel veranschaulicht die domänenlokale Sicherheitsgruppe Gruppen im Zugriffstoken des Benutzers angezeigt werden, wenn der Benutzer an einem Computer in einer Domäne anmeldet.

In diesem Beispiel wird davon ausgegangen Sie, Joe gehört zur Domäne ein Mitglied einer lokalen Domänengruppe A\Chicago Domänenbenutzer ist. Joe ist auch Mitglied der lokalen Domänengruppe Domänenbenutzer B\Chicago. Joe Anmelden an einem Computer in Domäne A (z. B. Domäne A\Workstation1) gehört ein Token generiert Joe auf dem Computer, als Token enthält zusätzlich die universelle und globale Gruppenmitgliedschaften, die SID für Domänenbenutzer A\Chicago. Die SID für Domänenbenutzer B\Chicago enthält, da der Computer (Domain A\Workstation1), Joe angemeldet zu Domäne a gehört

Wenn Joe an einem Computer, der Domäne B (z. B. Domäne B\Workstation1) angehört anmeldet, ein Token für Joe auf dem Computer generiert, und das Token enthält zusätzlich die universelle und globale Gruppenmitgliedschaften, die SID für Domänenbenutzer B\Chicago; die SID für Domänenbenutzer A\Chicago enthält da (Domain B\Workstation1), Joe angemeldeten Computer b gehört

Jedoch wenn Joe an einem Computer, der Domäne C (z. B. Domäne C\Workstation1) angehört anmeldet, wird ein Token für Joe auf dem Anmeldecomputer generiert, alle universelle und globale Gruppenmitgliedschaften für Joes Benutzerkonto enthält. Die SID für Domänenbenutzer A\Chicago weder die SID sind für Domänenbenutzer B\Chicago im Token angezeigt wird, ist die lokale Domänengruppen, Joe Mitglied in einer anderen Domäne als der Computer, Joe (Domain C\Workstation1) angemeldet. Umgekehrt wäre Joe Mitglied einige lokale Gruppe der Domäne, die Domäne C (z. B. Domänenbenutzer C\Chicago) gehört, enthält das Token, das auf dem Computer für Joe generiert wird, neben die universelle und globale Gruppenmitgliedschaften, die SID für Domänenbenutzer C\Chicago.
Informationsquellen
Bekannte SIDs

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 328889 – Letzte Überarbeitung: 06/20/2016 07:01:00 – Revision: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtde
Feedback
c=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("