Registro en una cuenta de usuario que sea miembro de los grupos más de 1010 puede fallar en un equipo basado en Windows Server

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 328889
Síntomas
Cuando un usuario intenta iniciar sesión en un equipo con una cuenta de equipo local o una cuenta de usuario de dominio, la solicitud de inicio de sesión puede fallar y recibe el siguiente mensaje de error:
Mensaje de inicio de sesión: El sistema no puede iniciar sesión debido al siguiente error: durante un intento de inicio de sesión, contexto de seguridad del usuario ha acumulado demasiados identificadores de seguridad. Por favor, inténtelo de nuevo o consulte con el administrador del sistema.
El problema se produce cuando el usuario de inicio de sesión es un miembro explícito o transitivo de aproximadamente 1010 o más grupos de seguridad.

Tipo de suceso: advertencia
Origen del evento: mensaje
Categoría del suceso: ninguna
Id. de suceso: 6035
Fecha:Fecha
Hora:tiempo
Usuario: N/D
Equipo: nombre de host

Descripción:

Durante un intento de inicio de sesión, contexto de seguridad del usuario ha acumulado demasiados identificadores de seguridad. Esta es una situación muy poco común. Quite algunos grupos globales o locales para reducir el número de identificadores para incorporar en el contexto de seguridad de seguridad del usuario.

Del usuario es SID SID

Si se trata de la cuenta Administrador, iniciar sesión en modo seguro permitirá administrador inicie sesión automáticamente restringiendo los miembros del grupo.

Causa
Cuando un usuario inicia sesión en un equipo, la autoridad de seguridad Local (LSA, una parte del subsistema de autoridad de seguridad Local) genera un testigo de acceso que representa el contexto de seguridad del usuario. El token de acceso consta de identificadores de seguridad único (SID) para cada grupo que el usuario es un miembro de. Estos SID incluyen grupos transitivos y valores SID de SIDHistory del usuario y las cuentas de grupo.

La matriz que contiene los SID de pertenencia del usuario en el token de acceso puede contener no más de 1024 SID. LSA no puede colocar a cualquier SID en el token. Por lo tanto, si hay más de SID, la LSA no puede crear el token de acceso y el usuario no podrá iniciar sesión.

Cuando se genera la lista de SID, la LSA también inserta varios SID genérico, conocido, además de los SID de pertenencia a grupos del usuario (se evalúa de manera transitiva). Por lo tanto si un usuario es miembro de los grupos de seguridad personalizada 1.010 más de cerca, el número total de SID puede superar el límite de SID 1.024.

Importante:
  • Símbolos (token) para el administrador y las cuentas de administrador no está sujetas al límite.
  • El número exacto de SID personalizado varía con el tipo de inicio de sesión (por ejemplo, interactiva, servicio, red) y la versión del sistema operativo del controlador de dominio y el equipo que se crea el token.
  • Mediante Kerberos o NTLM como protocolo de autenticación no influye en el límite de token de acceso.
  • Se explica la configuración "MaxTokenSize" del cliente de Kerberos en KB 327825. "Testigo" en el contexto de Kerberos hace referencia en el búfer para los vales recibidos por un host de Windows Kerberos. Dependiendo del tamaño del vale, el tipo de SID y si está habilitada la compresión de SID, el búfer puede contener menos o muchos más SID que cabía en el token de acceso.
La lista de SID personalizado incluirá lo siguiente:
  • El SID principal del usuario/equipo y los grupos de seguridad de la cuenta es miembro de.
  • Los SID en el atributo SIDHistory de los grupos en el ámbito de la sesión.
Dado que el atributo SIDHistory puede contener varios valores, el límite de 1024 SID pueden ponerse muy rápidamente si se migran cuentas varias veces. El número de SID en el Token de acceso podrá beless que el número total de grupos en los que el usuario es un miembro de en la situación siguiente:
  • El usuario es un dominio de confianza donde SIDHistory y los SID se filtran.
  • El usuario es un dominio de confianza a través de una relación de confianza donde se ponen en cuarentena los SID. A continuación, sólo los SID desde el mismo dominio que el usuario se incluyen.
  • Se incluyen sólo el dominio Local SIDs de grupo desde el dominio del recurso.
  • Se incluyen sólo el servidor Local SIDs de grupo desde el servidor de recursos.
Debido a estas diferencias, es posible que el usuario puede iniciar sesión en un equipo en un dominio, pero no a un equipo en otro dominio. El usuario también puede iniciar sesión en un servidor en un dominio, pero no a otro servidor del mismo dominio.
Solución
Para solucionar este problema, utilice uno de los métodos siguientes, según corresponda a su situación.

Método 1

Esta resolución se aplica a la situación en la que el usuario que se encuentre el error de inicio de sesión no es un administrador, y los administradores pueden iniciar sesión en el equipo o el dominio.

Esta solución debe realizarse por un administrador que tiene permisos para cambiar la pertenencia a grupos que el usuario afectado es un miembro de. El administrador debe cambiar la pertenencia del usuario para asegurarse de que el usuario ya no es miembro de más de aproximadamente 1010 grupos de seguridad (teniendo en cuenta la pertenencia transitiva y las pertenencias a grupos locales).

Opciones para reducir el número de SID en el token de usuario son las siguientes:
  • Quite el usuario de un número suficiente de grupos de seguridad.
  • Convertir a grupos de seguridad no usados a grupos de distribución. Grupos de distribución no cuentan para el límite de token de acceso. Grupos de distribución se pueden convertir a grupos de seguridad cuando se requiere un grupo convertido.
  • Determinar si las entidades de seguridad dependen de SID History para el acceso a los recursos. Si no es así, quite el atributo SIDHistory de estas cuentas. Puede recuperar el valor del atributo a través de una restauración autoritaria.
Nota: Aunque el número máximo de grupos de seguridad que un usuario puede ser miembro de es 1024, como práctica recomendada, restrinja el número a menos de 1010. Este número hace que esa generación token se realizará siempre correctamente ya que proporciona espacio para SID genéricos que son insertados por la LSA.

Método 2

La resolución se aplica a la situación en que Administrador de cuenta no puede iniciar sesión en el equipo.

Cuando el usuario cuyo inicio de sesión falla debido a demasiados miembros del grupo es un miembro del grupo Administradores, un administrador que tenga las credenciales de la cuenta de administrador (es decir, una cuenta que tiene un identificador relativo [RID] conocido de 500) debe reiniciar un controlador de dominio seleccionando la opción de inicio Modo seguro (o seleccionando la opción de inicio Modo seguro con funciones de red ). En modo seguro, a continuación, él debe iniciar sesión en el controlador de dominio utilizando credenciales de administrador de esta cuenta.

Microsoft ha cambiado el algoritmo de generación de símbolo (token) de manera que la LSA puede crear un token de acceso para la cuenta de administrador para que el administrador puede iniciar sesión sin tener en cuenta cuántos grupos transitivos o intransitivos grupos que la cuenta Administrador es miembro de. Cuando se utiliza una de estas opciones de inicio modo seguro, el token de acceso que se crea para la cuenta de administrador incluye el SID de todos los integrados y todos los grupos globales de dominio que la cuenta Administrador es miembro de.

Estos grupos suelen incluyen lo siguiente:
  • Todos (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • LOCAL (S-1-2-0)
  • Dominio\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • DominioAdministradores de \domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • / Builtin Windows 2000 compatible con Access(S-1-5-32-554) si todos es un miembro de este grupo
  • NT AUTHORITY\This organización (S-1-5-15) si el controlador de dominio está ejecutando Windows Server 2003
Nota: Si se utiliza la opción de inicio Modo seguro , la interfaz de usuario del complemento Active Directory Users and Computers (IU) no está disponible. En Windows Server 2003, el administrador también puede iniciar sesión seleccionando la opción de inicioModo seguro con funciones de red ; en este modo, los usuarios de Active Directory y equipos complemento de interfaz de usuario está disponible.

Después de que un administrador ha iniciado sesión, seleccionando una de las opciones de inicio de modo seguro y utilizando las credenciales de la cuenta de administrador, el administrador debe identificar y modificar la pertenencia a los grupos de seguridad que produjo la denegación de servicio de inicio de sesión.

Después de realizar este cambio, los usuarios podrán iniciar sesión correctamente después de transcurrido un período de tiempo que es igual a la latencia de replicación del dominio.
Más información
El SID de una cuenta genérica suelen incluir lo siguiente:
Todos (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT AUTHORITY\Authenticated Users (S-1-5-11)
Sid de sesión de inicio de sesión (S-1-5-5-X-Y)
Importante: la herramienta "Whoami" se utiliza a menudo para inspeccionar los Tokens de acceso. Esta herramienta no muestra el SID de inicio de sesión.

Ejemplos de SID, dependiendo del tipo de sesión de inicio de sesión:
LOCAL (S-1-2-0)
INICIO DE SESIÓN DE CONSOLA (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
USUARIO DE NT AUTHORITY\TERMINAL SERVIDOR (S-1-5-13)
AUTHORITY\BATCH NT (S-1-5-3)
SID de los grupos principales utilizados con frecuencia:
Equipos del dominio \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Usuarios del dominio \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Administradores de dominio \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
SID que documente cómo consiguió comprueba el inicio de sesión:
La autoridad de autenticación afirmado identidad (S-1-18-1)
Servicio afirmado identidad (S-1-18-2)
SID que describen el nivel de coherencia del token:
Nivel obligatorio medio (S-1-16-8192)
Nivel obligatorio alto (S-1-16-12288)
El token de acceso puede incluir opcionalmente los siguientes SID:
/ Builtin Windows 2000 compatible con Access(S-1-5-32-554) si todos es un miembro de este grupo
NT AUTHORITY\This organización (S-1-5-15) si la cuenta está en el mismo bosque que el equipo.
Nota:
  • Como puede ver con la nota en la entrada de SID "SID sesión de inicio de sesión", no contar los SID en la lista de resultados de la herramienta y se supone que están completas para todos los equipos de destino y los tipos de inicio de sesión. Considere la posibilidad de que una cuenta se encuentra en peligro de quedarse en este límite cuando tiene más de 1000 SID. No olvide que, según el equipo donde se crea un token, servidor o grupos locales de la estación de trabajo también se pueden agregar.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates los componentes de la estación de trabajo o dominio del SID.
En el ejemplo siguiente se muestra qué grupos se mostrarán en el token del usuario cuando el usuario inicia sesión en un equipo en un dominio de seguridad local de dominio.

En este ejemplo, suponga que pertenece al dominio A Joe y que es miembro de un grupo local de dominio los usuarios del dominio A\Chicago. Joe también es un miembro de un grupo local de dominio los usuarios del dominio B\Chicago. Cuando Juan inicia sesión en un equipo que pertenece al dominio (por ejemplo, el dominio A\Workstation1), se genera un token para Joe en el equipo y el token contiene, además de todas las pertenencias de grupos globales y universales, el SID para usuarios del dominio A\Chicago. No contiene al SID para usuarios del dominio B\Chicago puesto que el equipo donde Joe iniciado sesión (dominio A\Workstation1) pertenece al dominio A.

Igualmente, cuando Juan inicia sesión en un equipo que pertenezca al dominio B (por ejemplo, dominio B\Workstation1), se genera un token de Juan en el equipo y el token contiene, además de todas las pertenencias de grupos globales y universales, el SID para usuarios del dominio B\Chicago; no contiene al SID para usuarios del dominio A\Chicago puesto que el equipo donde Joe iniciado sesión (dominio B\Workstation1) pertenece al dominio B.

Sin embargo, cuando Juan inicia sesión en un equipo que pertenece al dominio C (por ejemplo, dominio C\Workstation1), se genera un símbolo (token) para Juan en el equipo de inicio de sesión que contiene todas las pertenencias a grupos globales y universales de la cuenta de usuario de Juan. El SID para usuarios del dominio A\Chicago ni el SID para usuarios del dominio B\Chicago aparece en el token porque los grupos locales de dominio que Juan es un miembro de están en un dominio diferente que el equipo donde Joe iniciado sesión (dominio C\Workstation1). Por el contrario, si Juan fuera un miembro de algún grupo local de dominio que pertenece al dominio C (por ejemplo, usuarios del dominio C\Chicago), el símbolo (token) que se genera para Juan en el equipo contendría, además de todas las pertenencias de grupos globales y universales, el SID para usuarios del dominio C\Chicago.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 328889 - Última revisión: 06/20/2016 07:02:00 - Revisión: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtes
Comentarios