Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Ouverture de session d’un compte d’utilisateur qui est un membre des groupes de plus de 1010 peut échouer sur un ordinateur Windows Server

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 328889
Symptômes
Lorsqu’un utilisateur essaie d’ouvrir une session sur un ordinateur à l’aide d’un compte d’ordinateur local ou un compte d’utilisateur de domaine, la demande d’ouverture de session peut échouer et le message d’erreur suivant :
Message d’ouverture de session : Le système ne peut pas ouvrir votre session en raison de l’erreur suivante : lors d’une tentative d’ouverture de session, le contexte de sécurité utilisateur a accumulé trop d’ID de sécurité. Réessayez ou contactez votre administrateur système.
Le problème se produit lorsque l’utilisateur est un membre explicit ou transitif environ 1010 ou plusieurs groupes de sécurité.

Type d’événement : avertissement
Source de l’événement : LsaSrv
Catégorie de l'événement : aucune
L’ID d’événement : 6035
Date :Date
Heure :heure
Utilisateur : n/a
Ordinateur : nom d’hôte

Description :

Lors d’une tentative d’ouverture de session, le contexte de sécurité utilisateur accumulé trop d’ID de sécurité. Il s’agit d’une situation très inhabituelle. Supprimer l’utilisateur de quelques groupes globaux ou locaux pour réduire le nombre d’identificateurs, d’incorporer dans le contexte de sécurité de sécurité.

L’utilisateur SID est SID

Si c’est le compte d’administrateur, ouvrez une session en mode sans échec permettra administrateur ouvrir une session en limitant l’appartenance aux groupes automatiquement.

Cause
Lorsqu’un utilisateur ouvre une session sur un ordinateur, l’autorité de sécurité locale (LSA, une partie de la Local Security Authority Subsystem) génère un jeton d’accès qui représente le contexte de sécurité de l’utilisateur. Le jeton d’accès se compose des identificateurs de sécurité unique (SID) pour chaque groupe dont l’utilisateur est membre. Ces SID sont transitives groupes et des valeurs de SID dans SIDHistory de l’utilisateur et les comptes de groupe.

Le tableau qui contient les identificateurs SID des appartenances aux groupes de l’utilisateur dans le jeton d’accès peut contenir pas plus de 1024 SID. Le LSA ne peut pas supprimer des SID à partir du jeton. Par conséquent, s’il y a plusieurs identificateurs de sécurité, le LSA ne peut pas créer le jeton d’accès et l’utilisateur ne pourra pas se connecter.

Lorsque la liste des SID est générée, le LSA insère également les SID bien connu, générique, plusieurs en plus les identificateurs SID pour les appartenances de l’utilisateur (évaluée de manière transitive). Ainsi, si un utilisateur est membre des groupes de sécurité personnalisés plus d’environ 1,010, le nombre total de SID peut dépasser la limite de SID 1 024.

Important
  • Pour les comptes administrateur et non-administrateur, les jetons sont soumis à la limite.
  • Le nombre exact de SID personnalisé varie selon le type d’ouverture de session (par exemple, interactive, service, réseau) et la version du système d’exploitation du contrôleur de domaine et ordinateur qui crée le jeton.
  • À l’aide de NTLM ou Kerberos comme protocole d’authentification n’a aucune incidence sur la limite de jeton d’accès.
  • Du client Kerberos « MaxTokenSize » décrite dans KB 327825. « Jeton » dans le contexte de Kerberos fait référence à la mémoire tampon pour les tickets reçue par un hôte Windows Kerberos. En fonction de la taille du ticket, le type de SID et si la compression des SID est activée, la mémoire tampon peut contenir moins ou de SID plus celui tiendraient dans le jeton d’accès.
La liste des identificateurs de sécurité personnalisé sera sont les suivants :
  • Le SID principal de l’utilisateur ou l’ordinateur et les groupes de sécurité du compte est membre.
  • Les identificateurs SID dans l’attribut SIDHistory des groupes dans la portée de l’ouverture de session.
Étant donné que l’attribut SIDHistory peut contenir plusieurs valeurs, la limite de 1024 SID peut être atteinte très rapidement si les comptes sont migrés plusieurs fois. Le nombre de SID dans le jeton d’accès sont beless que le nombre total de groupes dont l’utilisateur est un membre dans la situation suivante :
  • L’utilisateur est dans un domaine approuvé où SIDHistory et les SID sont éliminés par filtrage.
  • L’utilisateur est dans un domaine approuvé par une approbation où les SID sont mis en quarantaine. Ensuite, uniquement des identificateurs dans le même domaine que l’utilisateur sont inclus.
  • Seulement le domaine Local SID de groupe du domaine de la ressource sont inclus.
  • Seulement le serveur Local SID de groupe à partir du serveur de ressources sont inclus.
En raison de ces différences, il est possible que l’utilisateur peut ouvrir une session sur un ordinateur dans un domaine, mais pas à un ordinateur dans un autre domaine. L’utilisateur peut également être en mesure de se connecter à un serveur dans un domaine, mais pas à un autre serveur dans le même domaine.
Résolution
Pour résoudre ce problème, utilisez une des méthodes suivantes, en fonction de votre situation.

Méthode 1

Cette solution s’applique à la situation dans laquelle l’utilisateur qui rencontre l’erreur d’ouverture de session n’est pas un administrateur, et les administrateurs peuvent ouvrir une session sur l’ordinateur ou au domaine.

Cette solution doit être effectuée par un administrateur qui dispose des autorisations nécessaires pour modifier les appartenances aux groupes dont l’utilisateur concerné est membre de. L’administrateur doit modifier les appartenances aux groupes de l’utilisateur afin de vous assurer que l’utilisateur n’est plus membre des groupes de sécurité plus d’environ 1010 (en tenant compte de l’appartenance aux groupes transitives et les appartenances aux groupes locaux).

Pour réduire le nombre de SID dans le jeton de l’utilisateur contient les options suivantes :
  • Supprimer l’utilisateur à partir d’un nombre suffisant de groupes de sécurité.
  • Convertir les groupes de sécurité non utilisés pour les groupes de distribution. Les groupes de distribution ne comptent pas par rapport à la limite de jeton d’accès. Les groupes de distribution peuvent être convertis en groupes de sécurité lorsqu’un groupe converti est requis.
  • Déterminer si les entités de sécurité reposent sur des SID History pour accéder aux ressources. Si ce n’est pas le cas, supprimez l’attribut SIDHistory de ces comptes. Vous pouvez récupérer la valeur de l’attribut à une restauration faisant autorité.
Remarque : Bien que le nombre maximal de groupes de sécurité auxquels un utilisateur peut être membre de 1024, comme une meilleure pratique, limitent le nombre à moins de 1010. Ce numéro fait que cette génération de jeton échoue jamais, car elle fournit un espace pour des SID génériques qui sont insérées par le LSA.

Méthode 2

La résolution de le s’applique à la situation dans l’administrateur de compte ne peut pas ouvrir une session sur l’ordinateur.

Lorsque l’utilisateur dont la connexion échoue en raison de la trop appartenances à un groupe est un membre du groupe Administrateurs, un administrateur qui dispose des informations d’identification pour le compte d’administrateur (c'est-à-dire un compte qui possède un identificateur connu relatif [RID] de 500) devez redémarrer un contrôleur de domaine en sélectionnant l’option de démarrage En Mode sans échec (ou en sélectionnant l’option de démarrage En Mode sans échec avec mise en réseau ). En mode sans échec, il doit ouvrir une session pour le contrôleur de domaine à l’aide de cette identification de compte d’administrateur.

Microsoft a modifié l’algorithme de génération de jeton afin que le LSA peut créer un jeton d’accès pour le compte de l’administrateur afin que l’administrateur peut ouvrir une session, quel que soit le nombre de groupes transitives ou intransitive groupes que le compte administrateur est un membre de. Lorsqu’une de ces options de démarrage en mode sans échec est utilisée, jeton d’accès qui est créé pour le compte administrateur comprend les SID de tous les intégré et tous les groupes globaux de domaine que le compte administrateur est un membre de.

En règle générale, ces groupes sont les suivants :
  • Tout le monde (S-1-1-0)
  • BUILTIN\Utilisateurs (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT\INTERACTIF (S-1-5-4)
  • NT Authority\utilisateurs authentifiés (S-1-5-11)
  • LOCAL (S-1-2-0)
  • Domaine\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domaine\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Accès-Windows 2000 Compatible Access(S-1-5-32-554) si tout le monde est membre de ce groupe
  • NT AUTHORITY\This organisation (S-1-5-15) si le contrôleur de domaine exécutant Windows Server 2003
Remarque Si l’option de démarrage En Mode sans échec est utilisée, l’interface utilisateur du composant logiciel enfichable ordinateurs et utilisateurs Active Directory (interface utilisateur) n’est pas disponible. Dans Windows Server 2003, l’administrateur peut également ouvrir une session en sélectionnant l’option de démarrageEn Mode sans échec avec réseau ; Dans ce mode, Active Directory utilisateurs et ordinateurs enfichable interface utilisateur n’est disponible.

Une fois que l’administrateur a ouvert une session en sélectionnant une des options de démarrage en mode sans échec et en utilisant les informations d’identification du compte administrateur, l’administrateur doit ensuite identifier et modifier l’appartenance à des groupes de sécurité qui a provoqué le déni de service d’ouverture de session.

Une fois cette modification effectuée, les utilisateurs doivent être en mesure d’ouvrir une session après qu’un laps de temps qui est égal à la latence de réplication du domaine soit écoulé.
Plus d'informations
Souvent, les SID d’un compte générique sont les suivants :
Tout le monde (S-1-1-0)
BUILTIN\Utilisateurs (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT Authority\utilisateurs authentifiés (S-1-5-11)
Sid de Session d’ouverture de session (S-1-5-5-X-Y)
Important: l’outil "Whoami" est souvent utilisée pour inspecter les jetons d’accès. Cet outil n’affiche pas l’ouverture de session SID.

Exemples de SID en fonction du type d’ouverture de session :
LOCAL (S-1-2-0)
OUVERTURE DE SESSION DE CONSOLE (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
AUTHORITY\SERVICE DE NT (S-1-5-6)
NT\INTERACTIF (S-1-5-4)
UTILISATEUR DE SERVEUR NT AUTHORITY\TERMINAL (S-1-5-13)
AUTHORITY\BATCH DE NT (S-1-5-3)
SID pour les groupes principaux fréquemment utilisés :
Domaine \Domain ordinateurs (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Utilisateurs du domaine \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Domaine \Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
SID qui documentent le mode de vérification de l’ouverture de Session a obtenu :
L’autorité d’authentification affirmée identité (S-1-18-1)
Assertion d’identité (S-1-18-2) de service
SID qui décrivent le niveau de cohérence du jeton :
Niveau obligatoire moyen (S-1-16-8 192)
Niveau obligatoire élevé (S-1-16-12288)
Le jeton d’accès peut également contenir des identificateurs de sécurité suivants :
BUILTIN\Accès-Windows 2000 Compatible Access(S-1-5-32-554) si tout le monde est membre de ce groupe
Organisation de AUTHORITY\This NT (S-1-5-15) si le compte est à partir de la même forêt que l’ordinateur.
Remarque
  • Comme vous pouvez voir la note au moment de l’entrée SID « SID de Session d’ouverture de session », ne pas compter les identificateurs SID dans la liste des sorties de l’outil et supposent qu’elles sont terminées pour tous les ordinateurs cibles et les types d’ouverture de session. Vous devez envisager de qu'un compte est en danger d’exécution dans cette limite, lorsqu’il n’a plus de 1000 SID. N’oubliez pas que, selon l’ordinateur lorsqu’un jeton est créé, groupes locaux de la station de travail ou de serveur peuvent également être ajoutés.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates les composants de station de travail ou le domaine de l’identificateur de sécurité.
L’exemple suivant illustre la sécurité de domaine local, groupes s’affichera dans le jeton d’utilisateur lorsque l’utilisateur ouvre une session sur un ordinateur dans un domaine.

Dans cet exemple, supposons que Jean appartient à un domaine A et qu’il est membre d’un groupe de domaine local utilisateurs du domaine A\Chicago. Joe est également membre d’un groupe de domaine local utilisateurs du domaine B\Chicago. Lorsque Jean ouvre une session sur un ordinateur qui appartient au domaine A (par exemple, A\Workstation1 du domaine), un jeton est généré pour Jean sur l’ordinateur et le jeton contient, en plus de toutes les appartenances de groupes universels ou globaux, l’identificateur de sécurité pour les utilisateurs de domaine A\Chicago. Il ne contiendra pas le SID pour les utilisateurs de domaine B\Chicago, car l’ordinateur où Joe connecté (domaine A\Workstation1) appartient au domaine A.

De même, lorsque Jean ouvre une session sur un ordinateur qui appartient au domaine B (par exemple, B\Workstation1 de domaine), un jeton est généré pour Jean sur l’ordinateur, et que le jeton contient, en plus de toutes les appartenances de groupes universels ou globaux, l’identificateur de sécurité pour les utilisateurs de domaine B\Chicago ; Il ne contiendra pas le SID pour les utilisateurs de domaine A\Chicago, car l’ordinateur où Joe connecté (domaine B\Workstation1) appartient au domaine B.

Toutefois, lorsque Jean ouvre une session sur un ordinateur qui appartient au domaine C (par exemple, C\Workstation1 de domaine), un jeton est généré pour Jean sur l’ordinateur qui contient toutes les appartenances de groupes universels ou globaux pour le compte d’utilisateur de Joe. L’identificateur de sécurité pour les utilisateurs de domaine A\Chicago, ni le SID pour B\Chicago les utilisateurs du domaine apparaît dans le jeton parce que les groupes de domaine local que Jean est membre sont dans un autre domaine que l’ordinateur où Joe connecté (domaine C\Workstation1). À l’inverse, si Joe était un membre d’un groupe local de domaine appartenant au domaine C (par exemple, les utilisateurs de C\Chicago de domaine), le jeton qui est généré sur l’ordinateur de Joe contient, en plus de toutes les appartenances de groupes universels ou globaux, l’identificateur de sécurité pour les utilisateurs de domaine C\Chicago.
Références
SID connus

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 328889 - Dernière mise à jour : 06/20/2016 07:03:00 - Révision : 5.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtfr
Commentaires