Anda sedang offline saat ini, menunggu internet Anda untuk menyambung kembali

Masuk dengan akun pengguna yang merupakan anggota dari grup lebih dari 1010 mungkin gagal pada komputer berbasis Windows Server

Dukungan untuk Windows Server 2003 berakhir pada 14 Juli 2015

Microsoft mengakhiri dukungan untuk Windows Server 2003 pada 14 Juli 2015. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 328889
Gejala
Saat pengguna berusaha log on ke komputer menggunakan akun komputer lokal atau akun pengguna domain, permintaan log masuk mungkin gagal, dan Anda menerima pesan galat berikut:
Pesan masuk: Sistem tidak dapat log masuk karena galat berikut: selama upaya log masuk, pengguna keamanan konteks mengumpulkan terlalu banyak ID keamanan. Silakan coba lagi atau hubungi administrator sistem Anda.
Masalah ini terjadi saat pengguna log masuk eksplisit atau transitif anggota tentang 1010 atau lebih kelompok keamanan.

Jenis Kejadian: Peringatan
Sumber peristiwa: LsaSrv
Kategori Peristiwa: Tidak Ada
ID Kejadian: 6035
Tanggal:Tanggal
Waktu:waktu
Pengguna: N/A
Komputer: nama host

Keterangan:

Selama upaya log masuk, pengguna keamanan konteks mengumpulkan terlalu banyak ID keamanan. Ini adalah situasi yang sangat tidak biasa. Menghapus pengguna dari beberapa kelompok global atau lokal untuk mengurangi jumlah keamanan id untuk dimasukkan ke dalam konteks keamanan.

Pengguna terdapat SID SID

Jika ini adalah akun administrator, masuk dalam mode aman akan memungkinkan Administrator untuk log masuk secara otomatis membatasi keanggotaan grup.

Penyebab
Ketika pengguna mengakses komputer, otoritas keamanan lokal (LSA, Bagian subsistem otoritas keamanan lokal) menghasilkan token akses yang mewakili pengguna keamanan konteks. Token akses terdiri dari pengidentifikasi unik keamanan (SID) untuk setiap kelompok yang pengguna. SID ini meliputi transitif grup dan nilai SID dari SIDHistory pengguna dan grup akun.

Larik yang berisi SID keanggotaan Grup pengguna dalam token akses dapat berisi tidak lebih dari 1024 SID. LSA tidak drop SID apa pun dari token. Jadi, jika ada lebih SID, LSA gagal untuk membuat token akses dan pengguna tidak dapat log masuk.

Apabila daftar SID dibangun, LSA juga menyisipkan beberapa generik, terkenal SID selain SID untuk keanggotaan Grup pengguna (dievaluasi secara transitif ke). Dengan demikian jika pengguna yang merupakan anggota dari kelompok keamanan kustom lebih tentang mencapai 1.010, jumlah total SID dapat melebihi batas SID 1.024.

Penting
  • Bukti untuk administrator dan akun non-administrator yang dapat batas.
  • Jumlah sebenarnya kustom SID berbeda-beda dengan tipe log masuk (misalnya, interaktif, Layanan, Jaringan) dan sistem operasi versi pengontrol domain dan komputer yang membuat token.
  • Menggunakan Kerberos atau NTLM sebagai protokol otentikasi memiliki tidak ada sangkut batas token akses.
  • Klien Kerberos pengaturan "MaxTokenSize" yang dibahas di KB 327825. "Token" dalam konteks Kerberos merujuk ke buffer tiket diterima oleh host Windows Kerberos. Tergantung pada ukuran tiket tersebut, jenis SID dan apakah SID kompresi diaktifkan, buffer dapat terus lebih sedikit atau SID lebih banyak daripada yang akan masuk ke token akses.
Daftar kustom SID akan meliputi berikut ini:
  • SID utama komputer/pengguna dan kelompok keamanan account yang merupakan anggota.
  • SID dalam SIDHistory atribut grup dalam lingkup log masuk.
Karena atribut SIDHistory dapat berisi banyak nilai, batas 1024 SID dapat dicapai sangat cepat jika account dimigrasi beberapa kali. Jumlah SID di akses Token akan beless dari jumlah kelompok yang pengguna anggota dalam situasi berikut ini:
  • Pengguna berasal dari domain yang terpercaya mana SIDHistory dan SID disaring keluar.
  • Pengguna adalah dari domain yang terpercaya di kepercayaan mana SID dikarantina Kemudian, hanya SID dari domain yang sama seperti pengguna disertakan.
  • Hanya Domain lokal grup SID dari domain sumber disertakan.
  • Hanya Server lokal grup SID dari sumber daya server disertakan.
Karena perbedaan ini, dimungkinkan pengguna dapat log masuk ke komputer di satu domain, namun tidak ke komputer di domain lainnya. Pengguna juga dapat masuk ke satu server di domain, namun tidak ke server lainnya di domain yang sama.
Pemecahan masalah
Untuk memperbaiki masalah ini, gunakan salah satu dari metode berikut, yang sesuai untuk situasi Anda.

Metode 1

Pemecahan ini berlaku untuk situasi di mana pengguna yang mengalami galat log masuk bukan administrator, dan administrator berhasil dapat log on ke komputer atau ke domain.

Pemecahan ini harus dilakukan oleh administrator yang memiliki izin untuk mengubah keanggotaan grup yang pengguna yang dipakai. Administrator harus mengubah keanggotaan Grup pengguna untuk memastikan bahwa pengguna tidak lagi merupakan anggota dari kelompok keamanan yang lebih tentang 1010 (mempertimbangkan keanggotaan grup transitif dan keanggotaan grup lokal).

Opsi untuk mengurangi jumlah SID pada pengguna token meliputi berikut ini:
  • Menghapus pengguna dari jumlah cukup kelompok keamanan.
  • Mengkonversi kelompok keamanan digunakan untuk distribution group. distribution group tidak menghitung terhadap batas token akses. distribution group dapat diubah kembali ke kelompok keamanan ketika sekelompok dikonversi diperlukan.
  • Tentukan apakah prinsip keamanan yang bergantung pada SID sejarah untuk mengakses sumber daya. Jika tidak, menghapus atribut SIDHistory dari account tersebut. Anda dapat mengambil nilai atribut melalui pemulihan otoritatif.
Catatan Meskipun jumlah maksimum kelompok keamanan yang pengguna dapat menjadi anggota 1024, sebagai latihan terbaik, membatasi jumlah kurang dari 1010. Ini membuat nomor yakin bahwa generasi token akan selalu berhasil karena menyediakan ruang bagi SID generik yang dimasukkan oleh LSA.

Metode 2

Resolusi yang berlaku untuk situasi di mana administrator akun tidak dapat log masuk ke komputer.

Saat pengguna log masuk yang gagal karena terlalu banyak keanggotaan grup Kelompok anggota administrator, administrator yang memiliki kredensial untuk akun Administrator (yaitu, akun yang memiliki pengidentifikasi terkenal relatif [RID] 500) harus me-restart pengendali domain dengan memilih opsi permulaan Mode aman (atau dengan memilih opsi permulaan Mode aman dengan jaringan ). Dalam mode aman, ia harus kemudian log masuk ke pengendali domain dengan menggunakan kredensial account Administrator.

Microsoft telah diubah algoritma token generasi sehingga LSA dapat membuat token akses untuk akun Administrator sehingga administrator dapat log on tanpa memperhatikan berapa banyak transitif grup atau grup intransitive yang akun Administrator. Jika salah satu dari opsi permulaan mode aman ini digunakan, token akses yang dibuat untuk akun Administrator yang mencakup SID semua Built-in dan semua kelompok Domain Global yang akun Administrator.

Kelompok ini biasanya meliputi berikut ini:
  • Siapa saja (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated pengguna (S-1-5-11)
  • LOKAL (S-1-2-0)
  • Domain\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • DomainAdmin \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre-Windows 2000 kompatibel Access(S-1-5-32-554) jika semua orang merupakan anggota dari kelompok ini
  • NT AUTHORITY\This organisasi (S-1-5-15) jika pengendali domain yang menjalankan Windows Server 2003
Catatan Jika opsi permulaan Mode aman digunakan, pengguna direktori aktif dan komputer snap-in antarmuka pengguna (UI) tidak tersedia. Di Windows Server 2003, administrator dapat atau log on dengan memilih opsi permulaanMode aman dengan jaringan ; dalam mode ini, pengguna direktori aktif dan komputer snap-in UI tersedia.

Setelah administrator telah log masuk dengan memilih salah satu dari opsi permulaan mode aman dan menggunakan kredensial akun Administrator, administrator harus mengidentifikasi kemudian mengubah keanggotaan kelompok keamanan yang menyebabkan penyangkalan layanan masuk.

Setelah membuat perubahan ini, pengguna dapat log masuk berhasil setelah periode waktu yang sama dengan latensi replikasi domain yang telah berlalu.
Informasi lebih lanjut
SID generik account sering meliputi berikut ini:
Siapa saja (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT AUTHORITY\Authenticated pengguna (S-1-5-11)
log masuk sesi Sid (S-1-5-5-X-Y)
Penting: alat "Whoami" sering digunakan untuk memeriksa bukti akses. Alat ini tidak menunjukkan sesi log masuk SID.

Contoh SID tergantung pada tipe log masuk sesi:
LOKAL (S-1-2-0)
KONSOL log masuk (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL SERVER USER (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
SID kelompok utama yang sering digunakan:
Domain \Domain komputer (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Pengguna domain \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Admin domain \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
SID yang mendokumentasikan bagaimana sesi log masuk mendapat diverifikasi:
Otoritas otentikasi menegaskan identitas (S-1-18-1)
Layanan menegaskan identitas (S-1-18-2)
SID yang menjelaskan tingkat konsistensi token:
Tingkat menengah wajib (S-1-16-8192)
Tingkat tinggi (S-1-16-12288) wajib
Token akses opsional dapat meliputi SID berikut ini:
BUILTIN\Pre-Windows 2000 kompatibel Access(S-1-5-32-554) jika siapa saja Kelompok anggota ini
NT AUTHORITY\This organisasi (S-1-5-15) jika akun dari hutan sama dengan komputer.
Catatan
  • Anda dapat melihat dengan catatan di SID entri "Logon sesi SID", tidak menghitung SID dalam daftar peranti penangkap output dan menganggap bahwa kita sudah lengkap untuk semua komputer target dan tipe log masuk. Anda harus mempertimbangkan akun dalam bahaya menjalankan ke batas ini saat ini memiliki lebih dari 1000 SID. Jangan lupa, tergantung pada komputer mana token dibuat, server atau grup lokal workstation juga dapat ditambahkan.
  • XXXXXXXX-yyyyyyyy-zzzzzzzzindicates domain atau workstation komponen SID.
Contoh berikut menunjukkan mana domain keamanan lokal grup akan muncul di token pengguna saat pengguna log masuk ke komputer di domain.

Dalam contoh ini mengasumsikan bahwa Joe milik Domain A dan merupakan anggota dari grup lokal domain pengguna A\Chicago Domain. Joe ini juga Kelompok anggota lokal domain Domain B\Chicago pengguna. Ketika Joe log on ke komputer yang milik Domain A (misalnya, Domain A\Workstation1), tanda dibuat untuk Joe di komputer, dan token berisi, selain semua keanggotaan grup universal dan global, SID untuk Domain A\Chicago pengguna. Tidak akan memuat SID untuk Domain B\Chicago pengguna karena komputer mana Joe masuk (Domain A\Workstation1) milik Domain A.

Demikian pula, ketika Joe log on ke komputer yang milik Domain B (misalnya, Domain B\Workstation1), tanda dibuat untuk Joe di komputer, dan token berisi, selain semua keanggotaan grup universal dan global, SID untuk Domain B\Chicago pengguna; tidak akan memuat SID untuk Domain A\Chicago pengguna karena komputer mana Joe masuk (Domain B\Workstation1) milik Domain B.

Namun, ketika Joe log on ke komputer yang milik Domain C (misalnya, Domain C\Workstation1), tanda dibuat untuk Joe log masuk komputer yang berisi semua keanggotaan grup universal dan global untuk akun pengguna Joe. SID untuk Domain A\Chicago pengguna maupun SID untuk Domain B\Chicago pengguna ditampilkan di token karena grup lokal domain Joe tersebut adalah anggota berada di domain yang berbeda dari komputer mana Joe masuk (Domain C\Workstation1). Sebaliknya, jika Joe Kelompok anggota lokal beberapa domain yang dimiliki C Domain (misalnya, Domain C\Chicago pengguna), token yang dibuat untuk Joe pada komputer yang akan berisi, selain semua keanggotaan grup universal dan global, SID untuk pengguna C\Chicago Domain.
Referensi
Terkenal SID

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 328889 - Tinjauan Terakhir: 06/20/2016 10:41:00 - Revisi: 7.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtid
Tanggapan
html>