Accesso a un account utente che è un membro dei gruppi di più di 1010 potrebbe non riuscire in un computer basato su Windows Server

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 328889
Sintomi
Quando un utente tenta di accedere a un computer utilizzando un account del computer locale o un account utente di dominio, la richiesta di accesso potrebbe avere esito negativo e viene visualizzato il seguente messaggio di errore:
Messaggio di accesso: Il sistema non può accedere è il seguente errore: durante un tentativo di accesso, il contesto di protezione dell'utente accumulato troppi ID di protezione. Riprovare o rivolgersi all'amministratore di sistema.
Il problema si verifica quando l'utente di accesso è un membro esplicito o transitivo di circa 1010 o più gruppi di protezione.

Tipo di evento: avviso
Origine evento: LsaSrv
Categoria evento: nessuno
ID evento: 6035
Data:Data
Ora:ora
Utente: n/d
Computer: nome host

Descrizione:

Durante un tentativo di accesso, il contesto di protezione dell'utente accumulato troppi ID di protezione. Si tratta di una situazione molto insolita. Rimuovere l'utente da alcuni gruppi globali o locali per ridurre il numero di ID per incorporare il contesto di protezione di protezione.

Del utente SID SID

Se questo è l'account di amministratore, l'accesso in modalità provvisoria consentirà all'amministratore di accedere automaticamente limitando l'appartenenza al gruppo.

Cause
Quando un utente accede a un computer, l'autorità di protezione locale (LSA, Local Security Authority Subsystem parte) genera un token di accesso che rappresenta il contesto di protezione dell'utente. Il token di accesso è costituita da identificatori di protezione univoco (SID) per ogni gruppo che l'utente è un membro di. Questi SID includere gruppi transitivi e valori SID dalla cronologia SID dell'utente e gli account di gruppo.

Matrice che contiene il SID di appartenenza dell'utente nel token di accesso può contenere non più di 1024 SID. LSA Impossibile rilasciare qualsiasi SID dal token. Pertanto, se esistono più SID, la LSA non riesce a creare il token di accesso e l'utente sarà in grado di accedere.

Quando viene compilato l'elenco dei SID, la LSA inserisce anche diversi SID generico, noto oltre i SID di appartenenza dell'utente (valutato in modo transitivo). In questo modo se un utente è un membro di più di circa 1,010 gruppi di protezione personalizzati, il numero totale di SID può superare il limite di SID 1.024.

Importante
  • Token per account non amministratore e amministratore sono soggette al limite.
  • Il numero esatto di SID personalizzato varia con il tipo di accesso (ad esempio interactive, servizio, rete) e la versione del sistema operativo del controller di dominio e computer che crea il token.
  • Utilizzo di Kerberos o NTLM come protocollo di autenticazione non ha alcun effetto sul limite di token di accesso.
  • L'impostazione "MaxTokenSize" del client Kerberos viene descritto in KB 327825. "Token" si riferisce al contesto di Kerberos nel buffer per i ticket ricevuti da un host Windows Kerberos. A seconda delle dimensioni del ticket, il tipo di SID e se è attivata la compressione di SID, il buffer può contenere un numero inferiore o SID più numerosi rispetto a quello possibile inserire nel token di accesso.
L'elenco dei SID personalizzati sarà i seguenti:
  • Il SID primario dell'utente/computer e i gruppi di protezione l'account è membro di.
  • I SID nell'attributo SIDHistory dei gruppi nell'ambito dell'accesso.
Poiché l'attributo SIDHistory può contenere più valori, raggiunto il limite di 1024 SID può essere molto rapidamente se gli account vengono migrati più volte. Il numero di SID nel Token di accesso verranno beless rispetto al numero totale dei gruppi a cui l'utente è un membro nella seguente situazione:
  • L'utente è un dominio trusted in SIDHistory e SID vengono filtrati.
  • L'utente è un dominio trusted attraverso un trust in cui vengono messi in quarantena SID. Quindi, solo i SID nello stesso dominio dell'utente sono inclusi.
  • Solo il dominio locale gruppo SID dal dominio della risorsa sono inclusi.
  • Solo i Server locali gruppo SID dal server di risorse sono inclusi.
Date queste differenze, è possibile che l'utente può accedere a un computer in un dominio, ma non a un computer in un altro dominio. L'utente potrebbe inoltre in grado di accedere a un server in un dominio, ma non a un altro server nello stesso dominio.
Risoluzione
Per risolvere il problema, utilizzare uno dei seguenti metodi, come appropriato alla situazione.

Metodo 1

Questa soluzione si applica alla situazione in cui l'utente che ha rilevato l'errore di accesso non è un amministratore e gli amministratori possono accedere correttamente al computer o al dominio.

Questa soluzione deve essere eseguita da un amministratore che disponga delle autorizzazioni per modificare le appartenenze ai gruppi che l'utente interessato è membro di. L'amministratore deve modificare le appartenenze ai gruppi dell'utente per assicurarsi che l'utente non è un membro dei gruppi di protezione più di circa 1010 (considerando l'appartenenza transitiva e le appartenenze ai gruppi locali).

Opzioni per ridurre il numero dei SID nel token utente includono:
  • Rimuovere l'utente da un numero sufficiente di gruppi di protezione.
  • Convertire i gruppi di protezione inutilizzati in gruppi di distribuzione. Non contare i gruppi di distribuzione rispetto al limite di token di accesso. Gruppi di distribuzione possono essere convertiti in gruppi di protezione quando è necessario un raggruppamento convertito.
  • Determinare se le identità di protezione sono affidarsi History SID per l'accesso alle risorse. In caso contrario, rimuovere l'attributo SIDHistory questi conti. È possibile recuperare il valore dell'attributo tramite un ripristino autorevole.
Nota Sebbene il numero massimo di gruppi di protezione che un utente può essere un membro di 1024, come una procedura consigliata, limitare il numero di meno del 1010. Questo numero diventa assicurarsi che tale generazione token riuscirà in quanto fornisce spazio per i SID generici che vengono inserite da LSA.

Metodo 2

La risoluzione si applica alla situazione nella quale amministratore account non può accedere al computer.

Quando l'utente il cui accesso ha esito negativo a causa di un numero eccessivo di appartenenza è un membro del gruppo Administrators, un amministratore che dispone delle credenziali per l'account di amministratore (vale a dire un account che dispone di un identificatore relativo noto [RID] di 500) necessario riavviare un controller di dominio, selezionare l'opzione di avvio Modalità provvisoria (o selezionando l'opzione di avvio Modalità provvisoria con rete ). In modalità provvisoria, egli deve quindi accedere al controller di dominio utilizzando questo credenziali dell'account amministratore.

Microsoft ha modificato l'algoritmo di generazione token LSA la creazione di un token di accesso per l'account amministratore in modo che l'amministratore può accedere indipendentemente da quanti gruppi transitivi o intransitivo gruppi che l'account Administrator è un membro di. Quando si utilizza una di queste opzioni di avvio modalità provvisoria, il token di accesso creato per l'account Administrator include il SID di tutti incorporati e tutti i gruppi globali di dominio che l'account Administrator è un membro di.

Questi gruppi includono quanto segue:
  • Everyone (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • LOCALE (S-1-2-0)
  • Dominio\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Dominio\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Accesso-Windows 2000 compatibile con Access(S-1-5-32-554) se un membro del gruppo Everyone
  • NT AUTHORITY\This organizzazione (S-1-5-15) se il controller di dominio è in esecuzione Windows Server 2003
Nota Se viene utilizzata l'opzione di avvio Modalità provvisoria , l'interfaccia utente di snap-in Active Directory Users and Computers (UI) non è disponibile. In Windows Server 2003, l'amministratore può in alternativa accedere selezionando l'opzione di avvioModalità provvisoria con rete . in questa modalità, Active Directory utenti e computer snap-dell'interfaccia utente è disponibile.

Dopo che un amministratore ha effettuato l'accesso selezionando una delle opzioni di avvio modalità provvisoria e utilizzando le credenziali dell'account amministratore, l'amministratore deve quindi identificare e modificare l'appartenenza dei gruppi di protezione che ha causato il rifiuto del servizio di accesso.

Dopo aver apportata questa modifica, gli utenti devono in grado di accedere correttamente dopo che è trascorso un periodo di tempo uguale alla latenza di replica del dominio.
Informazioni
Il SID di un account generici spesso i seguenti:
Everyone (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT AUTHORITY\Authenticated Users (S-1-5-11)
Sid di sessione di accesso (S-1-5-5-X-Y)
Importante: lo strumento "Whoami" viene spesso utilizzato per esaminare i token di accesso. Questo strumento non mostra la sessione di accesso SID.

Esempi per i SID seconda sessione di accesso digitare:
LOCALE (S-1-2-0)
ACCESSO ALLA CONSOLE (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
AUTHORITY\SERVICE NT (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
UTENTE DI SERVER NT AUTHORITY\TERMINAL (S-1-5-13)
AUTHORITY\BATCH NT (S-1-5-3)
SID per i gruppi primari utilizzati di frequente:
Computer del dominio \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Utenti di dominio \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Dominio \Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
SID che documentano la sessione di accesso ha ricevuto la modalità di verifica:
Autorità di autenticazione asserita identità (S-1-18-1)
Servizio asserita identità (S-1-18-2)
SID che descrivono il livello di coerenza del token:
Livello obbligatorio medio (S-1-16-8192)
Livello obbligatorio alto (S-1-16-12288)
Il token di accesso può includere i seguenti SID:
BUILTIN\Accesso-Windows 2000 compatibile con Access(S-1-5-32-554) se un membro del gruppo Everyone
NT AUTHORITY\This organizzazione (S-1-5-15) se l'account della stessa foresta del computer.
Nota
  • Come può vedere con la nota alla voce SID "SID sessione di accesso", non contare i SID nell'elenco di output dello strumento e si presuppone che siano complete per tutti i computer di destinazione e i tipi di accesso. È necessario considerare che un conto è il rischio di esecuzione in questo limite quando ne ha più di 1000 SID. Non dimenticare che, a seconda del computer in cui viene creato un token, server o gruppi locali di workstation è inoltre possibile aggiungere.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates i dominio o workstation componenti del SID.
Nell'esempio riportato di seguito viene illustrato come protezione locale dominio gruppi verranno visualizzate nei token dell'utente quando l'utente accede a un computer in un dominio.

In questo esempio, si supponga che Joe appartiene al dominio a ed è un membro del gruppo locale di dominio Domain Users A\Chicago. Joe è anche un membro del gruppo locale di dominio Domain Users B\Chicago. Quando Joe esegue l'accesso a un computer appartenente al dominio (ad esempio, A\Workstation1 di dominio), viene generato un token per Joe sul computer e il token contiene, oltre a tutte le appartenenze ai gruppi globali e universali, il SID per gli utenti di dominio A\Chicago. Non contiene il SID per gli utenti di B\Chicago di dominio perché il computer dove Joe connesso (dominio A\Workstation1) appartiene al dominio A.

Analogamente, quando Paolo accede a un computer appartenente al dominio B (ad esempio, B\Workstation1 di dominio), viene generato un token per Joe sul computer e il token contiene, oltre a tutte le appartenenze ai gruppi globali e universali, il SID del dominio B\Chicago utenti; non contiene il SID per gli utenti di A\Chicago di dominio perché il computer dove Joe connesso (dominio B\Workstation1) appartiene al dominio B.

Tuttavia, quando Paolo accede a un computer appartenente al dominio C (ad esempio, C\Workstation1 di dominio), viene generato un token per Joe sul computer che contiene tutte le appartenenze ai gruppi globali e universali per account utente di Joe accesso. Il SID per gli utenti di A\Chicago di dominio né il SID per B\Chicago Domain Users è incluso nel token di gruppi locali di dominio che Joe è un membro di sono in un dominio diverso da quello del computer dove Joe connesso (C\Workstation1 dominio). Al contrario, se Joe è un membro di un gruppo locale di dominio appartenente al dominio C (ad esempio, C\Chicago gli utenti di dominio), il token generato per Joe sul computer può contenere, oltre a tutte le appartenenze ai gruppi globali e universali, il SID per gli utenti di dominio C\Chicago.
Riferimenti
SID conosciuti

Avviso: questo articolo è stato tradotto automaticamente

Właściwości

Identyfikator artykułu: 328889 — ostatni przegląd: 06/20/2016 10:42:00 — zmiana: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtit
Opinia