現在オフラインです。再接続するためにインターネットの接続を待っています

Windows Server ベースのコンピューターで 1010 の複数のグループのメンバーであるユーザー アカウントのログオンが失敗します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:328889
現象
ユーザーにログオンしようとすると、ローカル コンピューター アカウントまたはドメイン ユーザー アカウント、ログオン要求を使用してコンピューター可能性があります失敗し、次のエラー メッセージが表示されます。
ログオン メッセージ: システム ログオンできません、次のエラーのため: ユーザーのセキュリティ コンテキストのセキュリティ Id が多すぎるの蓄積、ログオンの試行中にします。やり直すか、システム管理者に問い合わせてください。
約 1010年の明示的または推移的なメンバー、または複数のセキュリティ グループは、ユーザーのログオン時に問題が発生します。

イベントの種類: 警告
イベント ソース: LsaSrv
イベント カテゴリ: なし
イベント ID: 6035
日付:日付
時間:時刻
ユーザー: N/A
コンピューター: ホスト名

説明:

、ログオン中にユーザーのセキュリティ コンテキストで蓄積されたセキュリティ Id が多すぎます。これは、ごくまれな状況です。セキュリティ Id のセキュリティ コンテキストに組み込むことの数を減らすためにいくつかのグローバルまたはローカル グループからユーザーを削除します。

ユーザーの SID は、 SID

管理者アカウントの場合は、セーフ モードでログオン時に自動的にグループのメンバーシップを制限することでログオンする管理者を有効にします。

原因
とき、ユーザーがコンピューターにログオンするには、ローカル セキュリティ機関 (LSA をローカル セキュリティ機関サブシステムの一部) は、ユーザーのセキュリティ コンテキストを表すアクセス トークンを生成します。アクセス トークンは、ユーザーがのメンバーであるすべてのグループの一意のセキュリティ識別子 (SID) で構成されます。これらの Sid には、推移的なグループおよびユーザーとグループ アカウントの sid の履歴からの SID 値が含まれます。

アクセス トークン内のユーザーのグループ メンバーシップの Sid を格納している配列が 1024 以内を含めることができます Sid です。LSA では、トークンから SID を削除できません。したがって、複数の Sid がある場合は、LSA は、アクセス トークンを作成するのには障害が発生したし、ユーザーをログオンすることはできません。

Sid の一覧が構築されると、LSA はまた (推移的に評価される)、ユーザーのグループ メンバーシップの Sid のほかのいくつかの一般的なよく知られた Sid を挿入します。したがってユーザーが複数の約 1,010 のカスタム セキュリティ グループのメンバーである場合は、Sid の合計数が 1,024 の SID の制限を超えることができます。

重要:
  • 管理者と管理者以外のアカウントの両方のためのトークンは、制限されます。
  • カスタムの Sid の正確な数は、ログオンの種類 (対話型、サービス、ネットワークなど) と、ドメイン コント ローラーと、トークンを作成するコンピューターのオペレーティング システムのバージョンによって異なります。
  • 認証プロトコルとして Kerberos または NTLM の使用に影響していないアクセス トークンの制限です。
  • Kerberos クライアントの「MaxTokenSize」設定は、後ほど KB 番号 327825.「トークン」で Kerberos のコンテキスト Windows Kerberos のホストで受信したチケットのバッファーを指します。サイズによっては、チケットの Sid および SID の圧縮が有効になっているかどうかの種類、バッファーが保持できるより少ないかよりも多く多くの Sid は、アクセス トークンに収まる場合します。
カスタムの Sid のリストは以下に示します。
  • プライマリ Sid、ユーザーまたはコンピューターとのセキュリティ グループのアカウントは、メンバーです。
  • ログオンのスコープ内のグループの SIDHistory 属性に Sid です。
SIDHistory 属性には、複数の値を含めることができます、ため 1024年の制限 Sid ができる非常に簡単にアカウントが複数回に移行する場合。アクセス トークン内の Sid の数は、ユーザーが次のような状況でのメンバーであるグループの合計数よりも beless を行います。
  • SIDHistory と Sid のフィルター、信頼されたドメインから、ユーザーが。
  • ユーザーは、信頼されたドメインの Sid を隔離する場所の信頼間では。次に、ユーザーと同じドメインからの Sid のみが含まれています。
  • ドメイン ローカル グループ Sid のみリソースのドメインからが含まれています。
  • サーバー ローカル グループ Sid のみリソース サーバーからが含まれています。
これらの相違点は、ことはユーザーが別のドメイン内のコンピューターではなく、1 つのドメイン内のコンピューターにログオンできます。ユーザーが同じドメイン内の別のサーバーではなく、ドメインでは、1 つのサーバーにログオンすることもあります。
解決方法
この問題を解決するには、状況に応じて以下の方法のいずれかを使用します。

方法 1

この解像度を適用するログオン エラーが発生しているユーザーは管理者は、状況にし、管理者ログオンできるように、コンピューターまたはドメインにします。

この解決方法は、影響を受けるユーザーがのメンバーであるグループのメンバーシップを変更する権限を持つ管理者が実行しなければなりません。管理者は、ユーザーが (推移的なグループ メンバーシップと、ローカル グループのメンバーシップを検討している) を超える約 1010年のセキュリティ グループのメンバーではないことを確認するのにはユーザーのグループ メンバーシップを変更する必要があります。

ユーザーのトークン内の Sid の数を削減するためのオプションを以下に示します。
  • 十分な数のセキュリティ グループからユーザーを削除します。
  • 未使用のセキュリティ グループを配布グループに変換します。配布グループは、アクセス トークンの制限にカウントしません。変換されたグループが必要な場合、配布グループをセキュリティ グループに変換できます。
  • セキュリティ プリンシパルがリソースへのアクセスに SID の履歴に依存するかどうかを決定します。いない場合は、これらのアカウントの SIDHistory 属性を削除します。オーソリテイティブ ・ リストアを使用して属性値を取得することができます。
注: メンバーであることがユーザーのセキュリティ グループの最大数は、1024、ベスト ・ プラクティスとして数を制限する、1010 未満にします。この番号は確かにそのトークンの生成は常に成功する LSA によって挿入される汎用的な Sid のスペースを提供するためです。

方法 2

解像度は、どの管理者のアカウントにログオンできない、コンピューターのような状況に適用されます。

多くのグループ メンバーシップのためのログオンが失敗したユーザーは、Administrators グループのメンバーは、ときに、管理者アカウント (つまり、500 のよく知られている相対識別子 [RID] を持つアカウント) の資格情報を持っている管理者では、セーフ モードのスタートアップ オプションを選択して (またはセーフ モードの起動オプションを選択することによって) ドメイン コント ローラーに再起動します。セーフ モードでは必要があります、ログオン ドメイン コント ローラーにこの管理者アカウントの資格情報を使用しています。

LSA は推移的なグループまたは管理者アカウントのメンバーであるイントランジティブのグループの数に関係なく、管理者がログオンできるように、管理者アカウントのアクセス トークンを作成できるように、Microsoft はトークンの生成アルゴリズムを変更します。これらのセーフ モード スタートアップ オプションのいずれかを使用すると、管理者アカウント用に作成されるアクセス トークンには、すべての組み込みと、管理者アカウントのメンバーであるすべてのドメインのグローバル グループの Sid が含まれています。

これらのグループには、通常、次が含まれます。
  • Everyone (S-1-1-0)
  • Builtin \users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated ユーザー (S-1-5-11)
  • ローカル (S-1-2-0)
  • Domain\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domain\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre Windows 2000 互換性のある Access(S-1-5-32-554) がこのグループのメンバーであるすべてのユーザーの場合
  • NT AUTHORITY\This 組織 (S-1-5-15) のドメイン コント ローラーが Windows Server 2003 を実行している場合
注: <b>セーフ モードスタートアップ オプションを使用する場合は、Active Directory ユーザーとコンピューター スナップインのユーザー インターフェイス (UI) は使用できません。Windows Server 2003 で、管理者またはログオン オプションを選択して、セーフ モードの起動。このモードでは、Active Directory ユーザーとコンピューター スナップインで UI があります。

ログオンした後、管理者はセーフ モード スタートアップ オプションのいずれかを選択すると、管理者アカウントの資格情報を使用して管理者する必要がありますを識別し、ログオン サービス拒否の原因となったセキュリティ グループのメンバーシップを変更します。

この変更が行われると、ユーザーがドメインのレプリケーションの潜在期間と等しい期間が経過した後に正常にログオンできない場合があります。
詳細
汎用アカウント Sid を多くの場合以下に示します。
Everyone (S-1-1-0)
Builtin \users (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT AUTHORITY\Authenticated ユーザー (S-1-5-11)
ログオン セッションの Sid (S-1-5-5-X-Y)
重要: アクセス トークンを検査するツールは、"Whoami"が使用されることがよくあります。このツールでは、ログオン セッションの SID が表示されません。

によっては、ログオン セッションの Sid の例は次のとおり入力します。
ローカル (S-1-2-0)
コンソール ログオン (S-1-2-1)
NT AUTHORITY \NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL SERVER ユーザー (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
頻繁に使用されるプライマリ グループの Sid。
ドメイン \Domain コンピューター (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
ドメイン \Domain ユーザー (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
ドメイン \Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Sid はログオン セッションが検証する方法を文書化します。
認証機関 (S-1-18-1) の id をアサートします。
サービス (S-1-18-2) の id をアサートします。
Sid は、トークンの整合性レベルの説明。
中程度の必須レベル (S-1-16-8192)
高必須レベル (S-1-16-12288)
アクセス トークンは、次の Sid を必要に応じてものがあります。
BUILTIN\Pre Windows 2000 互換性のある Access(S-1-5-32-554) がこのグループのメンバーであるすべてのユーザーの場合
NT AUTHORITY\This 組織 (S-1-5-15)、コンピューターと同じフォレストからにアカウントがある場合。
注: <b>
  • SID エントリ"ログオン セッションの SID"にあるメモでわかるように、操作を行いますしないツールの出力のリスト内の Sid がすべてのターゲット コンピューターとログオンの種類を完了したことを想定しています.アカウントは、Sid の 1000年を超える必要がある場合は、この制限に実行中の危険性を検討してください。忘れずに、トークンが作成される、コンピューターによってサーバーまたはワークステーションのローカル グループも追加できます。
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates、SID のドメインまたはワークステーションのコンポーネントです。
次の使用例は、どのドメインのローカル セキュリティ グループに表示されますユーザーのトークン、ユーザーがドメイン内のコンピューターにログオンするときを示しています。

この例では、Joe がドメイン A に属するし、A\Chicago ユーザーのドメインのドメイン ローカル グループのメンバーであることを想定しています。入賀さんも B\Chicago ユーザーのドメインのドメイン ローカル グループのメンバーです。Joe がログオンしたとき (たとえば、ドメイン A\Workstation1) がドメイン A に属するコンピューターに、トークンが生成されます Joe のコンピューターと、トークンが含まれています、すべてのユニバーサルおよびグローバル グループ メンバーシップだけでなく A\Chicago のドメインのユーザーの SID にはです。Joe が (A\Workstation1 のドメイン) にログインしているコンピューターがドメイン A に属するため、B\Chicago のドメインのユーザーの SID は含まれません

同様に、Joe がドメイン B (たとえば、ドメインの B\Workstation1) に属しているコンピューターにログオンすると、Joe のコンピューターで、トークンが生成され、トークンが含まれます、すべてのユニバーサルおよびグローバル グループ メンバーシップのほか、B\Chicago のドメインのユーザーの SID にはJoe が (B\Workstation1 のドメイン) にログインしているコンピューターがドメイン B に属するため、A\Chicago のドメインのユーザーの SID は含まれません

ただし、Joe がドメイン C (たとえば、ドメインの C\Workstation1) に属しているコンピューターにログオンすると、トークンが生成されます Joe の Joe のユーザー アカウントのすべてのユニバーサルおよびグローバル グループ メンバーシップを含むログオンしているコンピューターにします。A\Chicago のドメインのユーザーの SID と、SID のどちらもドメイン ローカル グループのメンバーであることであるため、トークンの B\Chicago のドメインのユーザーが表示されます (ドメインの C\Workstation1) で佐藤さんがログインしているコンピューターとは異なるドメインでは。逆に、Joe がドメイン C (たとえば、ドメイン C\Chicago のユーザー) に属しているいくつかのドメイン ローカル グループのメンバーなら、Joe のコンピューターで生成されるトークンは、だけでなく、すべてのユニバーサルおよびグローバル グループ メンバーシップの SID を含む C\Chicago のドメインのユーザー。
関連情報
既知の Sid

警告: この記事は自動翻訳されています

プロパティ

文書番号:328889 - 最終更新日: 06/20/2016 10:43:00 - リビジョン: 9.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtja
フィードバック
/html>