1.010'dan fazla grubun üyesi olan bir kullanıcı hesabında oturum açma işlemi Windows Server tabanlı bir bilgisayarda başarısız olabilir

  • Makale

Bu makale, 1.010'dan fazla grubun üyesi olan bir kullanıcı hesabında günlüğe kaydetmenin başarısız olması sorununu çözer.

Şunlar için geçerlidir: Windows Server 2008 R2 Service Pack 1
Özgün KB numarası: 328889

Belirtiler

Bir kullanıcı yerel bilgisayar hesabı veya etki alanı kullanıcı hesabı kullanarak bir bilgisayarda oturum açmaya çalıştığında, oturum açma isteği başarısız olabilir. Aşağıdaki hata iletisini alırsınız:

Oturum Açma İletisi: Sistem şu hata nedeniyle oturumunuzu açamıyor: Oturum açma girişimi sırasında kullanıcının güvenlik bağlamı çok fazla güvenlik kimliği biriktirdi. Lütfen yeniden deneyin veya sistem yöneticinize başvurun.

Bu sorun, oturum açan kullanıcı yaklaşık 1.010 veya daha fazla güvenlik grubunun açık veya geçişli üyesi olduğunda oluşur.

Uygulamalar ve güvenlik olay günlüğü kimliği 4625 şu hata kodunu görüntüleyebilir:

0xc000015a

Hata STATUS_TOO_MANY_CONTEXT_IDS.

Neden

Kullanıcı bir bilgisayarda oturum açtığında, Yerel Güvenlik Yetkilisi (Yerel Güvenlik Yetkilisi Alt Sisteminin bir parçası olan LSA) bir erişim belirteci oluşturur. Belirteç, kullanıcının güvenlik bağlamını temsil eder. Erişim belirteci, kullanıcının üyesi olduğu her grup için benzersiz güvenlik tanımlayıcılarından (SID) oluşur. Bu SID'ler, kullanıcının ve grup hesaplarının SIDHistory'sinden geçişli grupları ve SID değerlerini içerir.

Erişim belirtecinde kullanıcının grup üyeliklerinin SID'lerini içeren dizi en fazla 1.024 SID içerebilir. LSA, belirteçten herhangi bir SID bırakamaz. Bu nedenle, daha fazla SID varsa, LSA erişim belirtecini oluşturamaz ve kullanıcı oturum açamaz.

SID listesi oluşturulduğunda, LSA kullanıcının grup üyelikleri için SID'lerin yanı sıra birkaç genel, iyi bilinen SID de ekler (geçişli olarak değerlendirilir). Bu nedenle, bir kullanıcı yaklaşık 1.010'dan fazla özel güvenlik grubunun üyesiyse, toplam SID sayısı 1.024 SID sınırını aşabilir.

Önemli

  • Hem yönetici hem de yönetici olmayan hesapların belirteçleri sınıra tabidir.
  • Özel SID'lerin tam sayısı, belirteci oluşturan etki alanı denetleyicisinin ve bilgisayarın oturum açma türüne (örneğin, etkileşimli, hizmet, ağ) ve işletim sistemi sürümüne göre değişir.
  • Kimlik doğrulama protokolü olarak Kerberos veya NTLM'nin kullanılması erişim belirteci sınırına bağlı değildir.
  • MaxTokenSize Kerberos istemci ayarı, bir kullanıcı birçok gruba ait olduğunda Kerberos kimlik doğrulamasıyla ilgili sorunlar bölümünde ele alınıyor. Kerberos Bağlamındaki belirteç, Bir Windows Kerberos konağı tarafından alınan biletler için arabelleğe başvurur. Anahtarın boyutuna, SID türüne ve SID sıkıştırmasının etkinleştirilip etkinleştirilmediğine bağlı olarak, arabellek erişim belirtecine sığacak sayıdan daha az veya daha fazla SID tutabilir.

Özel SID'lerin listesi şunları içerir:

  • Kullanıcının/bilgisayarın birincil SID'leri ve hesabın üyesi olduğu güvenlik grupları.
  • Oturum açma kapsamındaki grupların SIDHistory özniteliğindeki SID'ler.

SIDHistory özniteliği birden çok değer içerebileceğinden, hesaplar birden çok kez geçirilirse 1.024 SID sınırına hızla ulaşılabilir. Erişim Belirteci'ndeki SID sayısı, aşağıdaki durumlarda kullanıcının üyesi olduğu toplam grup sayısından az olacaktır:

  • Kullanıcı, SIDHistory ve SID'lerin filtrelendiği güvenilen bir etki alanından geliyor.
  • Kullanıcı, SID'lerin karantinaya alındığı bir güven genelinde güvenilen bir etki alanından geliyor. Ardından, yalnızca kullanıcının etki alanıyla aynı etki alanından SID'ler eklenir.
  • Kaynağın etki alanından yalnızca Etki Alanı Yerel Grup SID'leri dahil edilir.
  • Yalnızca kaynak sunucudaki Sunucu Yerel Grup SID'leri dahil edilir.

Bu farklılıklar nedeniyle, kullanıcı bir etki alanındaki bir bilgisayarda oturum açabilir, ancak başka bir etki alanındaki bir bilgisayarda oturum açamayabilir. Kullanıcı aynı etki alanındaki bir sunucuda oturum açabilir ancak aynı etki alanındaki başka bir sunucuda oturum açamayabilir.

NTDSUTIL ile etkilenen bir kullanıcının etki alanı grubu üyelikleri hakkında bilgi edinebilirsiniz. Orman sınırları boyunca da çalışan bir Grup Üyeliği Değerlendirme aracına sahiptir. Araç aşağıdaki kullanıcılar için de çalışır:

  • 1.024 SID sınırının çok üzerinde olan kullanıcılar
  • Kerberos'un 65.535 bayt arabelleğe sahip olsa bile anahtar almada başarısız olduğu kadar çok grupta yer alan kullanıcılar

Şu adımları izleyin:

  1. AD Yönetim Araçları (Etki Alanı Denetleyicisi veya RSAT içeren bir bilgisayar) bulunan bir bilgisayarda komut istemi açın.

  2. Ara çubuğuna gro mem eva geçin ve aşağıdaki ekran görüntüsü olarak kullanılabilir komutları alın:

    gro mem eva komutunu çalıştırdıktan sonra çıkışın ekran görüntüsü.

  3. Değerlendirme için gereken DC'lere bağlanın:

    • Hesap DC'sini ayarla %s - Kullanıcının etki alanının DC'sini ayarla
    • %s Genel Kataloğu ayarla - Kullanıcının ormanının GC'sini
    • %s Kaynak DC'sini ayarla - Kaynak etki alanının DC'sini
    • Sonuçlar yanlış göründüğünde veya koleksiyon başarısız olduğunda kimlik bilgilerini gerektiği gibi ayarlayın veya ayrıntılı günlükler oluşturun.

  4. Değerlendirmeyi aşağıdaki gibi çalıştırın (örneğin, içindeki contoso.comYönetici için):

    Run contoso.com Admin

  5. Yürütme, 1-2. adımlarda kullanıcı ayrıntılarını, 3. adımda kaynak etki alanı grubu ayrıntılarını toplar ve ardından raporu 4. ve 5. adımlarda derler.

  6. Sonuçlar, aşağıdaki ekran görüntüsü olarak geçerli dizindeki bir TSV dosyasında depolanır:

    Sonuçların geçerli dizindeki bir TSV dosyasında depolandığını gösteren ekran görüntüsü.

TSV dosyasını okumak için aşağıdaki kılavuza bakın:

  • SID türü: Grubun/Kullanıcının veya SIDHistory'nin birincil SID'sinin olup olmadığını bildirir.
  • SID Geçmiş Sayısı: Bu hesap SIDHistory'den kaç SID içeriyor?
  • One Level MemberOf Count: Bu girdi koleksiyona tek bir düzeyde (girişlerin üyesi) kaç SID ekler?
  • Total MemberOf Count: Bu giriş koleksiyona toplam kaç SID ekler?
  • Grup Sahibi: Grup yönetimi temsilcisi olan ortamlarda, kullanıcı oturum açma işlemine saldırmak için çok fazla grup kullanma hakkında ipuçları alabilirsiniz.
  • Grup Türü: Sid türü. WellKnown, kullanıcı SID'i, genel ve evrensel güvenlik grupları bu kullanıcı için oluşturulan tüm belirteçlerde yer alır. Etki alanı yerel güvenlik grubu yalnızca bu kaynak etki alanında olabilir. Bir kullanıcı yalnızca belirli bir kaynak etki alanında oturum açma sorunları yaşadığında önemli olabilir.
  • Member WhenChanged (UTC): Grup üyeliğinde en son değişiklik. Kullanıcıların ilk kez bildirdiği oturum açma sorunlarıyla bağıntıya yardımcı olabilir.

Bir değişikliği hedeflemek için grupları bulmaya yönelik ipuçları:

  • SIDHistory olan grupların SID sayısını azaltmaya yardımcı olmak için iyi bir kaldıraçları vardır.

  • İç içe yerleştirme yoluyla diğer birçok grubu tanıtır gruplar, SID sayısını azaltmak için büyük bir avantaja sahiptir.

  • Grubun artık kullanılıp kullanılmayabileceğini belirlemek için grup adında ipuçlarını arayın. Örneğin, yazılım dağıtım çözümünde uygulama başına bir grubu olan bir müşterimiz vardı. Ayrıca office2000 veya access2000 içeren gruplar bulduk.

  • Grup listesinin raporunu hizmetinize ve uygulama yöneticilerinize geçirin. Artık gerekli olmayan grupları tanımlayın; belki de yalnızca bu iş birimindeki veya departmandaki bu kullanıcı için.

Sınırlama:

  • Araç, bu makalede aşağıda listelenen bazı özel/WellKnown SID türlerini içermez. Bu nedenle, bir kullanıcının başarıyla oturum açabilmesi için önce raporda 1.024'ten birkaç SID'yi temizlemesi gerektiğini unutmayın.

  • Araç, sunucu yerel gruplarını da kapsamaz. Kaynak etki alanının yalnızca belirli sunucularında sorun yaşıyorsanız, kullanıcı veya grubunun bir bölümü sunucu yerel gruplarının üyesi olabilir.

Sunucu yerel gruplarının ve üyelerinin listesini almak için:

Not

Yükseltilmiş bir komut isteminde yönetici olarak çalıştırın.

Net localgroup | findstr * > %computername%-grouplist.txt

Etki alanından üyelerin listesini almak için:

Md server-groups

For /f "delims=*" %d in (%computername%-grouplist.txt) do Net localgroup %d | findstr \ > server-groups\%d-domain-memberlist.txt**

Burada bildirilen grupları, NTDSUTIL'den gelen kullanıcı raporuyla karıştırıp eşleştirin.

Çözüm

Bu sorunu çözmek için, durumunuz için uygun olan aşağıdaki yöntemlerden birini kullanın.

Yöntem 1

Bu çözüm aşağıdaki durum için geçerlidir:

  • Oturum açma hatasıyla karşılaşan kullanıcı yönetici değil.
  • Yöneticiler bilgisayarda veya etki alanında başarıyla oturum açabilir.

Bu çözüm, kullanıcının grup üyeliklerini değiştirme izinlerine sahip bir yönetici tarafından gerçekleştirilmelidir. Yönetici, kullanıcının artık yaklaşık 1.010'dan fazla güvenlik grubunun üyesi olmadığından emin olmak için kullanıcının grup üyeliklerini değiştirmelidir. Geçişli grup üyeliklerini ve yerel grup üyeliklerini göz önünde bulundurun.

Kullanıcı belirtecindeki SID sayısını azaltma seçenekleri aşağıdakileri içerir. NTDSUTIL'den veri toplama, değişiklik veya kaldırma kapsamında hangi grupların olduğunu görmenize yardımcı olmalıdır:

  • Kullanıcıyı yeterli sayıda güvenlik grubundan kaldırın.

  • Kullanılmayan güvenlik gruplarını dağıtım gruplarına dönüştürün. Dağıtım grupları erişim belirteci sınırına göre sayılmaz. Dönüştürülen bir grup gerektiğinde dağıtım grupları güvenlik gruplarına geri dönüştürülebilir.

  • Güvenlik sorumlularının kaynak erişimi için SID Geçmişi'ne bağlı olup olmadığını belirleyin. Aksi takdirde, bu hesaplardan SIDHistory özniteliğini kaldırın. Öznitelik değerini yetkili bir geri yükleme aracılığıyla alabilirsiniz.

Not

Bir kullanıcının üye olabileceği en fazla güvenlik grubu sayısı 1.024 olsa da, en iyi yöntem olarak, sayıyı 1.010'dan azla kısıtlayın. Bu sayı, LSA tarafından eklenen genel SID'ler için alan sağladığından belirteç oluşturma işleminin her zaman başarılı olmasını sağlar.

Yöntem 2

Çözüm, yönetici hesabının bilgisayarda oturum açamama durumu için geçerlidir.

Çok fazla grup üyeliği nedeniyle oturum açma işlemi başarısız olan kullanıcı Administrators grubunun üyesi olduğunda, Yönetici hesabının kimlik bilgilerine sahip bir yöneticinin (yani, 500'ün [RID] iyi bilinen göreli tanımlayıcısı olan bir hesabın) Güvenli Mod başlangıç seçeneğini belirleyerek (veya Ağ ile Güvenli Mod başlatma seçeneğini belirleyerek) bir etki alanı denetleyicisini yeniden başlatması gerekir. Daha sonra yöneticinin güvenli modda Yönetici hesabı kimlik bilgilerini kullanarak etki alanı denetleyicisinde oturum açması gerekir.

Microsoft, belirteç oluşturma algoritmasını değiştirdi. LSA, Yönetici hesabının üyesi olduğu geçişli grup veya geçişsiz grup sayısına bakılmaksızın yöneticinin oturum açabilmesi için Yönetici hesabı için bir erişim belirteci oluşturabilir. Bu güvenli mod başlangıç seçeneklerinden biri kullanıldığında, Yönetici hesabı için oluşturulan erişim belirteci, Yönetici hesabının üyesi olduğu tüm Yerleşik ve Tüm Etki Alanı Genel gruplarının SID'lerini içerir.

Bu gruplar genellikle şunları içerir:

  • Herkes (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Kimliği Doğrulanmış Kullanıcılar (S-1-5-11)
  • YEREL (S-1-2-0)
  • Domain\Domain Users (S-1-5-21-xxxxxxxx-yyyy-zzzzz-513)
  • Domain\Domain Admins (S-1-5-21-xxxxxxxx-yyyy-zzzzzzzz-512)
  • BUILTIN\Windows 2000 Öncesi Uyumlu Erişim (S-1-5-32-554) herkes bu grubun üyesiyse
  • ETKI alanı denetleyicisi Windows Server 2003 çalıştırıyorsa NT AUTHORITY\Bu Kuruluş (S-1-5-15)

Not

Güvenli Mod başlatma seçeneği kullanılırsa, Active Directory Kullanıcıları ve Bilgisayarları ek bileşen kullanıcı arabirimi (UI) kullanılamaz. Windows Server 2003'te yönetici alternatif olarak Ağ ile Güvenli Mod başlangıç seçeneğini belirleyerek oturum açabilir; bu modda Active Directory Kullanıcıları ve Bilgisayarları ek bileşen kullanıcı arabirimi kullanılabilir.

Bir yönetici güvenli mod başlangıç seçeneklerinden birini seçerek ve Yönetici hesabının kimlik bilgilerini kullanarak oturum açtıktan sonra, yöneticinin oturum açma reddi hizmetine neden olan güvenlik gruplarının üyeliğini tanımlaması ve değiştirmesi gerekir.

Bu değişiklik yapıldıktan sonra, etki alanının çoğaltma gecikme süresine eşit bir süre geçtikten sonra kullanıcılar başarıyla oturum açabilmelidir.

Yöntem 3

Belirli bir sunucu kümesinde kullanılan kaynaklara erişim vermek için oluşturulmuş birçok grubunuz varsa ve bunlar diğer birçok sunucuyla ilgili değilse, bu seçenek en büyük çekici seçenektir. Kullanıcıların erişim belirteci her zaman kullanıcı, genel ve evrensel grupların SID'lerini içerir. Ancak, yalnızca kaynak sunucularının bulunduğu etki alanının Domain-Local gruplarının SID'lerini içerir. Bu nedenle, bir kullanıcının üyesi olduğu 600 gruptan 400,iki sunucu grubundaki dosya sunucusu kaynaklarına erişim verilmesine yardımcı olur ve ardından aşağıdaki fikirler uygulanabilir olabilir:

  • Sunucularınızı, Domain-Local grup sayısına göre birden çok gruba ayırın.
  • Tüm grupları ve sunucuları içeren bir kaynak etki alanı yerine, yalnızca ihtiyacınız olan sunucuları içeren grupların tanımlandığı birden çok etki alanı vardır.
  • Etki alanı yerel gruplarına çok az ihtiyacı olan sunucular için ayrı bir etki alanına sahip olun. Exchange'in evrensel gruplar için güçlü bir tercihi olduğundan, exchange sunucuları örnek olarak kullanılabilir.

Daha fazla bilgi

Bir hesabın genel SID'leri genellikle şunları içerir:

  • Herkes (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\Kimliği Doğrulanmış Kullanıcılar (S-1-5-11)
  • Oturum Açma Oturum Sid'i (S-1-5-5-X-Y)
  • BUILTIN\Windows 2000 Öncesi Uyumlu Erişim (S-1-5-32-554) kullanıcı bu grubun üyesiyse (iç içe)

Önemli

Araç Whoami genellikle Erişim Belirteçlerini incelemek için kullanılır. Bu araç oturum açma oturumu SID'sini göstermiyor.

Oturum açma oturum türüne bağlı olarak SID örnekleri:

  • YEREL (S-1-2-0)
  • KONSOL OTURUM AÇMA (S-1-2-1)
  • NT AUTHORITY\NETWORK (S-1-5-2)
  • NT AUTHORITY\SERVICE (S-1-5-6)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\TERMINAL SERVER USER (S-1-5-13)
  • NT AUTHORITY\BATCH (S-1-5-3)

Sık kullanılan Birincil Gruplar için SID'ler:

  • Domain\Domain Computers (S-1-5-21-xxxxxxxx-yy-zzzzzzz-515)
  • Domain\Domain Users (S-1-5-21-xxxxxxxx-yyyy-zzzzz-513)
  • Domain\Domain Admins (S-1-5-21-xxxxxxxx-yyyy-zzzzzzzz-512)

Oturum Açma Oturumunun nasıl doğrulandığını belgeleyen SID'ler, aşağıdaki değerlerden biri:

  • Kimlik doğrulama yetkilisi tarafından onaylanan kimlik (S-1-18-1)
  • Hizmet tarafından onaylanan kimlik (S-1-18-2)

Belirteç bağlamı ve talep ayrıntıları hakkında birden fazla olası ayrıntı sağlayan SID'ler:

  • Kullanılan Cihaz Talepleri (S-1-5-21-0-0-0-496)
  • Kullanılan Kullanıcı Talepleri (S-1-5-21-0-0-0-497)
  • Bu Kuruluş Sertifikası (S-1-5-65-1)
  • Belirteç PKI doğrulanmış kimliği (S-1-18-4) yardımıyla oluşturulmuş
  • Belirteç MFA yaklaşımı kullanılarak oluşturulmuş (S-1-18-5)
  • Credential Guard kullanıldı (S-1-18-6)

Belirtecin tutarlılık düzeyini açıklayan SID'ler, en yaygın örnekler:

  • Orta Zorunlu Düzey (S-1-16-8192)
  • Yüksek Zorunlu Düzey (S-1-16-12288)

Erişim belirteci, aşağıdaki değerlerden biri olan kullanıcı/bilgisayar kaynağına göre bir SID içerir:

  • NT AUTHORITY\OTHER_ORGANIZATION (S-1-5-1000)
  • HESAP bilgisayarla aynı ormandan geliyorsa NT AUTHORITY\Bu Kuruluş (S-1-5-15).

Not

  • SID girişi Oturum Açma Oturumu SID'sindeki notla görebileceğiniz gibi, araç çıkışları listesindeki SID'leri saymayın ve tüm hedef bilgisayarlar ve oturum açma türleri için bunların tamamlandığını varsayın. Bir hesabın 1.000'den fazla SID'si olduğunda bu sınıra girme tehlikesi olduğunu düşünmelisiniz. Belirtecin oluşturulduğu bilgisayara bağlı olarak sunucu veya iş istasyonu yerel gruplarının da eklenebileceğini unutmayın.
  • xxxxxxxx-yyyy-zzzzzzzz, SID'nin etki alanı veya iş istasyonu bileşenlerini gösterir.

Aşağıdaki örnekte, kullanıcı bir etki alanındaki bir bilgisayarda oturum açtığında kullanıcının belirtecinde hangi etki alanı yerel güvenlik gruplarının gösterileceği gösterilmektedir.

Bu örnekte, Joe'nun Etki Alanı A'ya ait olduğunu ve Etki Alanı A\Chicago Kullanıcıları etki alanı yerel grubunun üyesi olduğunu varsayalım. Joe ayrıca Etki Alanı B\Chicago Kullanıcıları etki alanı yerel grubunun da üyesidir. Joe, Etki Alanı A'ya (örneğin, Etki Alanı A\Workstation1) ait bir bilgisayarda oturum açtığında, bilgisayarda Joe için bir belirteç oluşturulur ve belirteç, tüm evrensel ve genel grup üyeliklerine ek olarak Etki Alanı A\Chicago Kullanıcıları için SID'yi içerir. Joe'nın oturum açtığı bilgisayar (Etki Alanı A\Workstation1) Etki Alanı A'ya ait olduğundan, Etki Alanı B\Chicago Kullanıcıları için SID'yi içermez.

Benzer şekilde, Joe Etki Alanı B'ye (örneğin, Etki Alanı B\Workstation1) ait bir bilgisayarda oturum açtığında, bilgisayarda Joe için bir belirteç oluşturulur ve belirteç, tüm evrensel ve genel grup üyeliklerine ek olarak Etki Alanı B\Chicago Kullanıcıları için SID'yi içerir; Joe'un oturum açtığı bilgisayar (Etki Alanı B\Workstation1) Etki Alanı B'ye ait olduğundan, Etki Alanı A\Chicago Kullanıcıları için SID'yi içermez.

Ancak, Ali Etki Alanı C'ye (örneğin, Etki Alanı C\Workstation1) ait bir bilgisayarda oturum açtığında, oturum açma bilgisayarında Joe için Joe'nun kullanıcı hesabının tüm evrensel ve genel grup üyeliklerini içeren bir belirteç oluşturulur. Ne Etki Alanı A\Chicago Kullanıcıları SID'si ne de Etki Alanı B\Chicago Kullanıcıları SID'si belirteçte görünmez çünkü Joe'nun üyesi olduğu etki alanı yerel grupları, Joe'nun oturum açtığı bilgisayardan farklı bir etki alanındadır (Domain C\Workstation1). Buna karşılık, Joe Etki Alanı C'ye (örneğin, Etki Alanı C\Chicago Kullanıcıları) ait olan bir etki alanı yerel grubunun üyesiyse, bilgisayarda Joe için oluşturulan belirteç, tüm evrensel ve genel grup üyeliklerine ek olarak, Etki Alanı C\Chicago Kullanıcıları için SID içerir.

Başvurular