Iniciar sessão numa conta de utilizador que seja membro de mais do que 1010 grupos poderão falhar num computador baseado no Windows Server

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 328889
Sintomas
Quando um utilizador tenta iniciar sessão num computador utilizando uma conta de computador local ou uma conta de utilizador de domínio, o pedido de início de sessão poderá falhar e receberá a seguinte mensagem de erro:
Mensagem de início de sessão: O sistema não é possível iniciar a sua sessão devido ao seguinte erro: durante uma tentativa de início de sessão, o contexto de segurança do utilizador acumulou demasiados IDs de segurança. Tente novamente ou contacte o administrador de sistema.
Este problema ocorre quando o utilizador de início de sessão é um membro explícito ou transitória de cerca de 1010 ou mais grupos de segurança.

Tipo de evento: aviso
Origem do evento: LsaSrv com
Categoria de evento: Nenhum
ID do evento: 6035
Data:Data
Hora:tempo
Utilizador: n/d
Computador: nome de anfitrião

Descrição:

Durante uma tentativa de início de sessão, o contexto de segurança do utilizador acumulou demasiados IDs de segurança. Esta é uma situação muito invulgar. Remova o utilizador de alguns grupos globais ou locais para reduzir o número de ID para incorporar no contexto de segurança de segurança.

Utilizador SID é SID

Se esta for a conta de administrador, iniciar sessão no modo de segurança irá activar o administrador para iniciar sessão automaticamente restringindo os membros do grupo.

Causa
Quando um utilizador inicia sessão num computador, a autoridade de segurança Local (LSA, uma parte do subsistema de autoridade de segurança Local) gera um token de acesso que representa o contexto de segurança do utilizador. O token de acesso consiste identificadores de segurança exclusivo (SID) para cada grupo no qual o utilizador é membro de. Estes SID incluir grupos transitórias e valores de SID de SIDHistory do utilizador e as contas de grupo.

A matriz que contém os SID do utilizador membros de grupos no token de acesso pode conter mais do que 1024 SID. A LSA não é possível largar quaisquer SID do token. Assim, se não existir SID mais, a LSA não consegue criar o token de acesso e o utilizador não conseguirão iniciar sessão.

Quando a lista de SIDs é criada, a LSA também insere vários SIDs genérico e bem conhecidos para além de SID dos membros do grupo do utilizador (avaliados de forma transitória). Assim, se um utilizador for membro de mais de cerca de 1,010 grupos de segurança personalizado, o número total de SID pode exceder o limite de 1.024 do SID.

Importante
  • Tokens para o administrador e contas de administrador não estão sujeitas ao limite.
  • O número exacto de SIDs personalizados varia consoante o tipo de início de sessão (por exemplo, interactivo, serviço, rede) e a versão do controlador de domínio e computador que cria o token de sistema operativo.
  • Utilizar o Kerberos ou NTLM como o protocolo de autenticação tem não influi no limite de token de acesso.
  • A definição "MaxTokenSize" do cliente de Kerberos é discutido em KB 327825. "Token" no contexto de Kerberos refere-se para a memória intermédia de bilhetes recebido por um anfitrião Windows Kerberos. Dependendo do tamanho do bilhete, o tipo de SID e se a compressão de SID está activada, a memória intermédia pode conter menos ou muitos SIDs mais do que seria se adequam o token de acesso.
A lista de SIDs personalizado será incluem o seguinte:
  • O SID primário do utilizador/computador e os grupos de segurança a conta é membro.
  • Os SID no atributo SIDHistory dos grupos no âmbito do início de sessão.
Porque o atributo SIDHistory pode conter vários valores, o limite de 1024 SID podem ser atingido muito rapidamente se contas são migradas várias vezes. O número de SID no Token de acesso será beless que o número total de grupos de que o utilizador é membro na seguinte situação:
  • O utilizador é de um domínio fidedigno onde SIDHistory e os SIDs são filtrados.
  • O utilizador é de um domínio fidedigno numa fidedignidade onde são colocados em quarentena os SID. Em seguida, apenas os SID do mesmo domínio que o utilizador são incluídos.
  • Apenas o domínio Local grupo SID do domínio do recurso estão incluídos.
  • Apenas o servidor Local grupo SID do servidor de recursos são incluídos.
Devido a estas diferenças, é possível que o utilizador pode iniciar sessão num computador num domínio, mas não a um computador de outro domínio. O utilizador poderá também conseguir iniciar sessão a um servidor num domínio, mas não para outro servidor no mesmo domínio.
Resolução
Para corrigir este problema, utilize um dos seguintes métodos, conforme adequado à sua situação.

Método 1

Esta resolução aplica-se à situação em que o utilizador que detectar o erro de início de sessão não é um administrador e os administradores com êxito podem iniciar sessão no computador ou domínio.

Esta resolução deve ser efectuada por um administrador que tenha permissões para alterar os membros de grupos que o utilizador afectado é um membro de. O administrador tem de alterar associações de grupo do utilizador para se certificar de que o utilizador já não é um membro de mais do que aproximadamente 1010 grupos de segurança (considerando os membros de grupos transitória e os membros do grupo local).

Opções para reduzir o número de SID no token de utilizador incluem o seguinte:
  • Remova o utilizador de um número suficiente de grupos de segurança.
  • Converta grupos de segurança não utilizados para grupos de distribuição. Grupos de distribuição, não contribuem para diminuir o limite de token de acesso. Grupos de distribuição podem ser convertidos para grupos de segurança quando é necessário a um grupo convertido.
  • Determine se os principais de segurança baseiam-se no histórico do SID para acesso a recursos. Caso contrário, remova o atributo SIDHistory nestas contas. Pode obter o valor do atributo através de um restauro autoritário.
Nota Embora o número máximo de grupos de segurança que um utilizador pode ser um membro de 1024, como uma prática recomendada, que restringem o número para menos 1010. Este número torna-se de que esse token geração será sempre bem sucedida porque fornece espaço para SID genérico que são inseridos pelo LSA.

Método 2

A resolução aplica-se à situação em que administrador conta não é possível iniciar sessão no computador.

Quando o utilizador cujo início de sessão falha devido a demasiados membros do grupo é um membro do grupo Administradores, um administrador que tem as credenciais da conta de administrador (ou seja, uma conta que tenha um valor de identificador relativo conhecido [RID] de 500) tem de reiniciar um controlador de domínio, seleccionando a opção de arranque do Modo de segurança (ou seleccionando a opção de arranque do Modo de segurança com funcionamento em rede ). No modo de segurança ele deve, em seguida, inicie sessão no controlador de domínio utilizando este credenciais da conta de administrador.

A Microsoft alterou o algoritmo de geração de token para que a LSA possa criar um token de acesso da conta de administrador para que o administrador pode iniciar sessão, independentemente de quantos grupos transitórias ou grupos Intransitivo que a conta de administrador é um membro de. Quando uma das seguintes opções de arranque do modo de segurança é utilizada, o token de acesso criado para a conta de administrador inclui o SID de todos os incorporada e todos os grupos globais do domínio que a conta de administrador é um membro de.

Estes grupos incluem normalmente o seguinte:
  • Todos os utilizadores (S-1-1-0)
  • BUILTIN\Utilizadores. (S-1-5-32-545)
  • BUILTIN\Administradores (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT Authority\utilizadores (S-1-5-11)
  • LOCAL (S-1-2-0)
  • Domínio\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • DomínioAdmins de \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre-Windows 2000 compatíveis com o Access(S-1-5-32-554) se todos os utilizadores é um membro deste grupo
  • NT AUTHORITY\This organização (S-1-5-15) se o controlador de domínio com o Windows Server 2003
Nota Se for utilizada a opção de arranque do Modo de segurança , a interface de utilizador do snap-in ' computadores e utilizadores do Active Directory (UI) não está disponível. No Windows Server 2003, o administrador pode em alternativa sessão seleccionando a opção de arranque doModo de segurança com funcionamento em rede ; Neste modo, os computadores e utilizadores do Active Directory snap-in UI está disponível.

Depois de um administrador tem sessão iniciada, seleccionando uma das opções de arranque do modo de segurança e utilizando as credenciais da conta de administrador, o administrador tem, em seguida, identificar e modificar os membros dos grupos de segurança que causou a negação de serviço de início de sessão.

Após esta alteração é efectuada, os utilizadores devem conseguir iniciar sessão com êxito depois de decorrido um período de tempo que é igual a latência da replicação do domínio.
Mais Informação
Muitas vezes os SID genérico de uma conta incluem o seguinte:
Todos os utilizadores (S-1-1-0)
BUILTIN\Utilizadores. (S-1-5-32-545)
BUILTIN\Administradores (S-1-5-32-544)
NT Authority\utilizadores (S-1-5-11)
Sid de sessão de início de sessão (S-1-5-5-X-Y)
Importante: A ferramenta "Whoami" é frequentemente utilizada para inspeccionar os Tokens de acesso. Esta ferramenta não mostra o SID de início de sessão.

Exemplos de SID, dependendo do tipo de sessão de início de sessão:
LOCAL (S-1-2-0)
INÍCIO DE SESSÃO DE CONSOLA (S-1-2-1)
NT AUTHORITY (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL DE UTILIZADOR DO SERVIDOR (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
SID para os grupos primários utilizados com frequência:
Computadores do domínio \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Utilizadores do domínio \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Admins do domínio de \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
SID de documentos como obteve verificado o início de sessão:
Autoridade de autenticação declarada identidade (S-1-18-1)
Serviço declarada identidade (S-1-18-2)
SID que descrevam o nível de consistência do token de:
Nível obrigatório médio (S-1-16-8192)
Nível obrigatório alto (S-1-16-12288)
O token de acesso, opcionalmente, pode incluir os SID seguintes:
BUILTIN\Pre-Windows 2000 compatíveis com o Access(S-1-5-32-554) se todos os utilizadores é um membro deste grupo
NT AUTHORITY\This organização (S-1-5-15) se a conta for da mesma floresta que o computador.
Nota
  • Como pode ver com a nota na entrada do SID "SID de sessão de início de sessão", não contar os SID na lista de resultados da ferramenta e partem do princípio de que são completas para todos os computadores de destino e tipos de início de sessão. Deverá considerar que uma conta estiver em risco de que este limite quando tem mais de 1000 SID. Não se esqueça que, consoante o computador em que é criado um token, servidor ou grupos locais de estação de trabalho podem também ser adicionados.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates os componentes do SID de domínio ou estação de trabalho.
O exemplo seguinte ilustra a segurança local de domínio grupos serão mostrado no token do utilizador quando o utilizador inicia sessão num computador num domínio.

Neste exemplo, suponha que o José pertence ao domínio A e é um membro de um grupo local utilizadores do domínio A\Chicago. O José também é um membro de um grupo local utilizadores do domínio B\Chicago. Quando o José inicia sessão num computador que pertence ao domínio A (por exemplo, A\Workstation1 de domínio), um token é gerado para João no computador e o token contém, além de todos os membros de grupos globais e universais, o SID para utilizadores do domínio A\Chicago. Este não vai conter o SID para utilizadores do domínio B\Chicago porque o computador onde o José iniciou sessão (A\Workstation1 de domínio) pertence ao domínio A.

Do mesmo modo, quando o José inicia sessão num computador que pertence ao domínio B (por exemplo, B\Workstation1 de domínio), um token é gerado para João no computador e o token contém, além de todos os membros de grupos globais e universais, o SID para utilizadores do domínio B\Chicago; Este não vai conter o SID para utilizadores do domínio A\Chicago porque o computador onde o José iniciou sessão (B\Workstation1 de domínio) pertence ao domínio B.

No entanto, quando o José inicia sessão num computador que pertence (por exemplo, C\Workstation1 de domínio) do domínio C, um token é gerado para João no computador de início de sessão que contém todos os membros de grupos globais e universais conta José de utilizador. Nem o SID para utilizadores do domínio A\Chicago como o SID para utilizadores do domínio B\Chicago aparece no token de uma vez que os grupos locais de domínio que o José é um membro do estão num domínio diferente do computador onde o José iniciou sessão (C\Workstation1 de domínio). Por outro lado, se o José fosse membro de algum grupo local de domínio que pertence (por exemplo, C\Chicago os utilizadores de domínio) do domínio C, o token que é gerado para João no computador iria conter, além de todos os membros de grupos globais e universais, o SID para utilizadores do domínio C\Chicago.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 328889 - Última Revisão: 06/20/2016 10:45:00 - Revisão: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtpt
Comentários