Momentan sunteți offline, așteptați să vă reconectați la internet

conecta la un cont de utilizator care este membru al mai 1010 grupuri poate eșua pe un computer Windows Server

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 328889
Simptome
Când un utilizator încearcă să faceți conecta la un computer utilizând un cont de local computer sau un cont de utilizator de domeniu, solicitarea de conecta poate să nu reușească și primiți următorul mesaj de eroare:
Mesaj de log on: Sistemul nu faceți logon este din cauza următoarei erori: în timpul o încercare de conecta, context de securitate al utilizatorului acumulate prea multe ID-uri de securitate. Încercați din nou sau consultați administrator de sistem.
Problema apare atunci când utilizatorul conecta este membru explicită sau tranzitiv de aproximativ 1010 sau mai multe grupuri de securitate.

Tip eveniment: avertizare
Sursă eveniment: LsaSrv
Categorie eveniment: nici unul
ID eveniment: 6035
Data:Data
marcă de timp de:marcă de timp
Utilizator: N/A
Computer: nume gazdă

Descriere:

O încercare de conecta, context de securitate al utilizatorului acumulate prea multe ID-uri de securitate. Aceasta este o situaţie foarte neobişnuit. Eliminați utilizatorul la unele grupuri global sau local pentru a reduce numărul de ID-uri pentru a încorpora în context de securitate securitate.

Utilizatorului este SID SID

Dacă acesta este cont administrator, conecta în mod de siguranţă vor permite administratorului să faceţi conecta automat restricționarea Apartenenţe la grup.

Cauză
Când un utilizator face conecta pe un computer, autoritatea de securitate locală (LSA, o parte din subsistemul de autoritate Local Security) generează un simbol acces care reprezintă context de securitate al utilizatorului. Simbol acces constă identificator unic de securitate (SID) pentru fiecare grup care utilizatorul este membru al. Aceste Sid-uri includ tranzitiv grupuri și SID valorile din SIDHistory de utilizator și conturile de grup.

Matrice care conţine Sid-urile de Apartenenţe la grup a utilizatorului în simbol acces poate conține cel mult 1024 Sid-uri. LSA cannot drop orice SID din simbolul. Așadar, dacă există mai multe Sid-uri, LSA nu se poate crea simbol acces și utilizatorul va fi imposibil să faceți conecta.

Atunci când este construit Listă tabel de Sid-uri, LSA inserturi, de asemenea, mai multe Sid-uri generice, bine cunoscute în afară de Sid-urilor pentru Apartenenţe la grup a utilizatorului (evaluată reproduc). Astfel dacă un utilizator este membru al mai multe despre 1,010 grupurile de securitate particularizate, numărul total de Sid-uri poate depășește limita SID 1024.

Important
  • Simboluri pentru non-administrator conturile de administrator și se pot limita.
  • Numărul exact de Sid-uri particularizate variază în funcţie de tipul de conecta (de exemplu, interactiv, service, rețea) și versiunea sistemului de operare de controler de domeniu și computerul care creează simbolul.
  • Folosind protocolul de autentificare Kerberos sau NTLM are niciun efect limita simbol acces.
  • Clientul Kerberos setarea "MaxTokenSize" descrisă în KB 327825. "Simbol" în contextul Kerberos se referă la tampon pentru bilete primite de o gazdă Windows Kerberos. În funcţie de dimensiunea permisul, tipul de Sid-uri și dacă este activată comprimarea SID, Tamponul poate reține mai puține sau multe Sid-uri mai mult decât care ar se încadrează în simbol acces.
Listă tabel de Sid-uri particularizate vor include următoarele:
  • Sid-urilor principal de utilizator/computer și grupurile de securitate contul este membru.
  • Sid-urilor în atributul SIDHistory grupuri în domeniu de conecta.
Deoarece atributul SIDHistory poate conține mai multe valori, limita de 1024 Sid-uri se poate ajunge foarte repede în cazul în care conturile sunt migrate mai multe ori. Numărul de Sid-uri în simbol acces va beless decât numărul total de grupuri care utilizatorul este membru în următoarele situaţii:
  • Utilizatorul este de la un domeniu de încredere în cazul în care SIDHistory și Sid-uri sunt filtrate.
  • Utilizatorul este de la un domeniu de încredere peste o în cazul în care sunt în carantină Sid-uri de încredere. Apoi, numai Sid-uri din același domeniu ca utilizator sunt incluse.
  • Numai Domain Local Group Sid-urilor dintr-un domeniu de resurse sunt incluse.
  • Numai Server Local grup Sid-uri de pe serverul de resurse sunt incluse.
Din cauza aceste diferențe, este posibil că utilizatorul poate conecta pe un computer într-un domeniu, dar nu la un computer dintr-un alt domeniu. Utilizatorul ar putea fi, de asemenea, posibilitatea să faceți conecta la un server într-un domeniu, dar nu pe alt server în același domeniu.
Rezoluţie
Pentru a remedia această problemă, utilizați una dintre următoarele metode, în funcție de situația dvs.

Metoda 1

Această rezolvare se aplică la situația în care utilizatorul care întâlnește eroarea de conectare nu este un administrator și administratorii pot cu succes Faceți conecta la computer sau la domeniu.

Această rezolvare trebuie efectuate de un administrator care are permisiuni pentru a modifica abonamentele de grup care utilizatorului în cauză este membru al. Administratorul trebuie să modificați Apartenenţe la grup a utilizatorului pentru a vă asigura că utilizatorul nu mai este membru al mai multe despre 1010 securitate grupuri (având în vedere membri de grup tranzitiv și membri de grup local).

Opțiuni pentru a reduce numărul de Sid-uri în simbolul de utilizator se numără următoarele:
  • Eliminați utilizatorul de la un număr suficient de grupurile de securitate.
  • Conversia grupurile de securitate neutilizate la grupuri de distribuire. Grupuri de distribuție nu vor fi contabilizate limita simbol acces. Grupuri de distribuire poate efectua conversia înapoi la grupurile de securitate un grup transformate este necesar.
  • Determinați dacă directorii de securitate se bazează pe SID History pentru accesarea resurselor. Dacă nu, eliminați atributul SIDHistory din aceste conturi. Puteți recupera valoarea atributului printr-o restaurare cu autoritate.
Notă Cu toate că numărul maxim de grupurile de securitate care un utilizator poate fi un membru este 1024, cea mai bună practică, limita numărul la mai puțin de 1010. Acest număr face sigur că generare simbolului întotdeauna reuşi, deoarece acesta oferă spațiu pentru generic Sid-uri care sunt inserate prin LSA.

Metoda 2

Rezolvare se aplică la situația în care administratorul contului nu poate face conecta la computer.

Atunci când utilizatorul a cărui conecta nu reușește din cauza prea multe Apartenenţe la grup este membru al grup de Administratori, un administrator care are acreditări pentru cont administrator (adică, un cont care are un identificator relativ bine cunoscute [RID] 500) trebuie să reporniți un controler de domeniu, selectând opțiunea de pornire în mod de siguranţă (sau selectând opțiunea de pornire în Safe Mode with Networking ). În mod protejat, el trebuie apoi faceți conecta la controlerul de domeniu utilizând acest acreditările contului de Administrator.

Microsoft s-a modificat algoritmul de generare simbol, astfel încât LSA poate crea un simbol acces pentru cont administrator, astfel încât administratorul poate face conecta, indiferent câte grupuri tranzitiv sau intranzitiv grupuri care cont administrator este membru al. Când se utilizează unul dintre aceste opțiuni de pornire mod de siguranţă, acces-simbolul creat pentru cont administrator include Sid-urilor toate încorporat și toate grupurile domeniu Global care cont administrator este membru al.

Aceste grupuri de obicei se numără următoarele:
  • Oricine (S-1-1-0)
  • Încorporat\utilizatori (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT Authority\utilizatori (S-1-5-11)
  • LOCAL (S-1-2-0)
  • Domeniu\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Domeniu\Domain administratori (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre Windows 2000 compatibil Access(S-1-5-32-554) dacă toată lumea este membru al acestui grup
  • NT AUTHORITY\This Organization (S-1-5-15) în cazul în care controlerul de domeniu se execută Windows Server 2003
Notă Dacă se utilizează opțiunea de pornire în mod de siguranţă , Active Directory Users and Computers de completare snap-in interfață cu utilizatorul (IU) nu este disponibilă. În Windows Server 2003, administratorul poate alternativ face conecta selectând opțiunea de pornire înSafe Mode with Networking ; în acest mod, Active Directory Users and Computers de completare snap-in UI este disponibil.

După ce un administrator a făcut conecta, selectând una dintre opțiunile de pornire mod de siguranţă și utilizând acreditările contului de Administrator, administratorul apoi trebuie să identificați și modificați membri din grupurile de securitate care a cauzat refuzul serviciului de conecta.

După această modificare este făcută, utilizatorii trebuie să fie capabil să faceți conecta cu succes după o perioadă de marcă de timp egală cu latență la reproducere domeniu a trecut.
Informaţii suplimentare
Generic Sid-urilor de un cont de des includ următoarele:
Oricine (S-1-1-0)
Încorporat\utilizatori (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT Authority\utilizatori (S-1-5-11)
Sesiune de conecta Sid (S-1-5-5-X-Y)
Important: instrumentul "Whoami" este folosită pentru a inspecta simboluri de acces. Acest instrument nu afișează sesiune SID.

Exemple de Sid-uri în funcţie de tipul de sesiune de log on:
LOCAL (S-1-2-0)
CONSOLA DE conecta (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL SERVER USER (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
Sid-uri pentru grupuri primare utilizate frecvent:
Domeniu \Domain computere (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Domeniu \Domain utilizatori (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Domeniu \Domain administratori (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Sid-uri care tratează cum am verificat sesiune de log on:
Autoritate de autentificare afirmă identitatea (S-1-18-1)
Service afirmă identitatea (S-1-18-2)
Sid-uri care descriu nivelul consistența de simbolul:
Nivel mediu obligatoriu (S-1-16-8192)
Nivel înalt obligatoriu (S-1-16-12288)
Simbol acces opțional pot include următoarele Sid-urilor:
BUILTIN\Pre Windows 2000 compatibil Access(S-1-5-32-554) dacă toată lumea este membru al acestui grup
NT AUTHORITY\This Organization (S-1-5-15) în cazul în care contul este din aceeași pădure ca cea a computerului.
Notă
  • Cum se poate vedea cu nota la intrare SID "SID sesiune de log on", conta Sid-urilor în Listă tabel de rezultate instrument și să presupunem că sunt complete pentru toate computerele țintă și tipurile de conecta. Se recomandă un cont este în pericol de execuție în această limită când are mai mult de 1000 Sid-uri. Nu uitați că, în funcție de computer care este creat un simbol, server sau workstation grupuri locale pot, de asemenea, fi adăugate.
  • marius-yyyyyyyy-zzzzzzzzindicates domeniu sau workstation componentele de SID-ul.
Următorul exemplu ilustrează ce domeniu de securitate locală grupuri vor apărea în simbol al utilizatorului atunci când utilizatorul se conectează la un computer într-un domeniu.

În acest exemplu, să presupunem că Joe aparține de domeniu A și este membru al unui grup local în domeniu domeniu A\Chicago utilizatori. Joe este, de asemenea, un membru al unui grup local în domeniu domeniu B\Chicago utilizatori. Atunci când Joe conecta la un computer care aparține de domeniu A (de exemplu, domeniu A\Workstation1), este generat un simbol pentru Joe pe computer, iar simbolul conține, pe lângă toate apartenențele grup universal și global, SID-ul pentru utilizatorii de A\Chicago domeniu. Nu va conţine SID-ul pentru utilizatorii de B\Chicago domeniu, deoarece computerul unde Joe conecta (domeniu A\Workstation1) aparține de domeniu A.

În mod similar, atunci când Joe conecta la un computer care aparține de domeniu B (de exemplu, domeniu B\Workstation1), un simbol este generat pentru Joe pe computer și simbolul conține, pe lângă toate apartenențele grup universal și global, SID-ul pentru utilizatori de domeniu B\Chicago; nu va conţine SID-ul pentru utilizatorii de A\Chicago domeniu deoarece computerul unde Joe conecta (domeniu B\Workstation1) aparține de domeniu B.

Cu toate acestea, când Joe un computer care aparține de domeniu C (de exemplu, domeniu C\Workstation1), un simbol este generat pentru Joe pe computer de conecta, care conține toate abonamentele de grup universal și globală pentru contul de utilizator Joe. SID-ul pentru utilizatorii de A\Chicago domeniu nici SID-ul pentru utilizatorii de B\Chicago domeniu apare în simbolul deoarece grupuri locale ale domeniului că Joe este membru al sunt într-un domeniu diferit decât computerul unde Joe conecta (domeniu C\Workstation1). În schimb, dacă Joe a fost membru al unele grup local în domeniu care aparține de domeniu C (de exemplu, C\Chicago utilizatori de domeniu), simbol generat pe computer pentru Joe conține, pe lângă toate apartenențele grup universal și global, SID-ul pentru utilizatorii de C\Chicago domeniu.

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 328889 - Ultima examinare: 06/20/2016 10:46:00 - Revizie: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtro
Feedback