Пользователи, являющиеся членами групп более чем 1,015 может произойти сбой проверки подлинности при входе

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:328889
Проблема
Когда пользователь пытается войти в систему на компьютере, с помощью локального учетная запись компьютера или учетной записи пользователя домена, запрос на вход в систему не удастся с следующее сообщение об ошибке:
Сообщение входа в систему: Не удается системы войти в систему из-за следующей ошибки: во время попытки входа в систему, пользователь было использовано слишком много кодов безопасности. Повторите попытку или обратитесь к системный администратор.
Причина
Эта проблема возникает, когда пользователь (с правами администратора учетная запись или учетную запись пользователя без прав администратора), является членом более чем 1,015 групп безопасности пытается войти в систему.

При входе пользователя в систему компьютер, локальный администратор безопасности (LSA, является частью локальной безопасности Подсистема центра) создает маркер доступа пользователя для представления контекст безопасности пользователя. Маркер доступа содержит пользователя уникальный Идентификатор безопасности (SID) и ИД безопасности каждой группы, он входит включая транзитивные группы.

Примечание Единственным исключением из этого поведения в том, что не все локального домена группы безопасности, членом которых является пользователь появится в маркер пользователя. Только локальных групп безопасности домена, которые будут отображаться (в маркере пользователя) являются те группы, пользователь является членом, также находятся в домене содержащий вход пользователя в учетную запись компьютера. Для пример, иллюстрирующий процесс, обратитесь к разделу «Дополнительная информация».

Из-за ограничений системы, поля, содержащего ИД безопасности пользователя членства в группе в маркере доступа может содержать не более от 1 024 ИД безопасности. Если пользователь является членом более 1 024 групп безопасности LSA не удалось создать маркер доступа для пользователя во время попытки входа в систему. Таким образом пользователь не сможет войти в систему. Во время создания маркера доступа, в зависимости от типа выполняемого входа в систему LSA также вставляет до 9 хорошо известные идентификаторы безопасности в дополнение к идентификаторы SID для пользователя членства (оценка транзитивно.)

Из-за добавления хорошо известные идентификаторы безопасности с LSA Если пользователь является членом более чем 1,015 (то есть 1024 минус 9) группы безопасности всего будет превышать ограничение 1 024 SID. Таким образом, локальный администратор безопасности не сможет создать маркер доступа для пользователя во время Попытка входа в систему. (1,015 Учитываются локальных группах компьютер, пользователь пытается войти в систему.) Так как пользователь не может быть проверку подлинности, они не могут войти в систему.
Решение
Для решения этой проблемы используйте один из следующих способов в зависимости от конкретной ситуации.

Случай 1: Пользователь, возникает ошибка входа в систему, не является администратором, но администраторы могут успешно подключиться к компьютеру или домену

Это разрешение должны быть выполнены администратором, имеющим разрешения на изменение группах, что риск входит пользователь о. Администратор должен изменить членство в группах пользователя Убедитесь, что что пользователь больше не является членом более чем 1,015 групп безопасности (ведения в счет транзитивное членство в группах и локальных группах). После администратор удаляет пользователя из достаточное количество безопасности группы, пользователь будет возможность успешного входа в домен.

Примечание Несмотря на то, что максимальное количество безопасности группы, пользователь может быть член 1 024, как рекомендации, ограничить число 1,015. Это номер делает убедиться, что маркер поколения всегда будет успешным, так как он предоставляет места для до 9 хорошо известные идентификаторы SID, который вставлен Локальным администратором безопасности.

Случай 2: Сбой входа в систему пользователь является администратором

Когда пользователь, которого неудачно из-за слишком многие группы в группах является членом группы «Администраторы», администратор, имеющий учетные данные для учетной записи администратора (то есть с учетной записью известный относительный идентификатор [RID] 500), необходимо перезагрузить контроллер домена выбрав Безопасный режим параметр запуска (или выбрав Безопасный режим с загрузкой сетевых драйверов вариант загрузки) и необходимо войти в систему контроллер домена с учетной записью администратора.

Корпорация Майкрософт изменила алгоритм создания маркера в LSA таким образом, Локальный администратор безопасности можно создать маркер доступа администратора, Администратор может войти в систему независимо от того, сколько транзитивных групп или и нетранзитивное групп, членом которых является учетная запись администратора. Когда один из Эти параметры загрузки безопасного режима используется, маркер доступа, для которого создается учетная запись администратора содержит идентификаторы безопасности все встроенные и всех доменов Глобальные группы, членом которых является учетная запись администратора. Эти группы обычно включают:
  • «Все» (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • ПРОШЕДШИХ (S-1-5-4)
  • Прошедшие проверку (S-1-5-11)
  • ЛОКАЛЬНАЯ (S-1-2-0)
  • Домен\Администраторы домена пользователей (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Домен\Администраторы домена (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Маркер доступа, для которого создается учетная запись администратора При необходимости могут содержаться следующие коды безопасности:
  • Совместимость Access(S-1-5-32-554) BUILTIN\Pre Windows 2000 Если «все» является членом этой группы
  • Организация AUTHORITY\This NT (S-1-5-15) Если домен контроллер работает под управлением Windows Server 2003

Заметки

  • XXXXXXXX-yyyyyyyy-zzzzzzzz обозначает, что компонент домена ИД безопасности.
  • ИД безопасности NT AUTHORITY\NETWORK могут вставляться вместо SID NT AUTHORITY\INTERACTIVE в зависимости от типа входа в систему.
  • Если Безопасный режим использовать параметр запуска Active Directory — пользователи и компьютеры, оснастка пользовательский интерфейс не является доступные. В Windows Server 2003 администратор может также войти в систему выбрав Безопасный режим с загрузкой сетевых драйверов параметр запуска; в Этот режим является интерфейс пользователя оснастки Active Directory-пользователи и компьютеры доступные.
После администратор вошел в систему, выбрав один из параметры загрузки безопасного режима и с помощью учетных данных администратора учетной записи, администратор должен затем определить и изменить членство в группы безопасности, которые привели отказ службы входа в систему.
После этого изменения, пользователи должны иметь возможность успешно войти в систему после периода времени, равно домена Задержка репликации истек.
Дополнительная информация
В следующем примере показано, какой локальный домен группы безопасности будут отображаться в маркере пользователя при входе пользователя в систему компьютер в домене.

В этом примере предполагается, что Сергей принадлежит Домен a и является членом локальной группы домена A\Chicago пользователей домена. Сергей также является членом локальной группы домена B\Chicago пользователей домена. При входе Сергей на компьютере, который принадлежит к домену А (например, A\Workstation1 домена) на компьютере для Джо генерируется маркер и маркер содержит, кроме для всех глобальных и универсальных группах, SID для домена A\Chicago Пользователи. Он не будут содержать SID для пользователей домена B\Chicago компьютер, где Сергей систему (домен A\Workstation1) принадлежит к домену А.

Аналогично, когда Ивана в систему на компьютере, который принадлежит к домену Б (например, B\Workstation1 домена), генерируется маркер для Джо на содержит компьютера и маркер, чтобы все универсальные и глобальные членство в группах, ИД безопасности для пользователей домена B\Chicago; он не будет содержать Идентификатор безопасности для пользователей домена A\Chicago так как компьютер, где Сергей систему (домен B\Workstation1) принадлежит к домену б.

Тем не менее, когда Джо входит в компьютер, к которому принадлежит домену C (например, домен C\Workstation1), маркер генерируется для Джо на компьютере вход в систему, содержащую все универсальной и в глобальных группах для учетной записи пользователя Ивана. Ни один из SID для домена A\Chicago пользователей, ни SID для B\Chicago пользователей домена появится в маркере Поскольку локальные группы домена, Сергей входит в состав находятся в другом домен от компьютера, где Джо систему (домен C\Workstation1). И наоборот Если Джо были членами некоторых локальную группу домена, которому принадлежит C (например, C\Chicago пользователей домена), маркер, который создается для домена Будет содержать Джо на компьютере, чтобы все универсальные и глобальные членство в группах, SID для C\Chicago пользователей домена.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 328889 — последний просмотр: 06/08/2011 11:22:00 — редакция: 4.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows 7 Корпоративная, Windows 7 Enterprise N, Windows 7 Home Premium N, Windows 7 Professional N, Windows 7 Starter N, Windows 7 Ultimate N

  • kbinfo kbmt KB328889 KbMtru
Отзывы и предложения