Du arbetar offline, väntar på att återansluta till Internet

Prihlásenie používateľské konto, ktoré je členom skupiny viac 1010 môže zlyhať v počítači so systémom Windows Server

Poskytovanie technickej podpory pre Windows Server 2003 sa skončilo 14 júla 2015

Spoločnosť Microsoft ukončila 14 júla 2015 poskytovanie technickej podpory pre Windows Server 2003. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 328889
Príznaky
Keď sa používateľ pokúsi prihlásiť do počítača pomocou lokálne konto alebo konto používateľa domény požiadavku na prihlásenie môže zlyhať a zobrazí nasledujúce chybové hlásenie:
Prihlasovacie správa: Systém vás nemôže prihlásiť kvôli nasledujúcej chybe: počas pokusu o prihlásenie, získané kontext zabezpečenia používateľa príliš veľa identifikácií zabezpečenia. Skúste to znova alebo sa obráťte na správcu systému.
Problém sa vyskytuje pri prihlásení používateľa explicitné alebo prenosná členom o 1010 alebo viac skupín zabezpečenia.

Typ udalosti: Upozornenie
Zdroj udalosti: LsaSrv
Event Category: žiadne
Identifikácia udalosti: 6035
Dátum:Dátum
Čas:čas
Používateľ: N/A
Počítač: hostname

Popis:

Počas pokusu o prihlásenie, získané kontext zabezpečenia používateľa príliš veľa identifikácií zabezpečenia. Je to veľmi nezvyčajné situácie. Odstrániť používateľa z niektorých globálnych alebo lokálnych skupín znížiť počet ID. zahrnúť do kontext zabezpečenia.

Používateľov je SID IDENTIFIKÁTOR SID

Ak je konto správcu, prihlásenie v núdzovom režime povolí správca prihlásiť automaticky obmedzenie členstvo v skupine.

Príčina
Keď sa používateľ prihlási do počítača samospráva zabezpečenia (LSA súčasť Local Security Authority Subsystem) generuje Prístupový token, ktorý predstavuje kontext zabezpečenia používateľa. Prístupový token pozostáva z identifikátorov jedinečných zabezpečenia (SID) pre všetky skupiny, ktoré používateľ je členom. Tieto sid aj prenosná skupiny a SID hodnoty SIDHistory na kontá používateľov a skupín.

Pole, ktoré obsahuje sid používateľa členstvo v skupine prístupového tokenu môže obsahovať viac ako 1 024 sid. Nastavenia nemožno odstrániť všetky SID z tokenu. Tak, ak existujú ďalšie sid LSA nedokáže vytvoriť prístupový token a používateľ bude môcť prihlásiť.

Pri je zoznam sid, LSA tiež vloží niekoľko všeobecných, známy sid okrem sid používateľa členstvo v skupine (vyhodnotiť prechodnú). Preto ak je používateľ členom skupiny viac o 1010 vlastné zabezpečenia, počet sid môže presiahnuť 1024 SID.

Dôležité upozornenie:
  • Tokeny správcu aj bez správcu kont sú obmedzené.
  • Presný počet vlastných sid sa líši typ prihlásenia (napríklad interaktívne, služieb siete) a verziu operačného systému z radiča domény a počítač, ktorý vytvára token.
  • Podľa overenia protokolu Kerberos alebo NTLM nemá vplyv na prístup k tokenu limit.
  • Nastavenie "MaxTokenSize" klienta Kerberos sa zaoberá KB 327825. "Tokenu" v kontexte protokolu Kerberos odkazuje na buffer lístkov Windows Kerboros hostiteľ prijal. V závislosti od lístok, sid a či je zapnutá kompresia SID medzipamäte môže mať menej alebo mnohé ďalšie sid, než by vhodné do Prístupový token.
Zoznam vlastné sid bude obsahovať:
  • Primárne sid používateľa alebo počítača a skupín zabezpečenia konto je členom.
  • Sid v atribúte SIDHistory skupín v rozsahu prihlásiť.
Atribút SIDHistory môže obsahovať viac hodnôt, limit 1024 sid dostanete veľmi rýchlo Ak kontá sú premiestnené viackrát. Číslo sid v prístupový Token sa beless ako počet skupiny, ktoré používateľ je členom nasledujúce situácie:
  • Používateľ nachádza v dôveryhodnej doméne, kde SIDHistory a sid sú filtrované.
  • Používateľ sa z dôveryhodnej domény cez dôveryhodnosti, ak sú v karanténe sid. Potom obsahuje iba sid v rovnakej doméne ako používateľ.
  • Sú iba domény lokálnej skupiny sid z oblasti prostriedku.
  • Sú iba Server lokálnej skupiny sid z prostriedkov servera.
Keďže tieto rozdiely, je možné, že používateľ môže prihlásiť do počítača v jednej doméne, ale nie na počítači v inej doméne. Používateľ pravdepodobne môcť prihlásiť na jeden server v doméne, ale nie na iný server v rovnakej doméne.
Riešenie
Opraviť tento problém, použite jeden z nasledujúcich postupov v závislosti od situácie.

Metóda 1

Toto riešenie sa vzťahuje na situácie, kedy nie je používateľ, ktorý sa vyskytne chyba prihlásenia správcu a správcovia môžu úspešne sa prihlásite na počítač alebo doménu.

Toto riešenie musí vykonať správca povolenia zmeniť členstvo v skupine, ktorá príslušného používateľa je členom. Správca, musíte zmeniť používateľa členstvo v skupine, aby ste sa uistili, že používateľ nie je členom skupiny viac o 1010 zabezpečenia (za členstvo v skupine prenosná a členstvo v skupine lokálne).

Možnosti znížiť počet sid používateľa tokenu patria:
  • Odstránenie používateľov z dostatočný počet skupín zabezpečenia.
  • Konverzia nepoužívané zabezpečenia skupiny distribučných skupín. Distribučné skupiny nemajú počítať tokenu obmedzenia prístupu. Distribučné skupiny môžete pri previesť je potrebné prevedú späť do skupiny zabezpečenia.
  • Zistite, či autority zabezpečenia spolieha na históriu SID prostriedkov prístupu. Ak nie, odstráňte atribút SIDHistory z týchto kont. Môžete získať prostredníctvom vynútenej hodnotu atribútu.
Poznámka: Napriek tomu, že používateľ môže byť členom skupiny zabezpečenia je maximálne 1 024, ako najlepšie postupy obmedziť počet menej ako 1010. Toto číslo je určite tokenu generácie sa vždy úspešné, pretože poskytuje miesto pre všeobecné sid, ktoré sú vložené LSA.

Metóda 2

Riešenie sa vzťahuje na situácie, v ktorých správca konta nemôžete prihlásiť do počítača.

Keď používateľ, ktorého prihlásenia zlyhala kvôli príliš veľa členstvo v skupine je členom skupiny Administrators, Správca poverení konta správcu (t. j. konta, ktoré má známy relatívny identifikátor [RID] 500) musíte reštartovať radič domény, výberom možnosti spustenia Núdzového režimu (alebo vyberte možnosť Safe Mode with Networking spustenia). V núdzovom režime, sa musí Prihláste sa do radiča domény pomocou tohto poverenia konta správcu.

Microsoft zmenil algoritmus tokenu generácie tak, aby nastavenia môžete vytvoriť prístupový token konta správcu, aby sa správca môže prihlásiť bez ohľadu na to, koľko prenosná skupiny alebo netranzitívne konto Administrator je členom skupiny. Ak niektorý z týchto možností spustenia núdzového režimu, Prístupový token, ktorý je vytvorený pre konto správcu vrátane sid a všetky vstavaný Global domény všetky konto Administrator je členom.

Tieto skupiny zvyčajne patria:
  • Všetci (S-1-1-0)
  • Vstavané alebo používateľské (S-1-5-32-545)
  • Builtin\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • LOKÁLNE (S-1-2-0)
  • Doména\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • DoménaSprávcovia \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre Windows 2000 kompatibilné Access(S-1-5-32-554), ak je každý člen skupiny
  • NT AUTHORITY\This organizácie (S-1-5-15) Ak radič domény spustený systém Windows Server 2003
Poznámka: Ak možnosť spustenia Núdzového režimu , Active Directory Users and Computers modul používateľské rozhranie nie je k dispozícii. Windows Server 2003, správca môže tiež prihlásiť vyberte možnosťSafe Mode with Networking spustenia; v tomto režime Active Directory Users and Computers modul UI je k dispozícii.

Keď správca sa prihlásil, výberom jednej z možností spustenia núdzového režimu a s použitím poverení konta správcu, správca musí potom identifikovať a upraviť členov skupiny zabezpečenia, ktoré spôsobili vyradenie služby prihlásenia.

Po vykonaní tejto zmeny používatelia mali úspešne prihlásiť po uplynutí období, ktoré sa rovná oneskorenie replikácie domény.
Ďalšie informácie
Všeobecný sid konta často patria:
Všetci (S-1-1-0)
Vstavané alebo používateľské (S-1-5-32-545)
Builtin\Administrators (S-1-5-32-544)
NT AUTHORITY\Authenticated Users (S-1-5-11)
Prihlasovacej relácii Sid (S-1-5-5-X-Y)
Dôležité upozornenie: "Whoami" sa často používa nástroj kontrolu tokeny prístupu. Tento nástroj nezobrazuje prihlasovanie SID.

Príklady sid v závislosti od typu prihlasovacej relácii:
LOKÁLNE (S-1-2-0)
PRIHLÁSENIE POMOCOU KONZOLY (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL SERVER USER (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
Sid často používajú primárne skupiny:
Doména \Domain počítačov (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Používatelia domény \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Správcovia domény \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Sid, ktorý dokument, ako máte overené prihlasovanie:
Overovanie autorita uplatňované totožnosť (S-1-18-1)
Služba uplatňované totožnosť (S-1-18-2)
Sid, popisujúce úroveň súladu tokenu:
Stredná úroveň povinného (S-1-16-8192)
Úroveň povinného (S-1-16-12288)
Prístupový token môže Voliteľne obsahovať nasledujúce sid:
BUILTIN\Pre Windows 2000 kompatibilné Access(S-1-5-32-554), ak je každý člen skupiny
NT AUTHORITY\This organizácie (S-1-5-15) Ak je konto v tom istom lese ako na počítači.
Poznámka:
  • Ako sa zobrazí upozornenie na SID položky "Prihlasovacej relácii SID", počet sid v zozname nástroja výstupov a prevziať úplné všetkých cieľových počítačov a typy prihlásenia. By ste mali zvážiť, konto je v ohrození s do tohto limitu, ak má viac ako 1000 sid. Nezabudnite, že v závislosti od počítača, kde sa vytvorí token, server alebo pracovná stanica lokálnej skupiny môže byť tiež pridaná.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates doméne alebo pracovnej stanici súčasti sid.
Nasledujúci príklad ilustruje domény lokálneho zabezpečenia, ktoré skupiny sa zobrazí v používateľa pri prihlásení do počítača v doméne.

V tomto príklade predpokladajme, že Joe patrí do domény a je členom domény lokálnej skupiny používatelia domény A\Chicago. Joe je tiež členom domény lokálnej skupiny používatelia domény B\Chicago. Pri prihlásení Joe na počítači, ktorý patrí do domény (napríklad doména A\Workstation1), vzniká token Joe v počítači a token obsahuje okrem univerzálne a globálna skupina členstva, SID domény A\Chicago používateľov. Nebude obsahovať identifikátor SID používateľov v doméne B\Chicago preto, lebo v počítači, kde Joe prihlásený (doména A\Workstation1) patrí k doméne A.

Podobne, keď Joe prihlási do počítača, ktorý patrí do domény B (napríklad doména B\Workstation1), token Joe v počítači a zobrazí sa token obsahuje okrem univerzálne a globálna skupina členstva, SID domény B\Chicago používatelia; nebude obsahovať identifikátor SID používateľov v doméne A\Chicago preto, lebo v počítači, kde Joe prihlásený (doména B\Workstation1) patrí do domény B.

Však keď Joe prihlási do počítača, ktorý patrí do domény C (napríklad doména C\Workstation1), token vzniká Joe v počítači prihlásení obsahuje všetky členstvo v skupine univerzálne a globálnych Joe používateľského konta. Identifikátor SID domény A\Chicago používateľov ani SID B\Chicago používateľov domény zdá tokenu, pretože lokálne skupiny domény, že Joe je členom sú v inej doméne ako počítač kde Joe prihlásený (C\Workstation1 domény). Naopak, ak Joe členom niektoré lokálna skupina domény, ktoré patria do domény C (napríklad používateľov domény C\Chicago), token, ktorý je generovaný Joe v počítači by obsahovať, okrem univerzálne a globálna skupina členstva, SID domény C\Chicago používateľov.

Upozornenie: Tento článok bol preložený automaticky.

Egenskaper

Artikel-id: 328889 – senaste granskning 06/20/2016 11:28:00 – revision: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtsk
Feedback