Birden fazla 1010 gruplarının üyesi olan bir kullanıcı hesabında oturum Windows Server tabanlı bir bilgisayarda başarısız olabilir

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 328889
Belirtiler
Bir kullanıcı oturum açmaya çalıştığında, bir bilgisayar kullanarak yerel bilgisayar hesabı veya bir etki alanı kullanıcı hesabı oturum açma isteği başarısız olabilir ve aşağıdaki hata iletisini alırsınız:
Oturum açma iletisi: Sistem aşağıdaki hata nedeniyle oturum açamıyor: bir oturum açma girişimi sırasında kullanıcının güvenlik içeriği çok fazla güvenlik kimliği kümülatif. Lütfen yeniden deneyin veya sistem yöneticinize başvurun.
Oturum açan kullanıcının yaklaşık 1010 açık veya geçişli bir üyesi veya daha fazla güvenlik grupları olduğunda sorun oluşur.

Olay türü: uyarı
Olay kaynağı: LsaSrv
Olay Kategorisi: Yok
Olay Kimliği: 6035
Tarih:Tarih
Süre:saat
Kullanıcı: Yok
Bilgisayar: ana bilgisayar adı

Açıklama:

Bir oturum açma girişimi sırasında kullanıcının güvenlik içeriği çok fazla güvenlik kimliği biriktirdi. Bu çok alışılmadık bir durumdur. Kullanıcı güvenlik kimliklerini güvenlik bağlamına birleştirmek için sayısını azaltmak için bazı genel veya yerel grupları kaldırın.

Kullanıcı SID'si SID

Bu yönetici hesabı ise, güvenli modda açarak Grup üyeliğini sınırlayarak otomatik olarak oturum açmak için yönetici etkinleştirin.

Neden
Yerel güvenlik yetkilisi (LSA, yerel güvenlik yetkilisi alt sistemi bir parçası) bir kullanıcı bir bilgisayarda oturum açtığında kullanıcının güvenlik bağlamı temsil eden bir erişim belirteci oluşturur. Erişim simgesi kullanıcının üyesi olduğu her grup için benzersiz güvenlik tanımlayıcılarını (SID) oluşur. Bu SID'ler geçişli grupları ve kullanıcı ve grup hesaplarının SID Geçmişi SID değerlerini içerir.

1024'ten fazla kullanıcının grup üyeliklerini erişim simgesindeki SID'ler içeren bir dizi içerebilir SID. LSA belirtecinden SID herhangi bırakamazsınız. Bu nedenle, daha fazla SID varsa, erişim belirtecini oluşturmak LSA başarısız olur ve kullanıcı oturum açamaz.

SID'ler listesi yapılandırıldığında, LSA SID kullanıcının grup üyeliklerini (geçişli olarak değerlendirilen) için ek olarak birkaç genel, iyi bilinen SID'ler de ekler. Bu nedenle SID'leri toplam sayısı, bir kullanıcı birden fazla yaklaşık 1,010 özel güvenlik gruplarının bir üyesi ise, 1.024 SID sınırı aşabilir.

Önemli
  • Hem yönetici hem de yönetici olmayan bir hesap için simgeleri sınırına tabi olan.
  • Özel SID tam sayısı oturum açma türü (örneğin, etkileşimli, servis, ağ) ve işletim sistemi sürümünü belirteci oluşturur bilgisayar ve etki alanı denetleyicisi ile değişir.
  • Hiçbir boşluğunu Kerberos veya NTLM kimlik doğrulaması iletişim kuralı olarak kullanarak erişim belirteci sınırlaması vardır.
  • "MaxTokenSize" ayarı Kerberos istemcisi KB içinde ele alınmıştır 327825. "Belirteç" olarak Kerberos bağlamında Windows Kerberos bir ana bilgisayar tarafından alınan biletler için arabellek başvurur. Anahtar türü SID'leri ve SID sıkıştırma etkin olup olmadığı, büyüklüğüne, daha çok daha fazla SID'leri erişim belirtecine sığabilecekten veya arabellek daha az tutun.
Özel SID listesi şunları içerir:
  • Birincil SID'leri kullanıcı/bilgisayar ve güvenlik gruplarının üyesi hesaptır.
  • Oturum açma kapsam gruplarının SIDHistory özniteliğine SID'lerin.
SIDHistory özniteliği birden fazla değer içerebilir, çünkü birden çok kez geçirilen hesaplar ise sınırını 1024 SID çok kısa sürede erişilebilir. Erişim belirteci SID'lerin sayısı aşağıdaki durumda bir üyesi olan kullanıcı gruplarının toplam sayısından beless olacaktır:
  • Kullanıcı güvenilen bir etki alanında SID geçmişi ve SID'ler nerede filtrelenir arasındadır.
  • Güvenilir bir etki alanından SID'ler burada karantinaya arası bir güven kullanıcıdır. Daha sonra yalnızca kullanıcının aynı etki alanından SID'ler dahil.
  • Yalnızca etki alanı yerel grubu kaynak etki alanından SID'ler dahil.
  • Yalnızca sunucu yerel Grup SID'lerini kaynak sunucudan dahil.
Bu farklılıklar nedeniyle kullanıcı bir bilgisayara bir etki alanında, ancak başka bir etki alanındaki bir bilgisayarda oturum açabilir mümkündür. Kullanıcının etki alanındaki bir sunucu, ancak başka bir sunucu aynı etki alanında oturum açmak mümkün olabilir.
Çözüm
Bu sorunu gidermek için aşağıdaki yöntemlerden durumunuza uygun olanını kullanın.

Yöntem 1

Bu çözüm içinde oturum açma hatası karşılaştığında kullanıcıyı yönetici olmayan bir durum için geçerlidir ve yöneticiler başarıyla bilgisayarda veya etki alanında oturum açabilir.

Bu çözüm, etkilenen kullanıcının üyesi olduğu grup üyeliklerini değiştirmek için gerekli izinlere sahip bir yönetici tarafından gerçekleştirilmesi gerekir. Yönetici kullanıcı artık (Geçişli grup üyeliklerini ve yerel grup üyeliği dikkate alarak) birden fazla yaklaşık 1010 güvenlik gruplarının bir üyesi olduğundan emin olmak için kullanıcının grup üyeliklerini değiştirmeniz gerekir.

Kullanıcı simgesindeki SID'ler sayısını azaltmak için seçenekleri şunlardır:
  • Kullanıcı güvenlik grupları yeterli sayıda kaldırın.
  • Kullanılmayan güvenlik grupları dağıtım gruplarına dönüştürme. Dağıtım grupları, erişim belirteci sınırınızı sayılmaz. Dağıtım grupları, dönüştürülmüş bir grup gerekli olduğunda güvenlik gruplarına dönüştürülebilir.
  • SID geçmişi için kaynak erişimi güvenlik sorumluları kalınır olup olmadığını belirleyin. Aksi halde, bu hesaplarından SIDHistory özniteliğini kaldırın. Yetkilendirmeli Geri yükleme yoluyla öznitelik değerini alabilir.
Not Maksimum güvenlik gruplarının üyesi olan bir kullanıcı olabilir 1024, ancak bir en iyi uygulama, sayısı az 1010 için kısıtlayın. LSA tarafından eklenen genel SID için alan sağlar çünkü bu numara yapar emin o simge oluşturma her zaman başarılı olur.

Yöntem 2

Hangi yönetici hesabı bilgisayarda oturum açamıyor durum çözümlemesi uygulanır.

Nedeniyle çok fazla grup üyelikleri, oturum açma başarısız kullanıcı Administrators grubunun bir üyesi olduğunda, Güvenli modda başlatma seçeneği seçerek (veya Ağ desteği ile güvenli modda başlatma seçeneği seçerek) (500 tanınmış göreli tanımlayıcı [RID] sahip bir hesabı) yönetici hesabı için kimlik bilgileri olan bir yönetici etki alanı denetleyicisi yeniden başlatmalısınız. Güvenli modda, he sonra etki alanı denetleyicisi için bu yönetici hesabının kimlik bilgilerini kullanarak oturum açmalısınız.

Kaç tane karşılıklı gruplar veya geçişsiz Administrator hesabının üyesi olduğu gruplar ne olursa olsun yönetici oturum açabilir, Administrator hesabı için bir erişim belirteci LSA oluşturabilmesi için Microsoft simge üretme algoritması değiştirildi. Bu güvenli modda başlatma seçenekleri birini kullanıldığında, yönetici hesabı için oluşturulan erişim belirteci SID'leri ve tüm yerleşik Administrator hesabının bir üyesi olan tüm etki alanı genel grupları içerir.

Bu gruplar genellikle şunları içerir:
  • Everyone (S-1-1-0)
  • BUILTIN\USERS (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated Users (S-1-5-11)
  • YEREL (S-1-2-0)
  • Etki alanı\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Etki alanı\Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • Herkes bu grubun üyesi ise BUILTIN\Pre Windows 2000 uyumlu Access(S-1-5-32-554)
  • NT AUTHORITY\This kuruluş (S-1-5-etki alanı denetleyicisini Windows Server 2003 çalıştırıyorsa, 15)
NotGüvenli modda başlatma seçeneği kullanılırsa, Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninde kullanıcı arabirimi (UI) kullanılamaz. Windows Server 2003'te yönetici alternatif olarakAğ desteği ile güvenli modda başlatma seçeneği seçerek oturum açabilir; Bu modda, Active Directory Kullanıcıları ve Bilgisayarları ek UI kullanılabilir bileşeni.

Yönetici güvenli modda başlatma seçeneklerinden birini seçerek ve yönetici hesabının kimlik bilgilerini kullanarak oturum açtıktan sonra yönetici tanımlamak sonra oturum açma hizmet reddine neden olan güvenlik grupları üyeliğini değiştirme.

Bu değişikliği yaptıktan sonra kullanıcılar için çoğaltma gecikmesi etki alanının eşit bir süre geçtikten sonra başarıyla oturum açabilmesi gerekir.
Daha fazla bilgi
Genel bir hesabın SID genellikle aşağıdakileri içerir:
Everyone (S-1-1-0)
BUILTIN\USERS (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
NT AUTHORITY\Authenticated Users (S-1-5-11)
Oturum açma oturumu SID (S-1-5-5-X-Y)
Önemli: aracı "Whoami" erişim belirteçleri incelemek için sık sık kullanılır. Bu araç, oturum açma oturumu SID göstermez.

Oturum açma oturum türüne bağlı olarak SID için örnekler:
YEREL (S-1-2-0)
KONSOL OTURUMU (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL SERVER KULLANICI (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
Sık kullanılan birincil gruplar için SID:
Etki alanı \Domain bilgisayarlar (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Etki alanı \Domain Users (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Etki alanı \Domain Admins (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Oturum nasıl doğrulanır belgesi SID:
Kimlik doğrulama yetkilisiyle garantilenen kimlik (S-1-18-1)
Hizmet garantilenen kimlik (S-1-18-2)
Belirtecin tutarlılık düzeyi tanımla SID:
Orta düzey zorunlu (S-1-16-8192)
Yüksek düzey zorunlu (S-1-16-12288)
Erişim belirteci, isteğe bağlı olarak aşağıdaki SID içerebilir:
Herkes bu grubun üyesi ise BUILTIN\Pre Windows 2000 uyumlu Access(S-1-5-32-554)
NT AUTHORITY\This kuruluş (S-1-5-bilgisayarla aynı ormanda hesabı ise, 15).
Not
  • Not SID girdisi "Oturum açma oturumu SID" ile görebileceðiniz gibi yok sayma aracı çıktıların listesinden SID ve tüm hedef bilgisayarlarda ve oturum açma türleri için tam olduğunu varsayar. Firmanın 1000 SID birden çok olduğunda, bu sınır içinde çalışan, tehlike içinde olduğu göz önünde bulundurmalısınız. Bir belirteci oluşturulduğu bilgisayara bağlı olarak, sunucu veya iş istasyonu yerel gruplar da eklenebilir, unutmayın.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates SID'si etki alanı veya iş istasyonu bileşenleri.
Aşağıdaki örnek, bir etki alanındaki bir bilgisayar için kullanıcı oturum açtığında grupları kullanıcının simgesinde görünür hangi etki alanı yerel güvenlik gösterir.

Bu örnekte, Joe A etki alanına aitse ve bir etki alanı yerel grubu A\Chicago kullanıcılar etki alanı üyesi olan varsayalım. Joe da bir etki alanı yerel grubu B\Chicago kullanıcılar etki alanı üyesidir. Joe açtığında bilgisayarda (örneğin, etki alanı A\Workstation1) A etki alanına ait olan bir bilgisayar için bir belirteç Joe için oluşturulur ve belirteç içerir, tüm genel ve evrensel grup üyeliklerinin yanı sıra, etki alanı A\Chicago kullanıcılar için SID. Burada Joe (etki alanı A\Workstation1) üzerinde oturum bilgisayarın ait olduğu etki alanı A'daki için etki alanı B\Chicago kullanıcılar için SID içermez

Benzer şekilde, Joe (örneğin, etki alanı B\Workstation1) etki alanı B'ye ait olduğu bir bilgisayara oturum açtığında, bir belirteç Joe için bilgisayarda oluşturulur ve belirteç içerir, tüm genel ve evrensel grup üyeliklerinin yanı sıra, etki alanı B\Chicago kullanıcılar için SID; çünkü burada Joe (etki alanı B\Workstation1) üzerinde oturum bilgisayarın ait olduğu etki alanı b etki alanı A\Chicago kullanıcılar için SID içermez

Joe, etki alanı C (örneğin, etki alanı C\Workstation1) ait olduğu bir bilgisayara oturum açtığında, ancak, bir belirteç için Joe içeren tüm genel ve evrensel grup üyeliklerini Joe's kullanıcı hesabı için oturum açma bilgisayarda oluşturulur. A\Chicago kullanıcılar etki alanı SID'si ne SID B\Chicago kullanıcılar etki alanı etki alanı yerel grupları, Joe üyesi olduğundan belirteç görünür olursunuz (etki alanı C\Workstation1) üzerinde Joe burada günlüğe bilgisayardan farklı bir etki alanında. Joe ait olduğu etki alanı C (örneğin, etki alanı C\Chicago kullanıcılar) için bazı etki alanı yerel grup üyesi olsaydı, buna karşılık, Joe için bilgisayarda oluşturulan belirteç, tüm genel ve evrensel grup üyeliklerinin yanı sıra, SID'si etki alanı C\Chicago kullanıcıları içerir.

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 328889 - Son İnceleme: 06/20/2016 11:29:00 - Düzeltme: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMttr
Geri bildirim