kí nhập vào tài khoản người dùng là thành viên của nhóm 1010 hơn có thể không thành công trên máy tính chạy Windows Server

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 328889
Triệu chứng
Khi người dùng cố gắng kí nhập vào máy tính bằng cách sử dụng một tài khoản máy tính hoặc tài khoản người dùng miền, yêu cầu kí nhập có thể không thành công và bạn nhận được thông báo lỗi sau:
Thông báo đăng nhập: Hệ thống không thể kí nhập bạn do lỗi sau: trong một lần kí nhập, người dùng bảo mật ngữ cảnh tích lũy được ID an ninh quá nhiều. Vui lòng thử lại hay hỏi người quản trị hệ thống của bạn.
Sự cố xảy ra khi người dùng kí nhập là một thành viên rõ ràng hoặc ngoại khoảng 1010 thêm nhóm bảo mật.

Loại sự kiện: cảnh báo
Sự kiện nguồn: LsaSrv
Loại sự kiện: Không có
ID sự kiện: 6035
Ngày:Ngày
Thời gian:thời gian
Người dùng: K/C
Máy tính: tên máy (ứng dụng) phục vụ

Mô tả:

Trong một lần kí nhập, người dùng bảo mật ngữ cảnh tích lũy được ID an ninh quá nhiều. Đây là tình huống rất không bình thường. Người dùng khỏi một nhóm công cộng hoặc cục bộ để giảm số bảo mật ID kết hợp vào bối cảnh bảo mật.

Người dùng có SID SID

Nếu đây là tài khoản quản trị viên viên, kí nhập trong chế độ an toàn sẽ cho phép quản trị viên để kí nhập tự động hạn chế tư cách thành viên của nhóm.

Nguyên nhân
Khi người dùng kí nhập máy tính, quyền bảo mật cục bộ (LSA, một phần của hệ thống quyền bảo mật cục bộ) tạo ra một mã thông báo truy cập biểu thị người dùng bảo mật ngữ cảnh. Truy cập mã thông báo bao gồm mã danh định duy nhất phổ quát bảo mật (SID) cho mỗi Nhóm người dùng là thành viên. Sid bao gồm động từ nhóm và SID giá trị từ SIDHistory của người dùng vào nhóm.

Mảng có Sid của người dùng là nhóm thành viên thẻ truy cập có thể chứa hơn 1024 Sid. LSA không thả SID bất kỳ mã thông báo. Vì vậy, nếu có nhiều Sid, LSA không tạo mã thông báo truy cập và người dùng sẽ không thể kí nhập.

Khi danh sách Sid được xây dựng, LSA cũng chèn nhiều Sid chung, nổi tiếng ngoài Sid cho các nhóm thành viên của người dùng (đánh giá nhân). Do đó nếu người dùng là thành viên của nhóm bảo mật tuỳ chỉnh hơn khoảng 1.010, tổng số Sid có thể vượt quá giới hạn SID 1.024.

Quan trọng
  • Mã thông báo cho quản trị viên và tài khoản không phải là quản trị viên có thể hạn chế.
  • Số Sid tuỳ chỉnh, chính xác với kí nhập loại (ví dụ, tương tác, bản ghi dịch vụ, mạng) và hệ điều hành phiên bản của bộ bộ kiểm soát miền và máy tính tạo ra mã thông báo khác nhau.
  • Sử dụng Kerberos hoặc NTLM là giao thức xác thực không có mang trên mã thông báo truy cập giới hạn.
  • Kerberos khách đặt "MaxTokenSize" được đề cập trong KB 327825. "Mã thông báo" trong ngữ cảnh Kerberos đề cập đến bộ đệm vé của máy chủ Windows Kerberos. Tuỳ thuộc vào kích thước của vé, loại Sid và xem SID nén được bật, bộ đệm có thể chứa ít hoặc nhiều Sid nhiều hơn sẽ phù hợp với thẻ truy cập.
Danh sách tùy chỉnh Sid sẽ bao gồm:
  • Sid chính của máy tính/người dùng và nhóm bảo mật tài khoản là.
  • Sid trong thuộc tính SIDHistory nhóm trong phạm vi của quá trình kí nhập.
Vì tính SIDHistory có chứa nhiều giá trị, giới hạn 1024 Sid có thể đạt tới rất nhanh nếu tài khoản được di chuyển nhiều lần. Số Sid trong mã thông báo truy cập sẽ beless hơn tổng số Nhóm người dùng là thành viên trong trường hợp sau:
  • Người dùng có tên miền tin cậy nơi SIDHistory và Sid được lọc ra.
  • Người dùng có tên miền đáng tin cậy trên một tin cậy nơi Sid được cách ly. Sau đó, chỉ Sid từ cùng một miền như người dùng được bao gồm.
  • Chỉ các miền địa phương nhóm Sid từ tài nguyên được cung cấp.
  • Chỉ máy chủ địa phương nhóm Sid từ máy chủ tài nguyên được cung cấp.
Vì những khác biệt, có thể người dùng có thể kí nhập vào máy tính trong một miền, nhưng không phải máy tính trong một miền. Người dùng cũng có thể kí nhập vào một máy chủ trong một miền, nhưng không cho các máy chủ khác trong cùng một miền.
Giải pháp
Để khắc phục sự cố này, sử dụng một trong các phương pháp sau, tuỳ theo trường hợp của bạn.

Phương pháp 1

Giải pháp này áp dụng cho trường hợp mà người dùng gặp nhật kí lỗi không phải là quản trị viên và người quản trị có thể đã kí nhập vào máy tính hoặc vùng.

Giải pháp này phải được thực hiện bởi người quản trị có quyền để thay đổi nhóm thành viên người dùng bị ảnh hưởng là thành viên. Quản trị viên phải thay đổi nhóm thành viên của người dùng để đảm bảo rằng người dùng không còn là thành viên của nhóm bảo mật hơn khoảng 1010 (xem xét tư cách nhóm thành viên tương lai và các nhóm thành viên cục bộ).

Tuỳ chọn để giảm số Sid mã thông báo người dùng bao gồm:
  • Loại bỏ người dùng từ một số nhóm bảo mật đầy đủ.
  • Chuyển nhóm bảo mật sử dụng nhóm phân phối. nhóm phân phối không tính đối với giới hạn truy cập mã thông báo. nhóm phân phối có thể được chuyển đổi trở lại nhóm bảo mật khi chuyển đổi nhóm
  • Xác định xem bảo mật hiệu dựa trên SID lịch sử để truy cập tài nguyên. Nếu không, loại bỏ thuộc tính SIDHistory từ các tài khoản. Bạn có thể lấy giá trị thuộc tính thông qua một khôi phục thẩm quyền.
Lưu ý Mặc dù số nhóm bảo mật người dùng có thể là thành viên, tối đa là 1024, như một thực tiễn tốt nhất, hạn chế số 1010 ít hơn. Điều này làm cho số chắc chắn rằng tạo mã thông báo sẽ luôn thành công vì nó tạo không gian cho Sid chung được đưa vào LSA.

Phương pháp 2

Giải pháp này áp dụng cho tình huống trong đó quản trị viên tài khoản không thể kí nhập vào máy tính.

Khi người dùng kí nhập mà không thành công vì quá nhiều nhóm thành viên là thành viên của nhóm quản trị viên, quản trị viên đã thông tin kí nhập cho tài khoản quản trị viên viên (tức là, tài khoản đã được xác định tương đối danh [RID] 500) phải khởi động lại bộ điều khiển miền bằng cách chọn tuỳ chọn khởi động Chế độ an toàn (hoặc bằng cách chọn tuỳ chọn khởi động Chế độ an toàn với kết nối mạng ). Trong chế độ an toàn, ông phải sau đó kí nhập vào bộ điều khiển miền bằng cách sử dụng thông tin kí nhập tài khoản quản trị viên viên này.

Microsoft đã thay đổi thuật toán tạo mã thông báo để LSA có thể tạo một mã thông báo trương mục truy nhập quản trị viên để quản trị viên có thể kí nhập bất kể bao nhiêu vật nhóm hoặc nhóm ngoại có tài khoản quản trị viên viên của. Khi một trong các tuỳ chọn khởi động chế độ an toàn được sử dụng, truy cập-thẻ được tạo cho tài khoản quản trị viên viên bao gồm Sid tất cả sẵn và tất cả các nhóm miền chung tài khoản quản trị viên viên là thành viên.

Các nhóm này thường bao gồm:
  • Tất cả mọi người (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • BUILTIN\Administrators (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5 / 4)
  • Người dùng AUTHORITY\Authenticated NT (S-1-5-11)
  • CỤC BỘ (S-1-2-0)
  • Tên miền\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • Tên miềnQuản trị \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre Windows 2000 tương hợp về sau Access(S-1-5-32-554) nếu tất cả mọi người là thành viên của nhóm này
  • Tổ chức AUTHORITY\This NT (S-1-5-15) nếu bộ kiểm soát miền đang chạy Windows Server 2003
Lưu ý: Nếu tuỳ chọn khởi động Chế độ an toàn được sử dụng, mục tin thư thoại người dùng và máy tính phần đính vào giao diện người dùng (UI) hiện không khả dụng. Trong Windows Server 2003, quản trị viên có thể hoặc kí nhập bằng cách chọn tuỳ chọn khởi độngChế độ an toàn với kết nối mạng ; trong chế độ này, mục tin thư thoại người dùng và máy tính phần đính vào giao diện người dùng có sẵn.

Sau khi quản trị viên đã kí nhập bằng cách chọn một trong các tuỳ chọn khởi động chế độ an toàn và sử dụng thông tin kí nhập tài khoản quản trị viên viên, quản trị viên phải sau đó xác định và sửa đổi các thành viên của nhóm bảo mật do từ chối kí nhập bản ghi dịch vụ.

Sau khi thay đổi này được thực hiện, người dùng có thể kí nhập thành công sau một khoảng thời gian bằng của nhân trễ đã qua.
Thông tin thêm
Sid chung tài khoản thường bao gồm:
Tất cả mọi người (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
BUILTIN\Administrators (S-1-5-32-544)
Người dùng AUTHORITY\Authenticated NT (S-1-5-11)
kí nhập phiên Sid (S-1-5-5-X-Y)
Chú ý: công cụ "Whoami" thường được sử dụng để kiểm tra truy cập thẻ. Công cụ này không hiển thị phiên kí nhập SID.

Ví dụ cho Sid tuỳ thuộc vào phiên kí nhập nhập:
CỤC BỘ (S-1-2-0)
BÀN ĐIỀU KHIỂN kí nhập (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5 / 4)
NT AUTHORITY\TERMINAL SERVER USER (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
Sid thường sử dụng nhóm chính:
Tên miền \Domain máy tính (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
Người dùng trong miền \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
Quản trị miền \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
Sid tài liệu cách phiên kí nhập đã xác nhận:
Thẩm quyền xác thực khẳng định danh tính (S-1-18-1)
bản ghi dịch vụ xác nhận danh tính (S-1-18 / 2)
Sid mô tả cấp nhất quán của mã thông báo:
Mức trung bình bắt buộc (S-1-16-8192)
Mức độ bắt buộc cao (S-1-16-12288)
Truy cập mã thông báo có thể bao gồm Sid sau:
BUILTIN\Pre Windows 2000 tương hợp về sau Access(S-1-5-32-554) nếu tất cả mọi người là thành viên của nhóm này
NT AUTHORITY\This tổ chức (S-1-5-15) nếu tài khoản từ cùng một nhóm với máy tính.
Lưu ý
  • Như bạn có thể thấy có ghi chú SID tham "Đăng nhập phiên SID", không tính Sid trong danh sách các công cụ kết quả và cho rằng họ là hoàn thành tất cả các mục tiêu máy tính và kí nhập loại. Bạn nên xem xét tài khoản nguy cơ chạy vào giới hạn này khi có hơn 1000 Sid. Đừng quên, tuỳ thuộc vào máy tính mà một mã thông báo được tạo ra, máy chủ hoặc máy trạm nhóm cục bộ cũng có thể thêm.
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates phần miền hoặc trạm làm việc của SID.
Ví dụ sau đây minh hoạ mà bảo mật cục bộ miền nhóm sẽ hiển thị trong mã thông báo người dùng khi người dùng kí nhập vào máy tính trong một miền.

Trong ví dụ này, giả sử rằng Joe thuộc miền A là thành viên của một nhóm cục bộ vùng miền A\Chicago người dùng. Joe là thành viên của một miền địa phương Nhóm người dùng trong miền B\Chicago. Khi Joe kí nhập vào máy tính thuộc vùng A (ví dụ: miền A\Workstation1), một mã thông báo được tạo cho Joe trên máy tính và thẻ chứa, ngoài tất cả các nhóm thành viên phổ biến và chung, SID cho người dùng trong miền A\Chicago. Nó sẽ chứa SID cho người dùng trong miền B\Chicago do máy tính khi Joe kí nhập (miền A\Workstation1) thuộc miền A.

Tương tự, khi Joe kí nhập vào máy tính thuộc vùng B (ví dụ: miền B\Workstation1), một mã thông báo được tạo cho Joe máy tính và thẻ chứa, ngoài tất cả các nhóm thành viên phổ biến và chung, SID cho người dùng trong miền B\Chicago; nó sẽ chứa SID cho người dùng trong miền A\Chicago do máy tính khi Joe kí nhập (miền B\Workstation1) thuộc miền B.

Tuy nhiên, khi Joe kí nhập vào máy tính thuộc vùng C (ví dụ: miền C\Workstation1), một mã thông báo được tạo cho Joe trên máy tính kí nhập có chứa tất cả các nhóm thành viên phổ biến và chung Joe của tài khoản người dùng. SID cho người dùng trong miền A\Chicago không SID cho người dùng trong miền B\Chicago xuất hiện trong mã thông báo do nhóm cục bộ miền Joe đó là thành viên của là một tên miền khác với máy tính khi Joe kí nhập (miền C\Workstation1). Ngược lại, nếu Joe là thành viên của một nhóm cục bộ vùng thuộc vùng C (ví dụ, người dùng miền C\Chicago), mã thông báo được tạo cho Joe trên máy tính sẽ chứa, ngoài tất cả các nhóm thành viên phổ biến và chung, SID cho người dùng trong miền C\Chicago.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 328889 - Xem lại Lần cuối: 06/20/2016 11:31:00 - Bản sửa đổi: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtvi
Phản hồi