你目前正处于脱机状态,正在等待 Internet 重新连接

在 1010 多组的成员的用户帐户登录到基于 Windows Server 的计算机上可能会失败

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 328889
症状
当用户尝试登录到使用本地计算机帐户或域用户帐户,登录请求的计算机可能会失败,并且您会收到以下错误消息 ︰
登录消息 ︰ 系统无法让您登录错误原因如下 ︰ 在登录尝试中,用户的安全上下文积累了太多的安全标识。请再试一次,或询问系统管理员。
登录用户是约 1010个显式或可传递或更多的安全组的成员时,则会发生问题。

事件类型 ︰ 警告
事件源 ︰ 出现 LsaSrv
事件类别: 无
事件 ID: 6035
日期 ︰日期
时间 ︰时间
用户: 不适用
计算机 ︰ 主机名

说明:

在登录尝试中,用户的安全上下文积累了太多的安全标识。这是非常不寻常的情况。从减少的安全标识安全上下文并考虑某些全局或本地组中删除用户。

用户的 sid SID

如果是管理员帐户,则在安全模式下登录将使管理员能够通过自动限制组成员身份登录。

原因
当用户登录到计算机时,本地安全机构 (LSA,本地安全机构子系统的一部分) 将生成表示用户的安全上下文访问令牌。访问令牌包含的每个组的成员的用户,唯一的安全标识符 (SID)。这些 Sid 包含可传递的组和用户帐户和组帐户的 SIDHistory SID 值。

包含用户的组成员资格的访问令牌中的 Sid 的数组可以包含不能超过 1024 Sid。LSA 无法从标记中删除任何 SID。因此,如果有更多的 Sid,LSA 无法创建访问令牌,用户将无法登录。

生成的 Sid 列表后,LSA 还插入几个一般,众所周知 Sid,以及用户的组成员身份 (间接计算) 的 Sid。因此如果用户是多个关于 1,010 的自定义安全组的成员,Sid 的总数可以超过 1024 SID。

重要
  • 标记为管理员和非管理员帐户是受限制的。
  • 自定义的 Sid 的确切数目各不相同,使用的登录类型 (例如,交互,服务,网络) 和创建令牌的计算机和域控制器的操作系统版本。
  • 使用 Kerberos 或 NTLM 作为身份验证协议无关的访问令牌的限制。
  • 以 kb 为单位讨论了 Kerberos 客户端设置"MaxTokenSize" 327825."令牌",在 Kerberos 上下文是指门票的 Windows Kerberos 主机接收到的缓冲区。根据票据、 Sid 以及是否启用 SID 压缩类型的大小,缓冲区可以容纳较少或访问令牌可以容纳比许多详细的 Sid。
自定义 Sid 列表将包括以下 ︰
  • 主用户/计算机和安全组的 Sid 的帐户是的成员。
  • SIDHistory 属性的作用域中的登录的组中的 Sid。
由于 SIDHistory 属性可以包含多个值,1024年的限制 Sid 可以到达很快如果迁移帐户多次。访问令牌中的 Sid 号将 beless 的用户是在以下情况中的成员的组的总数比 ︰
  • 用户是从 SIDHistory 和 Sid 筛选出一个受信任域中。
  • 通过信任 Sid 被隔离的情况下,用户将从受信任的域。然后,包括的只是来自相同域的用户的 Sid。
  • 只有域本地组中的 Sid 资源的域将包含。
  • 仅服务器本地组的 Sid 资源服务器都包括在内。
因为这些差异,则用户可以登录到计算机在一个域中,而不是与另一个域中的计算机。用户可能无法登录到一台服务器在域中,但不适用于另一台服务器相同的域中。
解决方案
若要解决此问题,请根据您的具体情况使用下列方法之一。

方法 1

此解决方案适用于在其中遇到登录错误的用户不是管理员,这种情况,管理员可以成功地登录到计算机或域。

此解决方法必须由有权更改受影响的用户所在的组成员身份的管理员执行。管理员必须更改用户的组成员身份,以确保用户不再是多约 1010年 (考虑到传递的组成员身份和本地组成员身份) 的安全组的成员。

选项来减小用户令牌中的 Sid 的数目如下 ︰
  • 从足够数量的安全组中删除用户。
  • 将未使用的安全组转换为通讯组。通讯组不计访问令牌限制。需要转换的组时,通讯组可以转换回安全组。
  • 确定安全主体的 SID 历史记录访问资源信赖。如果不是,则删除这些帐户的 SIDHistory 属性。您可以检索属性值通过权威性还原。
注意:尽管安全组的一个用户可以是成员的最大数目为 1024,作为一种最佳做法,限制数小于 1010年。这数字使确保该令牌生成将始终会成功因为它为插入的 LSA 的泛型 Sid 提供空间。

方法 2

解决方法适用于在哪些管理员帐户无法登录到该计算机的情况。

当其登录失败,由于太多的组成员身份的用户管理员组的成员,有 (有 500 一个众所周知的相对标识符 [RID] 帐户) 中的管理员帐户的凭据的管理员必须重新启动域控制器,通过选择安全模式启动选项 (或通过选择带网络连接的安全模式启动选项)。在安全模式下,他必须再登录到域控制器使用此管理员帐户凭据。

Microsoft 已经改变了的令牌生成算法,以便 LSA 可以创建管理员帐户的访问令牌,以便管理员可以登录无论多少可转移组或非可递组的管理员帐户的成员。使用这些安全模式启动选项之一时,管理员帐户创建访问令牌包含以及所有内置的管理员帐户的成员的所有域全局组的 Sid。

这些群体通常包括以下 ︰
  • 每个人 (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • 系统 (S-1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT AUTHORITY\Authenticated 用户 (S-1-5-11)
  • 本地 (S-1-2-0)
  • \Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • \Domain (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512) 管理员
  • 如果每个人都是此组的成员 BUILTIN\Pre Windows 2000 兼容 Access(S-1-5-32-554)
  • NT AUTHORITY\This 组织 (S-1-5-15) 如果运行 Windows Server 2003 的域控制器
注意:如果使用安全模式启动选项时,Active Directory 用户和计算机管理单元的用户界面 (UI) 将不可用。在 Windows Server 2003 中,管理员可能或者通过登录选择带网络连接的安全模式启动选项。在此模式下,Active Directory 用户和计算机管理单元中用户界面中,可用。

管理员登录选择安全模式启动选项之一并通过管理员帐户的凭据后,管理员必须确定然后修改导致拒绝登录服务的安全组的成员身份。

在进行此更改后,用户应该能够成功登录域的复制延迟等于的时间段过去后。
更多信息
一般帐户的 Sid 通常如下所示 ︰
每个人 (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
系统 (S-1-5-32-544)
NT AUTHORITY\Authenticated 用户 (S-1-5-11)
登录会话 Sid (S-1-5-5-X-Y)
重要提示︰ 工具"Whoami"通常用于检查访问令牌。此工具不会显示登录会话的 SID。

根据登录会话类型的示例 ︰
本地 (S-1-2-0)
控制台登录 (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL 服务器用户 (S-1-5-13)
NT AUTHORITY\BATCH (S-1-5-3)
常用的主组的 Sid:
域 \Domain 计算机 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
域 \Domain 用户 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
域 \Domain 管理员 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
文档如何得到验证的登录会话的 Sid:
身份验证机构断言标识 (S-1-18-1)
服务已断言的标识 (S-1-18-2)
描述了该标记的一致性级别的 Sid:
中等的强制性级别 (S-1-16 的 8192)
高强制性级别 (S-1-16-12288)
访问令牌可以根据需要包含以下 Sid:
如果每个人都是此组的成员 BUILTIN\Pre Windows 2000 兼容 Access(S-1-5-32-554)
NT AUTHORITY\This 组织 (S-1-5-15) 如果帐户是来自同一个林的计算机。
注意:
  • 您可以看到使用 SID"登录会话 SID"入口处的说明,请不要计数工具输出列表中的 Sid 并假定它们是完成所有的目标计算机和登录类型。您应该考虑未陷于走入此限制时它有超过 1000年的 Sid 的帐户。别忘了,这取决于计算机上创建一个标记的位置,服务器或工作站的本地组也可以添加。
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates SID 的域或工作站组件。
下面的示例阐释了域本地安全组将显示在该用户的令牌当用户登录到域中的计算机。

在此示例中,假设李先生属于域 A 和域 A\Chicago 用户的域本地组的成员。李先生也是 B\Chicago 的域用户的域本地组的成员。李先生在登录时到一台计算机属于域 (例如,域 A\Workstation1),为生成令牌 Joe 的计算机上,并标记包含,除了所有的通用组和全局组成员身份,A\Chicago 的域用户的 SID。它不会包含域 B\Chicago 用户的 SID,因为李先生登录 (域 A\Workstation1) 计算机属于域 a。

同样,当 Joe 登录到一台计算机属于域 B (例如,域 B\Workstation1),在计算机上,李先生为生成令牌和令牌包含,除了所有的通用组和全局组成员身份,SID 域 B\Chicago 用户;它不会包含域 A\Chicago 用户的 SID,因为李先生登录 (域 B\Workstation1) 的计算机属于域 b。

但是,当李先生登录到一台计算机属于域 C (例如,域 C\Workstation1),是为生成令牌乔上包含所有 Joe 的用户帐户的通用组和全局组成员身份登录计算机。A\Chicago 的域用户的 SID 和 SID 都不因为域本地组的李先生是属于域 B\Chicago 用户出现在标记中处于 Joe 登录 (域 C\Workstation1) 计算机之外的其他域。相反,如果李先生属于 C 域 (例如,域 C\Chicago 用户) 某些域本地组的成员,李先生为生成计算机的标记将包含,除了所有的通用组和全局组成员身份,C\Chicago 的域用户的 SID。

警告:本文已自动翻译

属性

文章 ID:328889 - 上次审阅时间:06/20/2016 11:32:00 - 修订版本: 4.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtzh
反馈