您目前已離線,請等候您的網際網路重新連線

登入多個 1010年群組的成員的使用者帳戶的 Windows 伺服器電腦上可能會失敗

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:328889
徵狀
當使用者嘗試登入電腦,以使用本機電腦帳戶或網域使用者帳戶,登入要求,可能會失敗,並且您會收到下列錯誤訊息 ︰
登入訊息 ︰ 無法登入系統因為發生下列錯誤 ︰ 在登入時,使用者的安全性內容累積太多的安全性識別碼。請再試一次,或連絡您的系統管理員。
大約 1010年的明確或可轉移成員或多個安全性群組登入使用者時,就會發生這個問題。

事件類型 ︰ 警告
事件來源 ︰ 出現 LsaSrv
事件類別 ︰ 無
事件識別碼 ︰ 6035
日期 ︰日期
時間 ︰時間
使用者 ︰ n/A
電腦 ︰ 主機名稱

描述:

在登入時,使用者的安全性內容累積太多的安全性識別碼。這是很不尋常的狀況。若要減少安全性識別碼,以併入的安全性內容的某些通用或本機群組中移除使用者。

使用者的 SID 都是 SID

如果這是系統管理員帳戶,登入,以安全模式可以讓系統管理員藉由自動限制群組成員資格登入。

發生的原因
當使用者登入電腦時,本機安全性授權 (LSA,本機安全性授權子系統的一部分) 會產生一個代表使用者的安全性內容的存取權杖。存取語彙基元所組成的唯一安全性識別碼 (SID) 為每個群組的使用者所屬的成員。這些 Sid 會包含可轉移的群組和從 SIDHistory 使用者及群組帳戶的 SID 值。

包含使用者的存取權杖中的群組成員資格之 Sid 的陣列可以包含不超過 1024 Sid。LSA 無法從語彙基元中卸除任何的 SID。因此,如果有更多的 Sid,LSA 無法建立存取權杖,而使用者將無法登入。

當 Sid 的清單建置完成後時,LSA 也會插入數個泛用的知名 Sid,除了之使用者的群組成員資格 (評估可轉移) 的 Sid。因此如果使用者是多個大約 1,010 自訂安全性群組的成員,Sid 的總數目可能超過 1024 的 SID 限制。

重要
  • 系統管理員] 及 [非系統管理員帳戶的語彙基元是受限制。
  • 自訂的 Sid 的確切數目會因登入類型 (例如,互動式、 服務、 網路) 及作業系統版本的網域控制站和建立語彙基元的電腦而異。
  • 使用 Kerberos 或 「 NTLM 驗證通訊協定為存取語彙基元限制並無任何影響。
  • 設定"MaxTokenSize"的 Kerbero 用戶端會討論以 kb 為單位 327825."語彙基元"在 Kerberos 內容指的是 Windows Kerberos 主機收到的票證的緩衝區。根據票證、 型別 Sid,以及是否啟用 SID 壓縮的大小,這個緩衝區可以容納較少,或比許多其他的 Sid 會放入的存取權杖。
自訂的 Sid 的清單將包含下列各項 ︰
  • 使用者/電腦和安全群組的主要 Sid 的帳戶是成員。
  • 登入的範圍中群組的植入 SIDHistory 屬性中的 Sid。
由於植入 SIDHistory 屬性可包含多個值,1024年個限制 Sid 可以當會達到很快多次遷移帳戶。在存取權杖中的 Sid 數目將會比使用者是在下列情況的成員的群組總數的 beless:
  • 使用者是來自受信任的網域位置篩選掉的 SIDHistory 與 Sid。
  • 使用者是來自受信任的網域跨信任 Sid 隔離的位置。那麼,只有來自相同的網域和使用者的 Sid 將會包括。
  • 只有網域本機群組網域的 Sid 的資源會包含在內。
  • 只有伺服器本機群組 Sid 從資源伺服器會包含在內。
由於這些差異,因此可能是使用者可以登入電腦,在一個網域,而不是另一個網域中的電腦。使用者也可能無法登入到一部伺服器,在網域中,而不是相同網域中的另一部伺服器。
解決方案
若要修正這個問題,請使用下列方法之一,視您的情況。

方法 1

此解決方案適用於這種情況中發生登入錯誤的使用者不是系統管理員,並且系統管理員可以成功登入到電腦或網域。

若要變更受影響的使用者是成員的群組成員資格的權限的系統管理員才能執行此解析度。系統管理員必須變更使用者的群組成員資格,以確定使用者已不再 (考慮可轉移的群組成員資格和本機群組成員資格) 的多個約 1010年安全性群組的成員。

若要減少 Sid 的使用者語彙基元中的選項包括 ︰
  • 足量的安全性群組中移除使用者。
  • 轉換未使用的安全群組到通信群組。通訊群組不會計入的存取語彙基元的限制。需要轉換的群組時,通訊群組可以轉換回安全性群組。
  • 決定是否安全性主體依靠 SID 歷程記錄來存取資源。否則,請移除這些帳戶的植入 SIDHistory 屬性。您可以擷取屬性值,透過系統授權還原。
附註雖然使用者可以是成員的安全性群組的最大數目是 1024,最佳作法限制數目小於 1010年。這個數字會確定該語彙基元的產生就必定都會成功因為它提供泛型的 Sid 插入 LSA 的空間。

方法 2

解析度會套用在哪一個系統管理員帳戶無法登入電腦的情況。

系統管理員群組的成員使用者的登入失敗,因為太多的群組成員資格時,具有系統管理員帳戶 (也就是具有已知相對的識別項 [RID] 為 500 的帳戶) 憑證的系統管理員必須重新啟動網域控制站選取 [安全模式] 啟動選項 (或選取 [含網路功能的安全模式] 啟動選項)。在安全模式中,他必須再登入到網域控制站使用此系統管理員帳戶認證。

Microsoft 已變更的語彙基元產生演算法,以便 LSA 可以建立系統管理員帳戶的存取權杖,如此系統管理員可以登入,不論多少可轉移的群組或不可移轉的系統管理員帳戶是成員的群組。當其中一個 「 安全模式啟動選項使用時,為系統管理員帳戶建立存取權杖包含所有的內建和系統管理員帳戶是成員的所有網域通用群組的 Sid。

這些群組通常會包括下列項目 ︰
  • 每個人 (S-1-1-0)
  • BUILTIN\Users (S-1-5-32-545)
  • 的話 (1-5-32-544)
  • NT AUTHORITY\INTERACTIVE (S-1-5-4)
  • NT 授權 \ 驗證使用者 (S-1-5-11)
  • 本機 (S-1-2-0)
  • 網域\Domain Users(S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
  • 網域\Domain 系統管理員 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
  • BUILTIN\Pre Windows 2000 相容 Access(S-1-5-32-554) 如果每個人都是這個群組的成員
  • NT AUTHORITY\This 組織 (S-1-5-15) 如果網域控制站正在執行 Windows Server 2003
附註如果使用 [安全模式] 啟動選項時,就無法使用 [Active Directory 使用者及電腦嵌入式管理單元使用者介面 (UI)。在 Windows Server 2003,系統管理員可能或者登入藉由選取 [含網路功能的安全模式] 啟動選項;在這個模式中,Active Directory 使用者及電腦嵌入式管理單元是可用的 UI。

系統管理員登入,請選取其中一項 「 安全模式啟動選項,然後使用系統管理員帳戶的認證之後,系統管理員必須再識別,並修改造成登入服務阻斷的安全性群組的成員資格。

在進行這項變更之後,使用者應該能夠成功登入之後經過相當於網域的複寫延遲的時間週期。
其他相關資訊
泛用的帳戶 Sid 通常會包括下列項目 ︰
每個人 (S-1-1-0)
BUILTIN\Users (S-1-5-32-545)
的話 (1-5-32-544)
NT 授權 \ 驗證使用者 (S-1-5-11)
登入工作階段 Sid (S-1-5-5-X-Y)
重要: 「 Whoami 」 的 「 工具通常用於檢查存取權杖。這個工具不會顯示登入工作階段的 SID。

依登入工作階段類型而定的 Sid 範例 ︰
本機 (S-1-2-0)
主控台登入 (S-1-2-1)
NT AUTHORITY\NETWORK (S-1-5-2)
NT AUTHORITY\SERVICE (S-1-5-6)
NT AUTHORITY\INTERACTIVE (S-1-5-4)
NT AUTHORITY\TERMINAL 伺服器使用者 (S 年 1 月 5-13 日)
NT AUTHORITY\BATCH (S-1-5-3)
經常使用的主要群組的 Sid:
網域 \Domain 電腦 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-515)
網域 \Domain 使用者 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-513)
網域 \Domain 系統管理員 」 (S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-512)
文件如何驗證登入工作階段取得的 Sid:
驗證授權聲明的識別 (S-1-18-1)
服務已宣告的識別 (S-1-18-2)
描述一致性層級語彙基元的 Sid:
中強制等級 (S-1-16-8192)
高強制等級 (S-1-16-12288)
存取語彙基元可以選擇性地包含下列的 Sid:
BUILTIN\Pre Windows 2000 相容 Access(S-1-5-32-554) 如果每個人都是這個群組的成員
NT AUTHORITY\This 組織 (S-1-5-15) 如果帳戶是從相同的樹系的電腦。
附註
  • 您可以看到與 SID 項目 」 登入工作階段 SID"註解,不要計算的工具輸出清單中的 Sid 和假設他們都完成所有的目標電腦和登入類型。您應該考慮的帳戶已遭遇此限制,在擁有多個 1000 Sid 的危險。別忘了,依據語彙基元建立的位置中的電腦,伺服器或工作站本機群組也可以加入。
  • xxxxxxxx-yyyyyyyy-zzzzzzzzindicates SID 的網域或工作站元件。
下列範例會說明哪些群組會顯示在使用者的權杖當使用者登入網域中的電腦的網域本機安全性。

在這個範例中,假設張慧君所屬網域 A 和網域 A\Chicago 使用者網域本機群組的成員。Joe 也是網域本機群組網域 B\Chicago 使用者的成員。Joe 登入時電腦所屬網域 A (例如,網域 A\Workstation1) 時,語彙基元會產生 Joe 的電腦上,且語彙基元包含,和通用群組成員資格時,除了網域 A\Chicago 使用者的 SID。也不會包含網域 B\Chicago 使用者的 SID,因為 Joe 登入 (網域 A\Workstation1) 的位置的電腦屬於網域 a。

同樣地,當 Joe 登入到電腦所屬網域 B (例如,網域 B\Workstation1),語彙基元,會在電腦上,產生的 Joe 和語彙基元包含,除了和通用群組成員資格時,SID 網域 B\Chicago 使用者;也不會包含網域 A\Chicago 使用者的 SID,因為 Joe 登入 (網域 B\Workstation1) 的位置的電腦屬於網域 b。

然而,當 Joe 登入到電腦所屬網域 C (例如,網域 C\Workstation1),語彙基元會產生的 Joe 上包含 Joe 的使用者帳戶的所有萬用和通用群組成員資格的登入電腦。網域 A\Chicago 使用者的 SID 和 SID 都不為網域 B\Chicago 使用者就會出現在權杖中,因為網域本機群組的 Joe 的成員位於不同的網域電腦 Joe 登入 (網域 C\Workstation1) 的位置。相反地,如果 Joe 所屬網域 C (例如,網域 C\Chicago 使用者) 某些網域本機群組的成員,在電腦產生 Joe 的語彙基元會包含,和通用群組成員資格時,除了網域 C\Chicago 使用者的 SID。

警告:本文為自動翻譯

內容

文章識別碼:328889 - 最後檢閱時間:06/20/2016 14:48:00 - 修訂: 4.0

, , , , , , , , , , , , , , ,

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB328889 KbMtzh
意見反應