——-
Ты это — заходи если что.

Это сообщение посчитали полезным следующие участники:

Сообщения: 1
Благодарности: 0

Ведение журнала в учетной записи пользователя, в которую входит более 1010 групп, может привести к сбойу на компьютере, основанном на Windows Server.

В этой статье решается проблема, из-за которой не удается войти в учетную запись пользователя, в которую входит более 1010 групп.

Оригинальная версия продукта: Windows Server 2008 R2 Пакет обновления 1
Исходный номер КБ: 328889

Симптомы

Если пользователь пытается войти на компьютер с помощью учетной записи локального компьютера или учетной записи пользователя домена, запрос на логон может привести к сбой. И вы получите следующее сообщение об ошибке:

Logon Message. Система не может войти в систему из-за следующей ошибки. Во время попытки логотипа контекст безопасности пользователя накопил слишком много ID-данных безопасности. Попробуйте еще раз или проконсультируйтесь с системным администратором.

Проблема возникает, когда пользователь с логотипом является явным или транзитным членом около 1010 или более групп безопасности.

Приложения и код журнала событий безопасности 4625 могут отображать этот код ошибки:

Ошибка STATUS_TOO_MANY_CONTEXT_IDS.

Причина

При входе пользователя на компьютер локализованная служба безопасности (LSA, часть подсистемы местного органа безопасности) создает маркер доступа. Маркер представляет контекст безопасности пользователя. Маркер доступа состоит из уникальных идентификаторов безопасности (SID) для каждой группы, в которую входит пользователь. Эти SID включают транзитные группы и значения SID из SIDHistory пользователя и учетных записей группы.

Массив, содержащий SID-данные членов группы пользователя в маркере доступа, может содержать не более 1024 СИД. LSA не может выбросить какой-либо SID из маркера. Таким образом, если будет больше SID, то LSA не сможет создать маркер доступа, и пользователь не сможет войти в систему.

При построении списка siDs LSA также вставляет несколько общих, известных SID помимо SID для членства пользователя в группе (оцениваемого транзитно). Таким образом, если пользователь является членом более чем 1010 пользовательских групп безопасности, общее число SID может превышать 1024 sid предела.

• Маркеры для учетных записей администратора и не администратора подлежат ограничению.
• Точное число пользовательских SID-данных зависит от типа логотипа (например, интерактивной, службы, сети) и операционной системы контроллера домена и компьютера, создающим маркер.
• Использование Kerberos или NTLM в качестве протокола проверки подлинности не влияет на ограничение маркеров доступа.
• Параметр клиента Kerberos MaxTokenSize обсуждается в теме Проблемы с проверкой подлинности Kerberos,когда пользователь принадлежит ко многим группам. Маркер в контексте Kerberos относится к буферу для билетов, полученных хостом Windows Kerberos. В зависимости от размера билета, типа СИД и включения сжатия SID буфер может вмещать меньшее или гораздо больше siD-данных, чем это вписалось бы в маркер доступа.

Список пользовательских SID-продуктов будет включать в себя:

• Основные SID пользователя и компьютера и группы безопасности, в которые входит учетная запись.
• SiDs в атрибуте SIDHistory групп в области логотипа.

Так как атрибут SIDHistory может содержать несколько значений, ограничение в 1024 SID можно быстро достичь, если учетные записи переносились несколько раз. Количество SID в маркере доступа будет меньше общего числа групп, в которые пользователь входит в следующую ситуацию:

• Пользователь из доверенного домена, где отфильтровываются SIDHistory и SID.
• Пользователь из доверенного домена через траст, в котором СИИ находятся на карантине. Затем включаются только SID из того же домена, что и пользователя.
• В него включены только СИИ локальной группы домена из домена ресурса.
• В нее включены только СИД локальной группы server с сервера ресурсов.

Из-за этих различий пользователь может войти на компьютер в одном домене, но не на компьютер в другом домене. Кроме того, пользователь может войти на один сервер в домене, но не на другой сервер в том же домене.

Вы можете узнать о членстве в группе домена затрагиваемого пользователя с помощью NTDSUTIL. Он имеет средство оценки членства в группе, которое также работает через границы лесов. Этот инструмент также работает для следующих пользователей:

• пользователей, которые находятся выше лимита в 1024 СИД
• пользователей, которые находятся в стольких группах, что Kerberos не удается искомого билета даже с 65 535 битами буфера

Выполните приведенные ниже действия.

Откройте командную подсказку на компьютере с инструментами управления AD (контроллер домена или компьютер с RSAT).

Переключиться на gro mem eva средство и получить доступные команды в качестве следующего скриншота:

Подключение к диктовкам, которые необходимы для оценки:

• Настройка учетной записи DC %s — DC домена пользователя
• Set Global Catalog %s — GC of the user’s forest
• Set Resource DC %s — DC домена ресурса
• Установите учетные данные по мере необходимости или подробные журналы, если результаты кажутся неправильными или коллекция не удается.

Выполните оценку следующим образом (например, для администратора contoso.com в ):

Run contoso.com Admin

В выполнении будут собираться сведения о пользователе в шагах 1-2, сведения о группе домена ресурсов на шаге 3, а затем компилятор отчета в шагах 4 и 5.

Результаты будут храниться в файле TSV в текущем каталоге в качестве следующего скриншота:

Ниже приводится руководство по прочтям TSV-файл:

• Тип SID: Указывает, является ли это основным sid group/User или SIDHistory.
• Количество записей истории SID: Сколько SID-ов из SIDHistory представляет эта учетная запись?
• One Level MemberOf Count: Сколько SID-данных добавляется в коллекцию на одном уровне (член записей)?
• Общее количество memberOf: Сколько siDs добавляет эта запись в коллекцию в общей сложности?
• Владелец группы. Для сред, делегирование управления группами, вы можете получить подсказки о том, как использовать слишком много групп для атаки пользовательского логотипа.
• Тип группы: вид Sid. WellKnown, пользовательский SID, глобальные и универсальные группы безопасности будут во всех маркерах, созданных для этого пользователя. Локализованная группа безопасности домена будет только в этом домене ресурса. Это может быть важно, если у пользователя есть проблемы с логотипом только в определенном домене ресурса.
• Член WhenChanged (UTC): Последнее изменение в составе группы. Это может помочь соотнести со временем, когда пользователь (ы) впервые сообщил о проблемах с логотипом.

Подсказки по поиску групп, на которые нужно нацелить изменение:

Группы, которые имеют SIDHistory, имеют хорошее плечо, помогая уменьшить количество SID.

Группы, которые внедряют многие другие группы через вложение, имеют большое рычаги для уменьшения подсчета SID.

Найми подсказки в названии группы, чтобы определить, может ли группа больше не использоваться. Например, у нас был клиент, у которого в решении развертывания программного обеспечения есть группа на одно приложение. И мы нашли группы, которые содержали office2000 или access2000.

Передай отчет о списке групп администраторам служб и приложений. Определите группы, которые больше не нужны, возможно, только для этого пользователя в этом подразделении или отделе.

Этот инструмент не включает некоторые виды специальных ИИИ WellKnown, перечисленных ниже в этой статье. Поэтому помните, что пользователю необходимо очистить несколько SID из 1024 в отчете, прежде чем он сможет успешно войти в систему.

Средство также не охватывает серверные локальные группы. Если у вас есть проблемы только на определенных серверах домена ресурсов, возможно, пользователь или часть его группы являются членами серверно-локальных групп.

Чтобы получить список серверных локальных групп и их участников:

Запустите в качестве администратора в командной подсказке повышенного уровня.

Чтобы получить список участников из домена:

Смешайте и соединие групп, сообщаемой там, с отчетом пользователя от NTDSUTIL.

Решение

Чтобы устранить эту проблему, используйте один из следующих методов.

Способ 1

Это решение применимо к следующей ситуации:

• Пользователь, столкнувшийся с ошибкой логотипа, не является администратором.
• Администраторы могут успешно войти на компьютер или домен.

Это решение должен выполнять администратор, который имеет разрешения на изменение членства пользователя в группе. Администратор должен изменить членство пользователя в группе, чтобы убедиться, что он больше не является членом более 1010 групп безопасности. Рассмотрите транзитные составы групп и локальные членство в группе.

Параметры уменьшения количества SID-данных в маркере пользователя включают следующие. Коллекция данных из NTDSUTIL должна помочь вам увидеть, какие группы находятся в области для изменения или удаления:

Удалите пользователя из достаточного количества групп безопасности.

Преобразование неиспользованых групп безопасности в группы рассылки. Группы рассылки не учитываются в отношении ограничения маркера доступа. Группы рассылки могут быть преобразованы обратно в группы безопасности, если требуется преобразованная группа.

Определите, полагаются ли основные службы безопасности на историю SID для доступа к ресурсам. Если нет, удалите атрибут SIDHistory из этих учетных записей. Значение атрибута можно получить с помощью авторитетного восстановления.

Несмотря на то, что максимальное число групп безопасности, в которые пользователь может быть членом, составляет 1024, в качестве наилучшей практики это число ограничивается менее 1010. Это число обеспечивает успешное генерацию маркеров, так как предоставляет пространство для общих СИД, вставленных LSA.

Способ 2

Решение применяется к ситуации, в которой учетная запись администратора не может войти на компьютер.

Если пользователь, чей логотип не работает из-за слишком 100 членов группы, входит в группу администраторов, администратор, у которого есть учетные данные для учетной записи администратора (то есть учетная запись с известным относительным идентификатором [RID] 500), должен перезапустить контроллер домена, выбрав вариант запуска Safe Mode (или выбрав безопасный режим с возможностью запуска сети). В безопасном режиме администратор должен войти в контроллер домена с помощью учетных данных учетных данных администратора.

Корпорация Майкрософт изменила алгоритм генерации маркеров. LSA может создать маркер доступа для учетной записи администратора, чтобы администратор вход в систему, независимо от того, сколько транзитных групп или неактивных групп является членом учетной записи администратора. Когда используется один из этих параметров запуска безопасного режима, маркер доступа, созданный для учетной записи администратора, включает ВИИ всех встроенных и всех групп Domain Global, в которые входит учетная запись администратора.

Эти группы обычно включают в себя:

• Все (S-1-1-0)
• BUILTIN\Users (S-1-5-32-545)
• BUILTIN\Administrators (S-1-5-32-544)
• NT AUTHORITY\INTERACTIVE (S-1-5-4)
• NT AUTHORITY\Authenticated Users (S-1-5-11)
• LOCAL (S-1-2-0)
• Пользователи домена\домена (S-1-5-21-xxxxx-yyy-zzzzzzzz-513)
• Администраторы домена\домена (S-1-5-21-xxxxxx-yyy-zzzzzzzz-512)
• BUILTIN\Pre-Windows 2000 Compatible Access (S-1-5-32-554), если все члены этой группы
• NT AUTHORITY\This Organization (S-1-5-15), если контроллер домена работает под управлением Windows Server 2003

Если используется параметр запуска «Безопасный режим», пользовательский интерфейс пользователей Active Directory и Computers не доступен. В Windows Server 2003 администратор может также войти в систему, выбрав безопасный режим с возможностью запуска сети; В этом режиме доступен пользовательский интерфейс пользователей и компьютеров Active Directory.

После входа администратора в систему, выбрав один из параметров запуска безопасного режима и используя учетные данные учетной записи администратора, администратор должен определить и изменить членство групп безопасности, которые привели к отказу в обслуживании логотипа.

После этого изменения пользователи должны иметь возможность успешно войти в систему после периода времени, равного задержке репликации домена.

Способ 3

Этот параметр имеет наибольшее значение, если у вас много групп, созданных для предоставления доступа к ресурсам, используемым на определенном наборе серверов, и они не имеют отношения ко многим другим серверам. Маркер доступа пользователей всегда содержит SID-данные пользовательских, глобальных и универсальных групп. Однако он содержит только siD-Domain-Local групп домена, где находятся серверы ресурсов. Поэтому из 600 групп, в которые входит пользователь, 400 помогают в предоставлении доступа к ресурсам файлового сервера на двух группах серверов, и тогда возможны следующие идеи:

• Разделите серверы на несколько групп на число Domain-Local групп.
• Вместо одного домена ресурсов, в котором есть все группы и серверы, есть несколько доменов, в которых определены только группы, содержащие необходимые серверы.
• У вас есть отдельный домен для серверов с небольшой потребностью в локальных группах домена. Одним из примеров могут быть серверы Exchange, так как Exchange имеет сильное предпочтение для универсальных групп.

Дополнительные сведения

Общие СИИ учетной записи часто включают в себя:

• Все (S-1-1-0)
• BUILTIN\Users (S-1-5-32-545)
• BUILTIN\Administrators (S-1-5-32-544)
• NT AUTHORITY\Authenticated Users (S-1-5-11)
• Logon Session Sid (S-1-1-5-5-X-Y)
• BUILTIN\Pre-Windows 2000 Compatible Access (S-1-1-5-32-554), если пользователь является членом этой группы (вложен)

Средство Whoami часто используется для проверки маркеров доступа. Этот инструмент не показывает sid сеанса logon.

Примеры siD в зависимости от типа сеанса logon:

• LOCAL (S-1-2-0)
• ЛОГОС КОНСОЛИ (S-1-2-1)
• NT AUTHORITY\NETWORK (S-1-5-2)
• NT AUTHORITY\SERVICE (S-1-5-6)
• NT AUTHORITY\INTERACTIVE (S-1-5-4)
• NT AUTHORITY\TERMINAL SERVER USER (S-1-5-13)
• NT AUTHORITY\BATCH (S-1-5-3)

SID для часто используемых первичных групп:

• Domain\Domain Computers (S-1-5-21-xxxxx-yyyy-zzzzzzzz-515)
• Пользователи домена\домена (S-1-5-21-xxxxx-yyy-zzzzzzzz-513)
• Администраторы домена\домена (S-1-5-21-xxxxxx-yyy-zzzzzzzz-512)

SiDs that document how the Logon Session got verified, one of the following values:

• Орган проверки подлинности подтвердил удостоверение (S-1-18-1)
• Удостоверение службы (S-1-18-2)

SiDs, которые дают сведения о контексте маркера и сведения о претензиях, несколько возможных:

• Используемые утверждения устройств (S-1-5-21-0-0-0-496)
• Используемые утверждения пользователей (S-1-5-21-0-0-0-497)
• Сертификат организации (S-1-5-65-1)
• Маркер был создан с помощью проверенного удостоверения PKI (S-1-18-4)
• Маркер был создан с помощью подхода MFA (S-1-18-5)
• Использовался защитник учетных данных (S-1-18-6)

SiDs, которые описывают уровень согласованности маркера, наиболее распространенные примеры:

• Средний обязательный уровень (S-1-16-8192)
• Высокий обязательный уровень (S-1-16-12288)

Маркер доступа включает SID по отношению к происхождению пользователя или компьютера, одно из следующих значений:

• NT AUTHORITY\OTHER_ORGANIZATION (S-1-5-1000)
• NT AUTHORITY\This Organization (S-1-5-15), если учетная запись из того же леса, что и компьютер.

• Как видно из заметки на входе SID Logon Session SID, не подсчитывайте SID в списке выходных данных инструмента и предположите, что они завершены для всех целевых компьютеров и типов логотипов. Следует учитывать, что учетная запись может попасть в этот лимит, если у нее более 1000 СИД. Не забывайте, что в зависимости от компьютера, на котором создается маркер, можно также добавлять локальные группы серверов или рабочих станций.
• xxxxxxxx-yyyy-zzzzzzzzzz указывает на компоненты домена или рабочей станции SID.

В следующем примере показано, какие локальные группы безопасности домена будут показываться в маркере пользователя при входе пользователя на компьютер в домене.

В этом примере предположим, что Joe принадлежит к домену A и является членом локальной группы домена Домен A\Chicago Users. Джо также входит в локализованную доменную группу Домен B\Chicago Users. Когда Джо входит на компьютер, принадлежащий домену A (например, Домен A\Workstation1), маркер создается для Джо на компьютере, а маркер содержит, в дополнение ко всем универсальным и глобальным членам группы, SID для домена A\Chicago Users. Он не будет содержать SID для пользователей домена B\Chicago, так как компьютер, на котором вошел Джо (Домен A\Workstation1), принадлежит домену A.

Аналогично, когда Джо входит на компьютер, принадлежащий домену B (например, Домен B\Workstation1), маркер создается для Джо на компьютере, а маркер содержит, помимо всех универсальных и глобальных членов группы, SID для пользователей домена B\Chicago; он не будет содержать SID для пользователей домена A\Chicago, так как компьютер, на котором вошел Джо (Домен B\Workstation1), принадлежит домену B.

Однако, когда Джо входит на компьютер, принадлежащий домену C (например, Домен C\Workstation1), для Джо на компьютере с логотипом создается маркер, содержащий все универсальные и глобальные членские группы для учетной записи пользователя Джо. В маркере не отображается ни sid for Domain A\Chicago Users, ни SID для домена B\Chicago Users, так как локальные группы домена, в которых находится Джо, находятся в другом домене, чем компьютер, на котором вошел Джо (Domain C\Workstation1). И наоборот, если Бы Джо был членом какой-либо локальной группы домена, которая принадлежит к домену C (например, Domain C\Chicago Users), маркер, созданный для Джо на компьютере, содержал бы, помимо всех универсальных и глобальных членов группы, SID для пользователей домена C\Chicago.

Вам также может понравиться

Файл владелец изменить linux

Команда Chown в Linux Chown Command in Linux (File

02

Установка шлюза по умолчанию linux

Настройка сети вручную Содержание Краткое описание

02

Чем разбить диск для linux

ИТ База знаний Курс по Asterisk Полезно — Узнать IP —

02

Фрагментация оперативной памяти linux

концепция памяти в linux. дефрагментация памяти. здравствуйте все!

02

Чем удалить раздел linux

Как удалить Linux и установить Windows Версия этой

01

Чистим linux от мусора

7 способов освободить место на диске в Ubuntu и Linux

01

Что такое кластеризация linux

Кластеры в Linux Тема данной статьи —

01

Что делать если linux не загружается

Что делать если не включается ноутбук или компьютер

02