none
Demasiados identificadores de seguridad RRS feed

  • Pregunta

  • Buenos días,

    En la compañía tengo tres usuarios que al iniciar sesión en el equipo les sale el siguiente mensaje de error:

    " Durante el inicio de sesión, el contexto de seguridad del usuario ha acumulado demasiados identificadores de seguridad."

    Según he leído en algunos foros dice que esto sucede cuando un usuario del DA carga mas de 1010 grupos de seguridad, sin embargo estos usuarios en especial tienen máximo 16 grupos.

    ¿Cómo puedo solucionar este error?

    Muchas gracias.

    martes, 14 de agosto de 2018 16:01

Respuestas

  • Hola Harold

    Mira este articulo a ver si te puede ayudar a identificar el problema (en ADSI Edit puedes veer todos los SID) y a solventarlo.

    Saludos,

    martes, 14 de agosto de 2018 17:15
  • Hola "Harold Siatoba",

    Sumo mas data:

    Logging on a user account that is a member of more than 1,010 groups may fail on a Windows Server-based computer
    https://support.microsoft.com/en-us/help/328889/logging-on-a-user-account-that-is-a-member-of-more-than-1010-groups-ma

    Aplica (probalo en ambiente de laboratorio primero):

    Regedit > System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    If this key is not present, create the key. To do so:
    Click the following key in the registry: 
    System\CurrentControlSet\Control\Lsa\Kerberos
    On the Edit menu, click Add Key.
    Create a Parameters key.
    Click the new Parameters key.
    On the Edit menu, click Add Value, and then add the following registry value: 
    Value name: MaxTokenSize
    Data type: REG_DWORD
    Radix: Decimal
    Value data: 48000
    Quit Registry Editor.

    -------------------------------------------------------------------------------------

    Que sigas bien.
    viernes, 24 de agosto de 2018 14:29

Todas las respuestas

  • Hola Harold

    Mira este articulo a ver si te puede ayudar a identificar el problema (en ADSI Edit puedes veer todos los SID) y a solventarlo.

    Saludos,

    martes, 14 de agosto de 2018 17:15
  • Hola Buenos días,

    Estuve revisando el foro en donde habla de los Token Groups, sin embargo, reitero que éste usuario pertenece a únicamente 16 grupos de seguridad. Hoy me pasó con un usuario el cual pertenece sólo a seis grupos...Yo me imagino que los usuarios deben guardar un tipo de caché con estos identificadores y debería poderse limpiar, no se si estaré equivocado, aún continúo con el problema.

    ¿Qué mas podría revisar? Muchas gracias.

    martes, 21 de agosto de 2018 16:20
  • Hola Harold Siatoba, te doy unas ideas más para que revises por dónde puede venir el problema

    1.- ¿Ese usuario se ha migrado desde otro Dominio? porque en ese caso lo que puede estar produciendo el problema es que se ha hecho manteniendo el atributo "SID History" y luego no se ha limpiado

    2.- Otra causa a revisar es el anidado de grupos. Si el usuario pertenece a GrupoA, pero este es parte de GrupoB y GrupoC (que no ves en las propiedades del usuario), entonce el Token incluye a los tres grupos. Y así sucesivamente para cada grupo anidado

    3.- No creo que sea la causa, pero también puede producirse por el método de compresión del Token que no es soportado en todos los casos

    Dejo dos enlaces referidos a estos temas:

    Resource SID Compression in Windows Server 2012 may cause Authorization problems on devices that do not support Resource SID compression:
    https://support.microsoft.com/en-gb/help/2774190/resource-sid-compression-in-windows-server-2012-may-cause-authorizatio

    Problems with Kerberos authentication when a user belongs to many groups:
    https://support.microsoft.com/en-us/help/327825/problems-with-kerberos-authentication-when-a-user-belongs-to-many-grou

    Y si nada de lo anterior funcionara, creo que lo más sencillo es crear nuevos usuarios con las mismas membresías y ver si el problema se repite o no. Si no se repite, migrar el perfil y listo :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 21 de agosto de 2018 16:59
    Moderador
  • Buenas tardes,

    Ya pude solucionar el incidente...La solución que tome fue la siguiente:

    El usuario pertenece a x grupo, y ese grupo tiene anidados demasiados grupos, entonces comencé a depurar los grupos anidados y fue suficiente. ¡Muchas gracias!

    jueves, 23 de agosto de 2018 22:01
  • Hola "Harold Siatoba",

    Sumo mas data:

    Logging on a user account that is a member of more than 1,010 groups may fail on a Windows Server-based computer
    https://support.microsoft.com/en-us/help/328889/logging-on-a-user-account-that-is-a-member-of-more-than-1010-groups-ma

    Aplica (probalo en ambiente de laboratorio primero):

    Regedit > System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    If this key is not present, create the key. To do so:
    Click the following key in the registry: 
    System\CurrentControlSet\Control\Lsa\Kerberos
    On the Edit menu, click Add Key.
    Create a Parameters key.
    Click the new Parameters key.
    On the Edit menu, click Add Value, and then add the following registry value: 
    Value name: MaxTokenSize
    Data type: REG_DWORD
    Radix: Decimal
    Value data: 48000
    Quit Registry Editor.

    -------------------------------------------------------------------------------------

    Que sigas bien.
    viernes, 24 de agosto de 2018 14:29