登录到 Windows XP 或 Windows Server 2003 计算机时,我能够使用 Active Directory 用户和计算机 mmc 连接到域控制器,但在任何 Windows 7 上尝试连接到同一服务器时出现访问被拒绝错误。
另外 2 名 IT 工作者也遇到了同样的问题。我们每个人在使用 XP 时都没有问题,只有使用 Windows 7 时才有问题,无论使用的是哪台 Windows 7 计算机(因为我们尝试了多台机器)。
答案1
我们发现问题在于我们的帐户属于太多的 Active Directory 组和 Kerberos 令牌大小。需要创建一个注册表项来将 Kerberos 固定令牌大小限制从 12000 增加到 65535。
这Technet 论坛帖子讨论这个问题,这Microsoft 知识库文章详细说明修复。
需要修复注册表:
启动注册表编辑器 (Regedt32.exe)
在注册表中找到并单击以下项 系统\CurrentControlSet\Control\Lsa\Kerberos\参数
如果不存在该项,请创建该项。操作方法如下:
a. 单击注册表中的以下项:
系统\CurrentControlSet\Control\Lsa\Kerberos
b. 在编辑菜单上,单击添加键
c. 创建参数键
d. 单击新的参数键在“编辑”菜单上,单击“添加值”,然后添加以下注册表值“值名称”:最大令牌大小
数据类型:REG_DWORD
基数:十进制
值数据:65535退出注册表编辑器