“从网络访问此计算机”用户权限导致有些工具无法运行

文章翻译 文章翻译
文章编号: 257346 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

在域控制器上,将 Everyone 组从“从网络访问此计算机”用户权限中删除,而不使用适当的用户或组帐户替换它,可能会导致有些工具无法运行。由于这些工具无法运行,因此很难诊断和解决问题。

当您尝试使用“Active Directory 用户和计算机”或“Active Directory 站点和服务”时,将显示以下错误信息:
Naming information cannot be located because:
Logon attempt failed.
Contact your system administrator to verify that your domain is properly configured and is currently online.
当您尝试使用“Active Directory 域和信任关系”时,将显示以下错误信息:
The configuration information describing this enterprise is not available.The logon attempt failed.
当您添加“组策略对象”管理单元并单击另一台计算机时,将显示以下错误信息:
Cannot display objects from this location because of the following error:
Logon failure:unknown user name or bad password.
当您单击 DNS 管理器时,将显示以下错误信息:
Cannot contact the DNS Server.
当您启动许可证管理器时,将显示以下错误信息:
To open Licensing, you must be an administrator of the domain on which license information is stored for your network.If you are the server's administrator, use the Licensing option in Control Panel to manage Licensing on this server.
当您尝试运行 Dcdiag 时,将显示以下错误信息:
Error:The machine could not attach to the DC because the credentials were incorrect.Check your credentials or specify credentials with /u:domain\user and /p:password
当您使用 Netdiag 时,将显示以下错误信息:
DNS Test:Failed DC list test:Failed
当您尝试使用 Replmon 时,不显示域控制器,并且在您单击“Synchronize Each Directory Partition With All Servers”(同步所有服务器的各个目录分区)时,将显示以下错误信息:
The synchronization of the directory partition (CN=Schema,CN=Configuration,DC=domain,DC=com) failed.This may be because you have insufficient credentials.
当您尝试使用 Ldp 工具连接并绑定到服务器时,将显示以下错误信息:
Failed to bind:Invalid credentials.
当您尝试使用 Repadmin 时,将显示以下错误信息:
LDAP error 49 (Invalid Credentials)
当您运行 Dsacls 时,将显示以下错误信息:
The command failed to complete successfully

原因

本地登录的管理员没有“从网络访问此计算机”的用户权限。本文“症状”一节中列出的所有工具都使用网络 API 调用来运行;它们之所以无法运行就是因为它们试图从网络访问计算机。

解决方案

要解决此问题,请编辑 Gpttmpl.inf 文件,以便在域控制器上为适当的用户授予“从网络访问此计算机”的用户权限:
  1. 在实现有问题的用户权限的策略中找到并打开 Gpttmpl.inf 文件。该文件位于以下文件夹中:
    F:\Winnt\Sysvol\Sysvol\域名\Policies\{GUID}\MACHINE\Microsoft\Windows NT\Secedit
  2. 复制 SeInteractiveLogonRight= 后的全部内容。
  3. 将复制的文本粘贴到以下位置:SeNetworkLogonRight=。

    注意:请检查 SeDenyNetworkLogonRight= 条目。您可能需要删除 SeDenyNetworkLogonRight= 条目后的所有条目。
  4. 保存更改并关闭该文件。
  5. 在以下文件夹中找到并打开 Gpt.ini 文件:
    F:\Winnt\Sysvol\Sysvol\域名\Policies\{GUID}
  6. 将版本号提高为更大的值。
  7. 保存并关闭文件。
  8. 有关如何强制应用组策略的信息,请查看以下 Microsoft 知识库文章:
    227448 使用 Secedit.exe 强制重新应用组策略
  9. 重新应用组策略后,使用组策略编辑器来相应地设置用户权限。“从网络访问此计算机”用户权限的默认组包括 Administrators、Enterprise Domain Controllers 和 Everyone。

状态

Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。

更多信息

如果计算机帐户没有“从网络访问此计算机”用户权限,将无法进行复制。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
249261 升级到 Windows 2000 后无法复制
此外,如果 Everyone 组没有“从网络访问此计算机”权限,用户将无法登录到域。如果要删除 Everyone 组,应使用 Authenticated Users、Enterprise Domain Controllers、System 或 Administrators 来替换它。

属性

文章编号: 257346 - 最后修改: 2004年6月16日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kberrmsg kbenv kbprb KB257346
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com