"加密脱机文件缓存"组策略设置才会生效,当用户登录到基于 Windows XP 的计算机

文章翻译 文章翻译
文章编号: 810859 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

网络管理员应用于基于 Microsoft Windows XP 专业人员的计算机的加密脱机文件缓存 (EncryptCache) 组策略设置后,组策略设置不会在客户端计算机上的效果。在用户登录以交互方式使用键盘的情况下,才会出现此症状。

此外,应用程序事件日志中记录以下事件:

事件类型: 错误
事件源: 脱机文件
事件 ID: 16
描述: 加密脱机文件缓存的失败,出现错误 5。访问被拒绝。 应用程序事件日志

原因

登录的用户不具有管理员权限时,可能会出现此问题。

当管理员应用该加密脱机文件缓存组策略,请更新 EncryptCache 注册表值,在客户端计算机上。 根据注册表值客户端缓存扩展名 (Cscui.dll) 在 Windows 资源管理器中的将尝试加密客户端缓存文件夹。但是,不具有管理员权限的用户不能更改客户端缓存文件夹加密状态。

解决方案

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。
此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。其格式为协调通用时间 (UTC) 列出日期和时间对这些文件。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。

Windows XP 的 32 位版本

收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求
Cscui.dll5.1.2600.1656312,3202005 年三月 31 日20: 16x86sp1
Regedit.exe5.1.2600.1656134,1442005 年三月 31 日00: 36x86sp1
System.adm不适用1,521,5382005 年二月 1 日02: 58不适用sp1

Windows XP 的 64 位版本

收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Cscui.dll5.1.2600.1656690,6882005 年三月 31 日04: 14IA 64sp1不适用
Regedit.exe5.1.2600.1656369,1522005 年三月 30 日08: 56IA 64sp1不适用
System.adm不适用1,521,5382005 年二月 2 日02: 21不适用sp1不适用
Wcscui.dll5.1.2600.1656312,3202005 年三月 31 日04: 16x86sp1
一个

应用此修补程序

此修补程序更改 EncryptCache 组策略设置实现方式。 应用此修复程序之前,EncryptCache 策略作为 Cscui.dll 中扩展名为客户端缓存中。 您应用此修复程序后,Cscui.dll 客户端扩展此组策略设置应用到计算机时使用。在 Cscui.dll 客户端扩展加密或解密客户端缓存缓存的具体情况取决于您的设置。特权的上下文中使用此客户端缓存的扩展名。因此,管理员没有登录到计算机以交互方式以加密缓存。

若要将此修补程序确保执行下列两个操作:
  • 更新 Active Directory 组策略设置,以引用新的客户端缓存扩展名。
  • 所有基于 Windows XP 的计算机上安装此修补程序。

    注意当您应用此修补程序时,也会更新本地组策略 System.adm 文件。
应用了此修补程序时您的生产环境可能包含一个或多个下列:
  • 一种旧的 Active Directory 组策略设置,没有客户端缓存扩展名。
  • 新的 Active Directory 组策略设置的客户端缓存扩展名。
  • 基于 Windows XP 的计算机没有应用此修补程序。
  • 基于 Windows XP 的计算机已应用此修补程序。
下表说明了原来的设置混合使用新的设置时发生。
收起该表格展开该表格
CLIENTEXT 行 System.adm 文件中和 Active Directory 组策略对象中Cscui.dll 在组策略扩展预期的行为
这是 Windows XP 不包含安装该修复程序。加密策略要求管理员登录到客户端计算机上。
组策略扩展存在,但不由组策略引擎。 已从 Cscui.dll 删除原始的加密代码。因此,没有加密出现在组策略设置的响应。
尝试使用组策略扩展组策略设置,但 Cscui.dll 中不存在组策略扩展。原始加密代码存在于 Cscui.dll 中,将原始版本的 Windows XP 中执行。您必须登录为管理员能够对客户端缓存缓存进行加密。
作为一个组策略扩展应用此修补程序。
基于此表,使用以下部署策略。

第 1 部分: 修改 Active Directory 组策略设置

若要修改 Active Directory 组策略设置以引用新的组策略客户端扩展,使用 Active Directory 组策略设置中的新的客户端扩展。

注意更新 System.adm 文件和 $ 组策略对象在 Active Directory 中。第一次更新 System.adm 文件。若要这样做,请按照下列步骤操作:
  1. 更新 System.adm 文件,以包括 CLIENTEXT 行,如下所示:
    POLICY!!Pol_EncryptOfflineFiles
       #if version >= 4
          SUPPORTED !!SUPPORTED_WindowsXP
       #endif
       VALUENAME "EncryptCache"
       EXPLAIN !!Pol_EncryptOfflineFiles_Help
          VALUEON  NUMERIC 1
          VALUEOFF NUMERIC 0
          CLIENTEXT {C631DF4C-088F-4156-B058-4375F0853CD8}
    END POLICY
    
    要查找的组策略设置的 System.adm 位置路径,请按照下列步骤操作:
    1. 使用 Active Directory 用户和计算机工具选择一个容器应用组策略设置的位置。
    2. 更改以显示组策略设置 GUID 容器。此 GUID 的一个示例是 {9F16DD40 9777 4AD9 870 C-9B9F1E73203E}。
    3. 使用 Active Directory 服务接口 (ADSI) 编辑工具或 $ EnumProp 工具来显示 gPCFileSysPath 属性的以下 exampe 所示:
      enumprop "LDAP://mydc/CN={3D6FF2C0-1DFC-41A9-AE72-D4502BDA81E8},CN=Po
      licies,CN=System,DC=mycompany,DC=com"
      下面的示例显示了 gPCFileSysPath 属性:
      LDAP://machinedc/CN={3D6FF2C0-1DFC-41A9-AE72-D4502BDA81E8},CN=Policies,CN=Syst
      em,DC= mycompany,DC=com: 19 set properties.
       gPCFileSysPath: \\Test.net\SysVol\mycompany.com\Policies\{3D6FF2C0-1DFC-41A9-AE72
      -D4502BDA81E8}
      注意EnumProp 工具包括在 Windows XP 资源工具箱中。
  2. 更新以包括 gPCMachineExtensionNames 属性中的客户端扩展 Active Directory 组策略对象。若要自动执行此操作在组策略编辑器管理单元中,请按照下列步骤操作:
    1. 若要修改组策略设置,使用组策略编辑器管理单元。
    2. 修改"加密脱机文件缓存"组策略设置。

      注意因为"加密脱机文件缓存"组策略设置现在已链接到新的 CLIENTEXT 行,System.adm 文件中,组策略编辑器将自动更新以包括新的客户端扩展 GUID gPCMachineExtensionNames Active Directory 属性。

第 2 部分: 到基于 Windows XP 的计算机部署修补程序

应用此修补程序后,您可能会在应用程序日志中收到以下错误消息:
2003 年 18/03 12:46:31 脱机文件错误无 16 n/A LLDN0114233 加密脱机文件缓存的失败,错误为 12。
如果您收到此错误消息,重新启动 Windows XP 后,您可以安全地忽略它。 每次重新启动 Windows,"加密脱机文件缓存"组策略设置确定是否在脱机文件夹缓存已加密。如果完全未初始化客户端缓存数据库策略将记录此错误消息。因为该策略设置的时间间隔刷新,您可以安全地忽略此错误消息。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

更多信息

"加密脱机文件缓存"组策略设置确定是否加密脱机文件。 脱机文件驻留在用户的本地驱动器不在网络上。脱机文件都存储在计算机上的本地缓存中。加密此高速缓存有助于提高本地计算机上的安全。如果高速缓存在本地计算机上的未加密,从网络缓存的任何加密的文件在本地计算机上未加密。这种情况下可能会带来安全风险在某些环境中。

备注
  • 如果启用了"加密脱机文件缓存"组策略设置将被加密脱机文件缓存中的所有文件。 这包括现有的文件和以后添加的文件。在本地计算机上缓存的副本受到影响,但相关的网络副本不会受到影响。通过用户界面,用户无法解密脱机文件。
  • 如果禁用了"加密脱机文件缓存"组策略设置在脱机文件缓存中的所有文件都是未加密。这包括现有的文件和以后添加的文件。在本地计算机上缓存的副本受到影响,但相关的网络副本不会受到影响。用户不能通过用户界面的脱机文件加密。
  • 如果不配置"加密脱机文件缓存"组策略设置,加密脱机文件缓存的由用户通过用户界面控制。当前缓存状态将会保留,如果只能部分地加密高速缓存,时要在操作完成,以便完全加密的高速缓存。缓存不会返回到未加密状态。若要加密或解密脱机文件缓存在本地计算机上,用户必须具有管理员权限。
  • 默认状态下,访问控制列表 (ACL) 帮助保护脱机文件缓存在 NTFS 文件系统分区上。

参考

在这篇文章中使用的术语有关的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 810859 - 最后修改: 2007年8月29日 - 修订: 5.2
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
关键字:?
kbmt kbautohotfix kbhotfixserver kbqfe kbqfe kbfix kbbug KB810859 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 810859
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com