Non è possibile aprire condivisioni file o snap-in Criteri di gruppo in un controller di dominio

  • Articolo

Questo articolo descrive come risolvere un problema che si verifica quando la firma SMB è disabilitata per la workstation o il servizio server in un controller di dominio.

Si applica a: Windows Server 2003
Numero KB originale: 839499

Riepilogo

Non è possibile aprire condivisioni file o gli snap-in Criteri di gruppo in un controller di dominio di Windows Server 2003 o in un controller di dominio di Windows 2000 Server. Quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni nel controller di dominio, vengono visualizzate richieste ripetute di password e non è possibile aprire le condivisioni. È possibile risolvere questo problema modificando il Registro di sistema.

Avviso

L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi. che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di tali problemi. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

Sintomi

Scenario 1: la firma SMB (Server Message Block) è disabilitata per il servizio Workstation in un controller di dominio, ma è necessaria la firma SMB per il servizio Server nello stesso controller di dominio

Windows Server 2003

Quando si tenta di aprire Criteri di gruppo snap-in nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

Non si dispone dell'autorizzazione per eseguire questa operazione. Accesso negato.

Il controller di dominio registra gli eventi seguenti nel registro eventi dell'applicazione ogni cinque minuti:

Windows 2000 Server

Quando si tenta di aprire Criteri di gruppo snap-in nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

Non si dispone dell'autorizzazione per eseguire questa operazione.

Accesso negato. Il controller di dominio registra l'evento seguente nel registro eventi dell'applicazione:

Quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni nel controller di dominio, vengono visualizzate richieste ripetute di password e non è possibile aprire le condivisioni.

Scenario 2: la firma SMB è disabilitata per il servizio Server in un controller di dominio, ma la firma SMB è necessaria per il servizio Workstation nello stesso controller di dominio

Windows Server 2003

Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non disporre dei diritti appropriati.

L'account non è autorizzato ad accedere da questa stazione.

In una traccia di rete, se la firma SMB è abilitata e necessaria nel client ed è disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto e il client riceve l'errore seguente:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Il controller di dominio registra gli eventi seguenti nel registro eventi dell'applicazione ogni cinque minuti: quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni file nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

\\Nome_server\Share_Name non è accessibile. È possibile non disporre dell'autorizzazione per l'utilizzo di questa risorsa di rete. Contattare l'amministratore del server per sapere se si dispone dei permessi di accesso.

L'account non è autorizzato ad accedere da questa stazione.

Nota

In una traccia di rete, se la firma SMB è abilitata e se la firma SMB è necessaria nel client ed è disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto. Inoltre, il client riceve il messaggio di errore seguente: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Quando si tenta di aprire Criteri di gruppo snap-in nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non disporre dei diritti appropriati.

L'account non è autorizzato ad accedere da questa stazione.

Il controller di dominio registra l'evento seguente nel registro eventi dell'applicazione: quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni file nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

\\Nome_server\Share_Name non è accessibile.

L'account non è autorizzato ad accedere da questa stazione.

Nota

In una traccia di rete, se la firma SMB è abilitata e se la firma SMB è necessaria nel client ed è disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto. Inoltre, il client riceve il messaggio di errore seguente: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Risoluzione

Per risolvere questo comportamento, seguire questa procedura:

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows XP.

Passaggio 1- Modificare il Registro di sistema

Modificare il valore della voce del Registro di sistema enablesecuritysignature. A tal fine, attenersi alla seguente procedura:

  1. Nel controller di dominio fare clic su Start e quindi su Esegui.

  2. Copiare e quindi incollare (o digitare) il comando regedit nella casella Apri e quindi premere INVIO.

    Screenshot della finestra Esegui con regedit digitato nella casella Apri.

  3. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. Nel riquadro destro fare doppio clic su enablesecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.

  5. Fare doppio clic su requiresecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.

  6. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. Nel riquadro destro fare doppio clic su enablesecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.

  8. Fare doppio clic su requiresecuritysignature, digitare 0 nella casella Dati valore e quindi fare clic su OK.

Passaggio 2: Riavviare il servizio Server e il servizio Workstation Dopo aver modificato i valori del Registro di sistema, riavviare il servizio Server e il servizio Workstation.

Importante

Non riavviare il controller di dominio, perché questa azione può causare Criteri di gruppo di modificare nuovamente i valori del Registro di sistema ai valori precedenti.

Per riavviare il servizio Server e il servizio Workstation, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Servizi.

  2. Fare clic con il pulsante destro del mouse su Server e quindi scegliere Riavvia.

    Screenshot della finestra Servizi con l'opzione Server selezionata e un menu con l'opzione Riavvia selezionata.

  3. Fare clic con il pulsante destro del mouse su Workstation e quindi scegliere Riavvia.

Nota

Se viene richiesto di riavviare altri servizi, fare clic su Sì.

Passaggio 3: Aggiornare la condivisione Sysvol

Aggiornare la condivisione Sysvol del controller di dominio. A tal fine, attenersi alla seguente procedura:

  1. Aprire la condivisione Sysvol del controller di dominio. A tale scopo, fare clic su Start, fare clic su Esegui, digitare \\Server_Name\Sysvol nella casella Apri e quindi premere INVIO.
  2. Se la condivisione Sysvol non si apre, ripetere il passaggio 1 - Modificare il Registro di sistema e il passaggio 2 - Riavviare i servizi Server e Workstation .
  3. Ripetere il passaggio 1: modificare il Registro di sistema e il passaggio 2: riavviare i servizi Server e Workstation in ogni controller di dominio interessato per assicurarsi che ogni controller di dominio possa accedere alla propria condivisione Sysvol.

Passaggio 4: Configurare le impostazioni dei criteri SMB

Dopo la connessione alla condivisione Sysvol in ogni controller di dominio, aprire lo snap-in Criteri di sicurezza del controller di dominio e quindi configurare le impostazioni dei criteri di firma SMB. A tal fine, attenersi alla seguente procedura:

  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e quindi Criteri di sicurezza del controller di dominio.

  2. Nel riquadro sinistro espandere Criteri locali e quindi fare clic su Opzioni di sicurezza.

  3. Nel riquadro destro fare doppio clic su Server di rete Microsoft: Firma digitalmente le comunicazioni (sempre).

    Nota

    In Windows 2000 Server l'impostazione dei criteri equivalente è Firma digitale della comunicazione del server (sempre).

    Importante

    Se nella rete sono presenti computer client che non supportano la firma SMB, non è necessario abilitare l'impostazione dei criteri Server di rete Microsoft: Firma digitale comunicazioni (sempre). Se si abilita questa impostazione, è necessario avere la firma SMB per tutte le comunicazioni client e i computer client che non supportano la firma SMB non saranno in grado di connettersi ad altri computer. Ad esempio, i client che eseguono Apple Macintosh OS X o Microsoft Windows 95 non supportano la firma SMB. Se la rete include client che non supportano la firma SMB, impostare questo criterio su disabilitato.

    Screenshot della finestra Impostazioni di sicurezza del controller di dominio predefinito con opzioni di sicurezza selezionate.

  4. Fare clic per selezionare la casella di controllo Definisci questa impostazione di criterio , fare clic su Abilitato e quindi su OK.

    Screenshot della finestra del server di rete Microsoft con l'impostazione Definisci questo criterio selezionata e abilitata.

  5. Fare doppio clic su Server di rete Microsoft: firma digitalmente le comunicazioni (se il client è d'accordo).

    Nota

    Per Windows 2000 Server, l'impostazione dei criteri equivalente è Firma digitale della comunicazione del server (quando possibile).

  6. Fare clic per selezionare la casella di controllo Definisci questa impostazione di criterio e quindi fare clic su Abilitato.

  7. Fare clic su OK.

  8. Fare doppio clic su Client di rete Microsoft: firma digitalmente le comunicazioni (sempre).Double-click Microsoft network client: Digitally sign communications (always).

  9. Fare clic per deselezionare la casella di controllo Definisci impostazione criteri e quindi fare clic su OK.

    Screenshot della finestra del server di rete Microsoft con la casella di controllo Definisci questa impostazione di criterio deselezionata.

  10. Fare doppio clic su Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo).

  11. Fare clic per deselezionare la casella di controllo Definisci impostazione criteri e quindi fare clic su OK.

Passaggio 5: Eseguire l'utilità di aggiornamento Criteri di gruppo

Eseguire l'utilità di aggiornamento Criteri di gruppo (Gpupdate.exe) con l'opzione force. A tal fine, attenersi alla seguente procedura:

  1. Fare clic su Start quindi scegliere Esegui.

  2. Copiare e incollare (o digitare) il comando cmd nella casella Apri e quindi premere INVIO.

    Screenshot della finestra Esegui con cmd digitato nella casella Apri.

  3. Al prompt dei comandi, digitare gpupdate /force, quindi premere INVIO.

    Nota

    L'utilità di aggiornamento Criteri di gruppo non esiste in Windows 2000 Server. In Windows 2000 Server il comando equivalente è secedit /refreshpolicy machine_policy /enforce.

Passaggio 6: Controllare il registro eventi dell'applicazione

Dopo aver eseguito l'utilità di aggiornamento Criteri di gruppo, controllare il registro eventi dell'applicazione per assicurarsi che le impostazioni Criteri di gruppo siano state aggiornate correttamente. Dopo un aggiornamento Criteri di gruppo riuscito, il controller di dominio registra l'ID evento 1704. Per aprire il registro applicazioni in Visualizzatore eventi, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Visualizzatore eventi.

  2. Nel riquadro sinistro fare clic su Applicazione.

    Screenshot della finestra Visualizzatore eventi con l'opzione Applicazione selezionata.

  3. Fare doppio clic sull'ID evento 1704 e verificare che l'impostazione Criteri di gruppo sia stata applicata correttamente.

    Nota

    L'origine dell'evento è SceCli.

    Screenshot del Finestra Proprietà evento per l'ID evento 1704.

Passaggio 7: Controllare i valori del Registro di sistema

Controllare i valori del Registro di sistema modificati nel passaggio 1: modificare il Registro di sistema per assicurarsi che i valori del Registro di sistema non siano stati modificati.

Nota

Questo passaggio assicura che un'impostazione di criteri in conflitto non venga applicata a un altro livello di gruppo o unità organizzativa. Ad esempio, se il client di rete Microsoft: firma digitale delle comunicazioni (se il server è d'accordo) è configurato come "Non definito" nei criteri di sicurezza del controller di dominio, ma questo stesso criterio è configurato come disabilitato in Criteri di sicurezza del dominio, la firma SMB verrà disabilitata per il servizio Workstation.

Passaggio 8: Controllare le impostazioni dei criteri di firma SMB usando lo snap-in Set di criteri risultante (RSoP)

Se i valori del Registro di sistema sono stati modificati dopo l'esecuzione dell'utilità di aggiornamento Criteri di gruppo, controllare le impostazioni dei criteri di firma SMB usando lo snap-in RSoP in Windows Server 2003. A tal fine, attenersi alla seguente procedura:

  1. Fare clic su Start, fare clic su Esegui, digitare rsop.msc nella casella Apri e quindi fare clic su OK.

    Screenshot della finestra Esegui con rsop.msc digitato nella casella Apri.

  2. Nello snap-in RSoP le impostazioni di firma SMB si trovano nel percorso seguente: Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri locali/Opzioni di sicurezza

    Nota

    Se si esegue Windows 2000 Server, installare l'utilità Criteri di gruppo Update da Windows 2000 Server Resource Kit e digitare quanto segue al prompt dei comandi:gpresult /scope computer /v

  3. Dopo aver eseguito questo comando, viene visualizzato l'elenco Oggetti Criteri di gruppo applicati. Questo elenco mostra tutti gli oggetti Criteri di gruppo applicati all'account computer. Controllare le impostazioni dei criteri di firma SMB per tutti questi oggetti Criteri di gruppo.

Risorse aggiuntive

Questo comportamento si verifica se le impostazioni di firma SMB per il servizio Workstation e per il servizio server sono in contrasto tra loro. Quando si configura il controller di dominio in questo modo, il servizio Workstation nel controller di dominio non può connettersi alla condivisione Sysvol del controller di dominio. Pertanto, non è possibile avviare Criteri di gruppo snap-in. Inoltre, se i criteri di firma SMB sono impostati dai criteri di sicurezza predefiniti del controller di dominio, il problema interessa tutti i controller di dominio nella rete. Pertanto, Criteri di gruppo replica nel servizio directory Active Directory avrà esito negativo e non sarà possibile modificare Criteri di gruppo per annullare queste impostazioni.

Scenario 1: se si esegue lo strumento di diagnostica del controller di dominio (DcDiag.exe), vengono visualizzati errori simili ai seguenti per Windows 2000 Server e per Windows Server 2003

Test iniziale: MachineAccount
Impossibile aprire la pipe con [SERVERNAME]:failed con 5: Accesso negato.
Impossibile ottenere NetBIOSDomainName
Impossibile eseguire il test per l'SPN HOST
Impossibile eseguire il test per l'SPN HOST
* SPN mancante :(null)
* SPN mancante :(null)
......................... MachineAccount di test servername non riuscito
Test iniziale: Servizi
Impossibile aprire remote ipc to [SERVERNAME]:failed with 5: Access is denied.
......................... ServerNAME : servizi di test non riusciti
Test iniziale: OggettiReplicati
......................... SERVERNAME passato oggetti testReplicated
Test iniziale: frssysvol
[NOMESERVER] Operazione net use o LsaPolicy non riuscita con errore 5, Accesso negato.
......................... SERVERNAME: test frssysvol non riuscito
Test iniziale: frsevent
......................... SERVERNAME failed test frsevent
Test iniziale: kccevent
Impossibile enumerare i record del log eventi. Errore Accesso negato.
......................... ServerNAME: test kccevent non riuscito
Test iniziale: systemlog
Impossibile enumerare i record del log eventi. Errore Accesso negato.
......................... SERVERNAME: systemlog di test non riuscito

Scenario 2: se si esegue lo strumento di diagnostica del controller di dominio, vengono visualizzati errori simili ai seguenti per Windows 2000 Server e per Windows Server 2003

Server di test: Default-First-Site-Name\SERVERNAME
Test iniziale: repliche
......................... SERVERNAME ha superato le repliche di test
Test iniziale: NCSecDesc
......................... SERVERNAME ha superato il test NCSecDesc
Test iniziale: NetLogons
[NOMESERVER] Operazione net use o LsaPolicy non riuscita con errore 1240. L'account non è autorizzato ad accedere da questa stazione.
......................... Servername: test netlogons non riuscito
Test iniziale: Pubblicità
......................... SERVERNAME ha superato il test Advertising
Test iniziale: KnowsOfRoleHolders
......................... SERVERNAME ha superato il test KnowsOfRoleHolders
Test iniziale: RidManager
......................... SERVERNAME ha superato il test RidManager
Test iniziale: MachineAccount
Impossibile aprire la pipe con [SERVERNAME]:failed con 1240: l'account non è autorizzato ad accedere da questa stazione.
Impossibile ottenere NetBIOSDomainName
Impossibile eseguire il test per l'SPN HOST
Impossibile eseguire il test per l'SPN HOST
* SPN mancante :(null)
* SPN mancante :(null)
......................... MachineAccount di test servername non riuscito
Test iniziale: Servizi
Impossibile aprire Remote ipc to [SERVERNAME]:failed with 1240: L'account non è autorizzato ad accedere da questa stazione.
......................... ServerNAME : servizi di test non riusciti
Test iniziale: OggettiReplicati
......................... SERVERNAME passato oggetti testReplicated
Test iniziale: frssysvol
[NOMESERVER] Operazione net use o LsaPolicy non riuscita con errore 1240. L'account non è autorizzato ad accedere da questa stazione.
......................... SERVERNAME: test frssysvol non riuscito
Test iniziale: frsevent
......................... SERVERNAME failed test frsevent
Test iniziale: kccevent
Impossibile enumerare i record del registro eventi. Errore L'account non è autorizzato ad accedere da questa stazione. ......................... ServerNAME: test kccevent non riuscito
Test iniziale: systemlog
Impossibile enumerare i record del registro eventi. Errore L'account non è autorizzato ad accedere da questa stazione. ......................... SERVERNAME: systemlog di test non riuscito