Non è possibile aprire condivisioni file o snap-in Criteri di gruppo in un controller di dominio
Questo articolo descrive come risolvere un problema che si verifica quando la firma SMB è disabilitata per la workstation o il servizio server in un controller di dominio.
Si applica a: Windows Server 2003
Numero KB originale: 839499
Riepilogo
Non è possibile aprire condivisioni file o gli snap-in Criteri di gruppo in un controller di dominio di Windows Server 2003 o in un controller di dominio di Windows 2000 Server. Quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni nel controller di dominio, vengono visualizzate richieste ripetute di password e non è possibile aprire le condivisioni. È possibile risolvere questo problema modificando il Registro di sistema.
Avviso
L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi. che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di tali problemi. La modifica del Registro di sistema è a rischio e pericolo dell'utente.
Sintomi
Scenario 1: la firma SMB (Server Message Block) è disabilitata per il servizio Workstation in un controller di dominio, ma è necessaria la firma SMB per il servizio Server nello stesso controller di dominio
Windows Server 2003
Quando si tenta di aprire Criteri di gruppo snap-in nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:
Non si dispone dell'autorizzazione per eseguire questa operazione. Accesso negato.
Il controller di dominio registra gli eventi seguenti nel registro eventi dell'applicazione ogni cinque minuti:
Windows 2000 Server
Quando si tenta di aprire Criteri di gruppo snap-in nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:
Non si dispone dell'autorizzazione per eseguire questa operazione.
Accesso negato. Il controller di dominio registra l'evento seguente nel registro eventi dell'applicazione:
Quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni nel controller di dominio, vengono visualizzate richieste ripetute di password e non è possibile aprire le condivisioni.
Scenario 2: la firma SMB è disabilitata per il servizio Server in un controller di dominio, ma la firma SMB è necessaria per il servizio Workstation nello stesso controller di dominio
Windows Server 2003
Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non disporre dei diritti appropriati.
L'account non è autorizzato ad accedere da questa stazione.
In una traccia di rete, se la firma SMB è abilitata e necessaria nel client ed è disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto e il client riceve l'errore seguente:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Il controller di dominio registra gli eventi seguenti nel registro eventi dell'applicazione ogni cinque minuti: quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni file nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:
\\Nome_server\Share_Name non è accessibile. È possibile non disporre dell'autorizzazione per l'utilizzo di questa risorsa di rete. Contattare l'amministratore del server per sapere se si dispone dei permessi di accesso.
L'account non è autorizzato ad accedere da questa stazione.
Nota
In una traccia di rete, se la firma SMB è abilitata e se la firma SMB è necessaria nel client ed è disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto. Inoltre, il client riceve il messaggio di errore seguente: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Windows 2000 Server
Quando si tenta di aprire Criteri di gruppo snap-in nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:
Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non disporre dei diritti appropriati.
L'account non è autorizzato ad accedere da questa stazione.
Il controller di dominio registra l'evento seguente nel registro eventi dell'applicazione: quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni file nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:
\\Nome_server\Share_Name non è accessibile.
L'account non è autorizzato ad accedere da questa stazione.
Nota
In una traccia di rete, se la firma SMB è abilitata e se la firma SMB è necessaria nel client ed è disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto. Inoltre, il client riceve il messaggio di errore seguente: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Risoluzione
Per risolvere questo comportamento, seguire questa procedura:
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows XP.
Passaggio 1- Modificare il Registro di sistema
Modificare il valore della voce del Registro di sistema enablesecuritysignature. A tal fine, attenersi alla seguente procedura:
Nel controller di dominio fare clic su Start e quindi su Esegui.
Copiare e quindi incollare (o digitare) il comando regedit nella casella Apri e quindi premere INVIO.
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Nel riquadro destro fare doppio clic su enablesecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.
Fare doppio clic su requiresecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
Nel riquadro destro fare doppio clic su enablesecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.
Fare doppio clic su requiresecuritysignature, digitare 0 nella casella Dati valore e quindi fare clic su OK.
Passaggio 2: Riavviare il servizio Server e il servizio Workstation Dopo aver modificato i valori del Registro di sistema, riavviare il servizio Server e il servizio Workstation.
Importante
Non riavviare il controller di dominio, perché questa azione può causare Criteri di gruppo di modificare nuovamente i valori del Registro di sistema ai valori precedenti.
Per riavviare il servizio Server e il servizio Workstation, seguire questa procedura:
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Servizi.
Fare clic con il pulsante destro del mouse su Server e quindi scegliere Riavvia.
Fare clic con il pulsante destro del mouse su Workstation e quindi scegliere Riavvia.
Nota
Se viene richiesto di riavviare altri servizi, fare clic su Sì.
Passaggio 3: Aggiornare la condivisione Sysvol
Aggiornare la condivisione Sysvol del controller di dominio. A tal fine, attenersi alla seguente procedura:
- Aprire la condivisione Sysvol del controller di dominio. A tale scopo, fare clic su Start, fare clic su Esegui, digitare \\Server_Name\Sysvol nella casella Apri e quindi premere INVIO.
- Se la condivisione Sysvol non si apre, ripetere il passaggio 1 - Modificare il Registro di sistema e il passaggio 2 - Riavviare i servizi Server e Workstation .
- Ripetere il passaggio 1: modificare il Registro di sistema e il passaggio 2: riavviare i servizi Server e Workstation in ogni controller di dominio interessato per assicurarsi che ogni controller di dominio possa accedere alla propria condivisione Sysvol.
Passaggio 4: Configurare le impostazioni dei criteri SMB
Dopo la connessione alla condivisione Sysvol in ogni controller di dominio, aprire lo snap-in Criteri di sicurezza del controller di dominio e quindi configurare le impostazioni dei criteri di firma SMB. A tal fine, attenersi alla seguente procedura:
Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e quindi Criteri di sicurezza del controller di dominio.
Nel riquadro sinistro espandere Criteri locali e quindi fare clic su Opzioni di sicurezza.
Nel riquadro destro fare doppio clic su Server di rete Microsoft: Firma digitalmente le comunicazioni (sempre).
Nota
In Windows 2000 Server l'impostazione dei criteri equivalente è Firma digitale della comunicazione del server (sempre).
Importante
Se nella rete sono presenti computer client che non supportano la firma SMB, non è necessario abilitare l'impostazione dei criteri Server di rete Microsoft: Firma digitale comunicazioni (sempre). Se si abilita questa impostazione, è necessario avere la firma SMB per tutte le comunicazioni client e i computer client che non supportano la firma SMB non saranno in grado di connettersi ad altri computer. Ad esempio, i client che eseguono Apple Macintosh OS X o Microsoft Windows 95 non supportano la firma SMB. Se la rete include client che non supportano la firma SMB, impostare questo criterio su disabilitato.
Fare clic per selezionare la casella di controllo Definisci questa impostazione di criterio , fare clic su Abilitato e quindi su OK.
Fare doppio clic su Server di rete Microsoft: firma digitalmente le comunicazioni (se il client è d'accordo).
Nota
Per Windows 2000 Server, l'impostazione dei criteri equivalente è Firma digitale della comunicazione del server (quando possibile).
Fare clic per selezionare la casella di controllo Definisci questa impostazione di criterio e quindi fare clic su Abilitato.
Fare clic su OK.
Fare doppio clic su Client di rete Microsoft: firma digitalmente le comunicazioni (sempre).Double-click Microsoft network client: Digitally sign communications (always).
Fare clic per deselezionare la casella di controllo Definisci impostazione criteri e quindi fare clic su OK.
Fare doppio clic su Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo).
Fare clic per deselezionare la casella di controllo Definisci impostazione criteri e quindi fare clic su OK.
Passaggio 5: Eseguire l'utilità di aggiornamento Criteri di gruppo
Eseguire l'utilità di aggiornamento Criteri di gruppo (Gpupdate.exe) con l'opzione force. A tal fine, attenersi alla seguente procedura:
Fare clic su Start quindi scegliere Esegui.
Copiare e incollare (o digitare) il comando cmd nella casella Apri e quindi premere INVIO.
Al prompt dei comandi, digitare
gpupdate /force
, quindi premere INVIO.Nota
L'utilità di aggiornamento Criteri di gruppo non esiste in Windows 2000 Server. In Windows 2000 Server il comando equivalente è
secedit /refreshpolicy machine_policy /enforce
.
Passaggio 6: Controllare il registro eventi dell'applicazione
Dopo aver eseguito l'utilità di aggiornamento Criteri di gruppo, controllare il registro eventi dell'applicazione per assicurarsi che le impostazioni Criteri di gruppo siano state aggiornate correttamente. Dopo un aggiornamento Criteri di gruppo riuscito, il controller di dominio registra l'ID evento 1704. Per aprire il registro applicazioni in Visualizzatore eventi, seguire questa procedura:
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Visualizzatore eventi.
Nel riquadro sinistro fare clic su Applicazione.
Fare doppio clic sull'ID evento 1704 e verificare che l'impostazione Criteri di gruppo sia stata applicata correttamente.
Nota
L'origine dell'evento è SceCli.
Passaggio 7: Controllare i valori del Registro di sistema
Controllare i valori del Registro di sistema modificati nel passaggio 1: modificare il Registro di sistema per assicurarsi che i valori del Registro di sistema non siano stati modificati.
Nota
Questo passaggio assicura che un'impostazione di criteri in conflitto non venga applicata a un altro livello di gruppo o unità organizzativa. Ad esempio, se il client di rete Microsoft: firma digitale delle comunicazioni (se il server è d'accordo) è configurato come "Non definito" nei criteri di sicurezza del controller di dominio, ma questo stesso criterio è configurato come disabilitato in Criteri di sicurezza del dominio, la firma SMB verrà disabilitata per il servizio Workstation.
Passaggio 8: Controllare le impostazioni dei criteri di firma SMB usando lo snap-in Set di criteri risultante (RSoP)
Se i valori del Registro di sistema sono stati modificati dopo l'esecuzione dell'utilità di aggiornamento Criteri di gruppo, controllare le impostazioni dei criteri di firma SMB usando lo snap-in RSoP in Windows Server 2003. A tal fine, attenersi alla seguente procedura:
Fare clic su Start, fare clic su Esegui, digitare rsop.msc nella casella Apri e quindi fare clic su OK.
Nello snap-in RSoP le impostazioni di firma SMB si trovano nel percorso seguente: Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri locali/Opzioni di sicurezza
Nota
Se si esegue Windows 2000 Server, installare l'utilità Criteri di gruppo Update da Windows 2000 Server Resource Kit e digitare quanto segue al prompt dei comandi:
gpresult /scope computer /v
Dopo aver eseguito questo comando, viene visualizzato l'elenco Oggetti Criteri di gruppo applicati. Questo elenco mostra tutti gli oggetti Criteri di gruppo applicati all'account computer. Controllare le impostazioni dei criteri di firma SMB per tutti questi oggetti Criteri di gruppo.
Risorse aggiuntive
Questo comportamento si verifica se le impostazioni di firma SMB per il servizio Workstation e per il servizio server sono in contrasto tra loro. Quando si configura il controller di dominio in questo modo, il servizio Workstation nel controller di dominio non può connettersi alla condivisione Sysvol del controller di dominio. Pertanto, non è possibile avviare Criteri di gruppo snap-in. Inoltre, se i criteri di firma SMB sono impostati dai criteri di sicurezza predefiniti del controller di dominio, il problema interessa tutti i controller di dominio nella rete. Pertanto, Criteri di gruppo replica nel servizio directory Active Directory avrà esito negativo e non sarà possibile modificare Criteri di gruppo per annullare queste impostazioni.
Scenario 1: se si esegue lo strumento di diagnostica del controller di dominio (DcDiag.exe), vengono visualizzati errori simili ai seguenti per Windows 2000 Server e per Windows Server 2003
Test iniziale: MachineAccount
Impossibile aprire la pipe con [SERVERNAME]:failed con 5: Accesso negato.
Impossibile ottenere NetBIOSDomainName
Impossibile eseguire il test per l'SPN HOST
Impossibile eseguire il test per l'SPN HOST
* SPN mancante :(null)
* SPN mancante :(null)
......................... MachineAccount di test servername non riuscito
Test iniziale: Servizi
Impossibile aprire remote ipc to [SERVERNAME]:failed with 5: Access is denied.
......................... ServerNAME : servizi di test non riusciti
Test iniziale: OggettiReplicati
......................... SERVERNAME passato oggetti testReplicated
Test iniziale: frssysvol
[NOMESERVER] Operazione net use o LsaPolicy non riuscita con errore 5, Accesso negato.
......................... SERVERNAME: test frssysvol non riuscito
Test iniziale: frsevent
......................... SERVERNAME failed test frsevent
Test iniziale: kccevent
Impossibile enumerare i record del log eventi. Errore Accesso negato.
......................... ServerNAME: test kccevent non riuscito
Test iniziale: systemlog
Impossibile enumerare i record del log eventi. Errore Accesso negato.
......................... SERVERNAME: systemlog di test non riuscito
Scenario 2: se si esegue lo strumento di diagnostica del controller di dominio, vengono visualizzati errori simili ai seguenti per Windows 2000 Server e per Windows Server 2003
Server di test: Default-First-Site-Name\SERVERNAME
Test iniziale: repliche
......................... SERVERNAME ha superato le repliche di test
Test iniziale: NCSecDesc
......................... SERVERNAME ha superato il test NCSecDesc
Test iniziale: NetLogons
[NOMESERVER] Operazione net use o LsaPolicy non riuscita con errore 1240. L'account non è autorizzato ad accedere da questa stazione.
......................... Servername: test netlogons non riuscito
Test iniziale: Pubblicità
......................... SERVERNAME ha superato il test Advertising
Test iniziale: KnowsOfRoleHolders
......................... SERVERNAME ha superato il test KnowsOfRoleHolders
Test iniziale: RidManager
......................... SERVERNAME ha superato il test RidManager
Test iniziale: MachineAccount
Impossibile aprire la pipe con [SERVERNAME]:failed con 1240: l'account non è autorizzato ad accedere da questa stazione.
Impossibile ottenere NetBIOSDomainName
Impossibile eseguire il test per l'SPN HOST
Impossibile eseguire il test per l'SPN HOST
* SPN mancante :(null)
* SPN mancante :(null)
......................... MachineAccount di test servername non riuscito
Test iniziale: Servizi
Impossibile aprire Remote ipc to [SERVERNAME]:failed with 1240: L'account non è autorizzato ad accedere da questa stazione.
......................... ServerNAME : servizi di test non riusciti
Test iniziale: OggettiReplicati
......................... SERVERNAME passato oggetti testReplicated
Test iniziale: frssysvol
[NOMESERVER] Operazione net use o LsaPolicy non riuscita con errore 1240. L'account non è autorizzato ad accedere da questa stazione.
......................... SERVERNAME: test frssysvol non riuscito
Test iniziale: frsevent
......................... SERVERNAME failed test frsevent
Test iniziale: kccevent
Impossibile enumerare i record del registro eventi. Errore L'account non è autorizzato ad accedere da questa stazione. ......................... ServerNAME: test kccevent non riuscito
Test iniziale: systemlog
Impossibile enumerare i record del registro eventi. Errore L'account non è autorizzato ad accedere da questa stazione. ......................... SERVERNAME: systemlog di test non riuscito
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per