Você não pode abrir compartilhamentos de arquivos ou Política de Grupo snap-ins em um controlador de domínio
Este artigo descreve como resolve um problema que ocorre quando a assinatura de SMB é desabilitada para o serviço Workstation ou Server em um controlador de domínio.
Aplica-se a: Windows Server 2003
Número de KB original: 839499
Resumo
Não é possível abrir compartilhamentos de arquivos ou Política de Grupo snap-ins em um controlador de domínio do Windows Server 2003 ou em um controlador de domínio do Windows 2000 Server. Quando você faz logon no controlador de domínio localmente e tenta abrir compartilhamentos no controlador de domínio, recebe solicitações de senha repetidas e não pode abrir os compartilhamentos. Você pode resolve esse problema alterando o registro.
Aviso
Poderão ocorrer sérios problemas se você modificar o Registro incorretamente com o Editor do Registro ou outro método. Talvez seja necessária a reinstalação do sistema operacional. A Microsoft não pode garantir que esses problemas possam ser resolvidos. Modifique o Registro a seu próprio risco.
Sintomas
Cenário 1 – A assinatura do SMB (Server Message Block) está desabilitada para o serviço workstation em um controlador de domínio, mas a assinatura de SMB é necessária para o serviço Server no mesmo controlador de domínio
Windows Server 2003
Ao tentar abrir Política de Grupo snap-ins no controlador de domínio, você recebe uma mensagem de erro que se assemelha ao seguinte:
Você não tem permissão para executar essa operação. Acesso negado.
O controlador de domínio registra os seguintes eventos no log de eventos do aplicativo a cada cinco minutos:
Windows 2000 Server
Ao tentar abrir Política de Grupo snap-ins no controlador de domínio, você recebe uma mensagem de erro que se assemelha ao seguinte:
Você não tem permissão para executar essa operação.
Acesso negado. O controlador de domínio registra o seguinte evento no log de eventos do aplicativo:
Quando você faz logon no controlador de domínio localmente e tenta abrir compartilhamentos no controlador de domínio, recebe solicitações de senha repetidas e não pode abrir os compartilhamentos.
Cenário 2 – A assinatura de SMB está desabilitada para o serviço Server em um controlador de domínio, mas a assinatura de SMB é necessária para o serviço workstation no mesmo controlador de domínio
Windows Server 2003
Falha ao abrir o objeto Política de Grupo. Talvez você não tenha os direitos apropriados.
A conta não está autorizada a fazer logon nesta estação.
Em um rastreamento de rede, se a assinatura de SMB estiver habilitada e for necessária no cliente e estiver desabilitada no servidor, a conexão com a sessão TCP será normalmente fechada após a Negociação do Dialeto e o cliente receberá o seguinte erro:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
O controlador de domínio registra os seguintes eventos no log de eventos do aplicativo a cada cinco minutos: Quando você faz logon no controlador de domínio localmente e tenta abrir compartilhamentos de arquivos no controlador de domínio, você recebe uma mensagem de erro que se assemelha ao seguinte:
\\Server_name\Share_Name não está acessível. Talvez você não tenha permissão para usar esse recurso de rede. Entre em contato com o administrador deste servidor para saber se você tem permissões de acesso.
A conta não está autorizada a fazer logon nesta estação.
Observação
Em um rastreamento de rede, se a assinatura de SMB estiver habilitada e se a assinatura de SMB for necessária no cliente e estiver desabilitada no servidor, a conexão com a sessão TCP será normalmente fechada após a negociação do dialeto. Além disso, o cliente recebe a seguinte mensagem de erro: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Windows 2000 Server
Ao tentar abrir Política de Grupo snap-ins no controlador de domínio, você recebe uma mensagem de erro semelhante à seguinte:
Falha ao abrir o objeto Política de Grupo. Talvez você não tenha os direitos apropriados.
A conta não está autorizada a fazer logon nesta estação.
O controlador de domínio registra o seguinte evento no log de eventos do aplicativo: Quando você faz logon no controlador de domínio localmente e tenta abrir compartilhamentos de arquivos no controlador de domínio, você recebe uma mensagem de erro semelhante à seguinte:
\\Server_name\Share_Name não está acessível.
A conta não está autorizada a fazer logon nesta estação.
Observação
Em um rastreamento de rede, se a assinatura de SMB estiver habilitada e se a assinatura de SMB for necessária no cliente e estiver desabilitada no servidor, a conexão com a sessão TCP será normalmente fechada após a negociação do dialeto. Além disso, o cliente recebe a seguinte mensagem de erro: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Resolução
Para resolve esse comportamento, siga estas etapas:
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, consulte Como fazer backup e restaurar o registro no Windows XP.
Etapa 1 – Alterar o registro
Altere o valor da entrada do registro enablesecuritysignature. Para fazer isso, siga estas etapas:
No controlador de domínio, clique em Iniciar e clique em Executar.
Copie e cole (ou digite) o comando regedit na caixa Abrir e pressione Enter.
Localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersNo painel direito, clique duas vezes em habilitar segurançasignature, digite 1 na caixa de dados Valor e clique em OK.
Clique duas vezes em requiresecuritysignature, type 1 na caixa de dados Valor e clique em OK.
Localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parametersNo painel direito, clique duas vezes em habilitar segurançasignature, digite 1 na caixa de dados Valor e clique em OK.
Clique duas vezes em requiresecuritysignature, type 0 na caixa de dados Valor e clique em OK.
Etapa 2 – Reinicie o serviço server e o serviço Workstation Depois de alterar os valores do registro, reinicie o serviço server e o serviço workstation.
Importante
Não reinicie o controlador de domínio, pois essa ação pode fazer com que Política de Grupo altere os valores do registro de volta para os valores anteriores.
Para reiniciar o serviço server e o serviço workstation, siga estas etapas:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique com o botão direito do mouse em Servidor e clique em Reiniciar.
Clique com o botão direito do mouse em Estação de Trabalho e clique em Reiniciar.
Observação
Se você for solicitado a reiniciar outros serviços, clique em Sim.
Etapa 3 – Atualizar o compartilhamento Sysvol
Atualize o compartilhamento Sysvol do controlador de domínio. Para fazer isso, siga estas etapas:
- Abra o compartilhamento Sysvol do controlador de domínio. Para fazer isso, clique em Iniciar, clique em Executar, digite \\Server_Name\Sysvol na caixa Abrir e pressione Enter.
- Se o compartilhamento Sysvol não for aberto, repita a Etapa 1 – Alterar o registro e a Etapa 2 – Reiniciar os serviços de Servidor e Estação de Trabalho .
- Repita a Etapa 1 – altere o registro e a Etapa 2 – Reinicie os serviços de Servidor e Estação de Trabalho em cada controlador de domínio afetado para garantir que cada controlador de domínio possa acessar seu próprio compartilhamento Sysvol.
Etapa 4 – Configurar as configurações da política SMB
Depois de se conectar ao compartilhamento Sysvol em cada controlador de domínio, abra o snap-in da Política de Segurança do Controlador de Domínio e configure as configurações da política de assinatura do SMB. Para fazer isso, siga estas etapas:
Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Política de Segurança do Controlador de Domínio.
No painel esquerdo, expanda Políticas Locais e clique em Opções de Segurança.
No painel direito, clique duas vezes no servidor de rede da Microsoft: assinar digitalmente comunicações (sempre).
Observação
No Windows 2000 Server, a configuração de política equivalente é comunicação de servidor de sinal digital (sempre).
Importante
Se você tiver computadores cliente na rede que não dão suporte à assinatura de SMB, não deverá habilitar o servidor de rede da Microsoft: assinar digitalmente a configuração da política de comunicações (sempre). Se você habilitar essa configuração, deverá ter assinatura de SMB para toda a comunicação do cliente e computadores cliente que não dão suporte à assinatura de SMB não poderão se conectar a outros computadores. Por exemplo, os clientes que estão executando o Apple Macintosh OS X ou o Microsoft Windows 95 não dão suporte à assinatura de SMB. Se sua rede incluir clientes que não dão suporte à assinatura de SMB, defina essa política como desabilitada.
Clique para selecionar a caixa Definir essa configuração de política marcar, clique em Habilitado e clique em OK.
Clique duas vezes no servidor de rede da Microsoft: assine digitalmente as comunicações (se o cliente concordar).
Observação
Para o Windows 2000 Server, a configuração de política equivalente é a comunicação do servidor de sinal digital (quando possível).
Clique para selecionar a caixa Definir essa configuração de política marcar e clique em Habilitado.
Clique em OK.
Clique duas vezes no cliente de rede da Microsoft: assinar digitalmente comunicações (sempre).
Clique para limpar a caixa Definir essa configuração de política marcar e clique em OK.
Clique duas vezes no cliente de rede da Microsoft: assine comunicações digitalmente (se o servidor concordar).
Clique para limpar a caixa Definir essa configuração de política marcar e clique em OK.
Etapa 5 – Executar o utilitário Política de Grupo Atualização
Execute o utilitário Política de Grupo Update (Gpupdate.exe) com o comutador de força. Para fazer isso, siga estas etapas:
Clique em Iniciar e em Executar.
Copie e cole (ou digite) o comando cmd na caixa Abrir e pressione Enter.
No prompt de comando, digite
gpupdate /forcee pressione Enter.Observação
O utilitário Política de Grupo Update não existe no Windows 2000 Server. No Windows 2000 Server, o comando equivalente é
secedit /refreshpolicy machine_policy /enforce.
Etapa 6 – Verificar o log de eventos do aplicativo
Depois de executar o utilitário Política de Grupo Update, marcar o log de eventos do aplicativo para verificar se as configurações de Política de Grupo foram atualizadas com êxito. Após uma atualização de Política de Grupo bem-sucedida, o controlador de domínio registra a ID do evento 1704. Para abrir o log de aplicativos no Visualizador de Eventos, siga estas etapas:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizador de Evento.
No painel esquerdo, clique em Aplicativo.
Clique duas vezes na ID do evento 1704 e confirme se a configuração Política de Grupo foi aplicada com êxito.
Observação
A origem do evento é o SceCli.
Etapa 7 – Verificar os valores do registro
Verifique os valores do registro que você alterou na Etapa 1 – Altere o registro para verificar se os valores do registro não foram alterados.
Observação
Essa etapa garante que uma configuração de política conflitante não seja aplicada em outro nível de OU (unidade organizacional ou grupo). Por exemplo, se a política cliente de rede da Microsoft: comunicações de sinal digital (se o servidor concordar) estiver configurada como "Não Definida" na Política de Segurança do Controlador de Domínio, mas essa mesma política estiver configurada como desabilitada na Política de Segurança de Domínio, a assinatura do SMB será desabilitada para o serviço workstation.
Etapa 8 – Verifique as configurações da política de assinatura do SMB usando o snap-in do RSoP (Conjunto Resultante de Política)
Se os valores do registro tiverem sido alterados depois que você executar o utilitário Política de Grupo Update, marcar as configurações da política de assinatura do SMB usando o snap-in RSoP no Windows Server 2003. Para fazer isso, siga estas etapas:
Clique em Iniciar, clique em Executar, digite rsop.msc na caixa Abrir e clique em OK.
No snap-in do RSoP, as configurações de assinatura do SMB estão localizadas no seguinte caminho: Configuração do Computador/Configurações do Windows/Configurações de Segurança/Políticas Locais/Opções de Segurança
Observação
Se você estiver executando o Windows 2000 Server, instale o utilitário Política de Grupo Update do Kit de Recursos do Servidor do Windows 2000 e digite o seguinte no prompt de comando:
gpresult /scope computer /vDepois de executar esse comando, a lista Objetos Política de Grupo Aplicados será exibida. Esta lista mostra todos os objetos Política de Grupo aplicados à conta do computador. Verifique as configurações da política de assinatura de SMB para todos esses objetos Política de Grupo.
Recursos adicionais
Esse comportamento ocorrerá se as configurações de assinatura de SMB para o serviço workstation e para o serviço server se contradizem. Quando você configura o controlador de domínio dessa forma, o serviço workstation no controlador de domínio não pode se conectar ao compartilhamento Sysvol do controlador de domínio. Portanto, você não pode iniciar Política de Grupo snap-ins. Além disso, se as políticas de assinatura de SMB forem definidas pela política de segurança padrão do controlador de domínio, o problema afetará todos os controladores de domínio na rede. Portanto, Política de Grupo replicação no serviço de diretório do Active Directory falhará e você não poderá editar Política de Grupo para desfazer essas configurações.
Cenário 1 – Se você executar a ferramenta de diagnóstico do controlador de domínio (DcDiag.exe), receberá erros semelhantes aos seguintes para o Windows 2000 Server e para o Windows Server 2003
Teste inicial: MachineAccount
Não foi possível abrir o pipe com [SERVERNAME]:falhou com 5: O acesso foi negado.
Não foi possível obter NetBIOSDomainName
Falha não pode testar o HOST SPN
Falha não pode testar o HOST SPN
* SPN ausente :(null)
* SPN ausente :(null)
......................... MachineAccount de teste com falha do SERVERNAME
Teste inicial: Serviços
Não foi possível abrir o ipc remoto para [SERVERNAME]:falha com 5: o acesso foi negado.
......................... ServerNAME falhou no teste Serviços
Teste inicial: ObjectsReplicated
......................... SERVERNAME passou no teste ObjetosReplicado
Teste inicial: frssysvol
[SERVERNAME] Uma operação de uso líquido ou LsaPolicy falhou com o erro 5, o Access é negado..
......................... Falha no teste servername frssysysvol
Teste inicial: frsevent
......................... Frsevent de teste com falha do SERVERNAME
Teste inicial: kccevent
Falha ao enumerar registros de log de eventos, erro O acesso é negado.
......................... Kccevent de teste com falha do SERVERNAME
Teste inicial: systemlog
Falha ao enumerar registros de log de eventos, erro O acesso é negado.
......................... Systemlog de teste com falha do SERVERNAME
Cenário 2 – Se você executar a ferramenta de diagnóstico do controlador de domínio, receberá erros semelhantes aos seguintes para o Windows 2000 Server e para o Windows Server 2003
Servidor de teste: Default-First-Site-Name\SERVERNAME
Teste inicial: Replicações
......................... SERVERNAME passou no teste Replicações
Teste inicial: NCSecDesc
......................... SERVERNAME passou no teste NCSecDesc
Teste inicial: NetLogons
[SERVERNAME] Uma operação de uso líquido ou LsaPolicy falhou com o erro 1240, a conta não está autorizada a fazer logon nesta estação..
......................... FALHA NO SERVERNAME teste NetLogons
Teste inicial: Publicidade
......................... SERVERNAME passou no teste Publicidade
Teste inicial: KnowsOfRoleHolders
......................... SERVERNAME passou no teste KnowsOfRoleHolders
Teste inicial: RidManager
......................... SERVERNAME passou no teste RidManager
Teste inicial: MachineAccount
Não foi possível abrir o pipe com [SERVERNAME]:falha com 1240: a conta não está autorizada a fazer logon nesta estação.
Não foi possível obter NetBIOSDomainName
Falha não pode testar o HOST SPN
Falha não pode testar o HOST SPN
* SPN ausente :(null)
* SPN ausente :(null)
......................... MachineAccount de teste com falha do SERVERNAME
Teste inicial: Serviços
Não foi possível abrir o ipc remoto para [SERVERNAME]:falha com 1240: a conta não está autorizada a fazer logon nesta estação.
......................... ServerNAME falhou no teste Serviços
Teste inicial: ObjectsReplicated
......................... SERVERNAME passou no teste ObjetosReplicado
Teste inicial: frssysvol
[SERVERNAME] Uma operação de uso líquido ou LsaPolicy falhou com o erro 1240, a conta não está autorizada a fazer logon nesta estação..
......................... Falha no teste servername frssysysvol
Teste inicial: frsevent
......................... Frsevent de teste com falha do SERVERNAME
Teste inicial: kccevent
Falha ao enumerar registros de log de eventos, erro A conta não está autorizada a fazer logon nesta estação. ......................... Kccevent de teste com falha do SERVERNAME
Teste inicial: systemlog
Falha ao enumerar registros de log de eventos, erro A conta não está autorizada a fazer logon nesta estação. ......................... Systemlog de teste com falha do SERVERNAME
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários