Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Se você é um cliente do Small Business, procure por recursos de solução de problemas e aprendizagem adicionais no site Suporte do Small Business
(http://smallbusiness.support.microsoft.com)
.
Não é possível abrir arquivos compartilhados ou snap-ins de Diretiva de Grupo em um controlador de domínio do Windows Server 2003 ou em um controlador de domínio do Windows 2000 Server. Ao fazer o logon localmente e tenta abrir compartilhamentos no controlador de domínio, você recebe solicitações repetidas de senha e não pode abrir os compartilhamentos. É possível resolver esse problema alterando o Registro.
Aviso O uso incorreto do Editor do Registro ou de outro método poderá causar sérios problemas no Registro. Esses problemas poderão exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor de Registro possam ser solucionados. Todo e qualquer risco decorrente da modificação do registro é da responsabilidade do usuário.
Ao tentar abrir os snap-ins de Diretiva de Grupo no controlador de domínio, você recebe uma mensagem de erro semelhante a seguinte:
Você não tem permissões para executar esta operação. Acesso negado.
O controlador de domínio registra os seguintes eventos no log de eventos de aplicativo a cada 5 minutos:
Tipo de evento: Erro Fonte do evento: Userenv Categoria: Nenhuma Identificação do evento: 1058 Usuário: SISTEMA/AUTORIDADE NT Descrição: O Windows não pode acessar o arquivo gpt.ini para GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domain_Name,DC=com. O arquivo deve estar presente no local <\\Nome_do_domínio.com\sysvol\Nome_do_domínio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Acesso negado). Processamento da diretiva de grupo anulado.
Tipo de evento: Erro Fonte do evento: Userenv Categoria do evento: Nenhuma Identificação do Evento: 1030 Usuário: NT AUTHORITY\SYSTEM Descrição: O Windows não pode consultar a lista de objetos de diretiva de grupo. Verifique o log de eventos em busca de possíveis mensagens registradas anteriormente pelo mecanismo de diretiva que descreve o motivo do problema.
Ao fazer o logon localmente e tenta abrir compartilhamentos no controlador de domínio, você recebe solicitações repetidas de senha e não pode abrir os compartilhamentos.
Ao tentar abrir os snap-ins de Diretiva de Grupo no controlador de domínio, você recebe uma mensagem de erro semelhante a seguinte:
Você não tem permissões para executar esta operação.
Acesso negado.
O controlador de domínio faz logon no seguinte evento no log de eventos de aplicativo:
Tipo de evento: Erro Fonte do evento: Userenv Categoria do evento: Nenhuma Br/>Usuário: NT AUTHORITY\SYSTEM Descrição: O Windows não pode acessar as informações de Registro em \\Nome_do_domínio.com\sysvol\Nome_do_domínio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol com (5).
Ao fazer o logon localmente e tenta abrir compartilhamentos no controlador de domínio, você recebe solicitações repetidas de senha e não pode abrir os compartilhamentos.
Falha ao abrir o objeto de diretiva de grupo. Talvez você não tenha os direitos apropriados.
A conta não está autorizada a efetuar logon a partir desta estação.
Em um rastreamento de rede, se a assinatura SMB está habilitada, é solicitada ao cliente e está desabilitada no servidor, a conexão para a sessão TCP é fechada normalmente após a Negociação de Dialeto e o cliente recebe o seguinte erro:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
O controlador de domínio registra os seguintes eventos no log de eventos do aplicativo a cada cinco minutos:
Tipo de evento: Erro
Fonte do evento: Userenv
Categoria do evento: Nenhuma
Identificação do Evento: 1058
Usuário: NT AUTHORITY\SYSTEM
Descrição:
O Windows não pode acessar o arquivo gpt.ini para GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domain_Name,DC=com. O arquivo deve estar presente no local <\\Nome_do_domínio.com\sysvol\Nome_do_domínio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Acesso negado.) Processamento da diretiva de grupo anulado.
Tipo de evento: Erro
Fonte do evento: Userenv
Categoria do evento: Nenhuma
Identificação do Evento: 1030
Usuário: NT AUTHORITY\SYSTEM
Descrição:
O Windows não pode consultar a lista de objetos de Diretiva de Grupo. Verifique o log de eventos para possíveis mensagens registradas anteriormente pelo mecanismo de diretiva que descreve os motivos para isto.
Ao fazer o logon localmente e tentar abrir compartilhamentos no controlador de domínio, você recebe uma mensagem de erro semelhante a seguinte:
\\Server_Name\Share_Name não está disponível. Talvez você não tenha permissão para usar este recurso de rede. Contate o administrador deste servidor para saber se você tem permissões de acesso.
A conta não está autorizada a efetuar logon por esta estação.
Observação Em um rastreamento de rede, se a assinatura SMB está habilitada, se uma assinatura SMB é solicitada ao cliente e está desabilitada no servidor, a conexão para a sessão TCP é fechada normalmente após a negociação de dialeto. Além disso, o cliente recebe a seguinte mensagem de erro:
Ao tentar abrir os snap-ins de Diretiva de Grupo no controlador de domínio, você recebe uma mensagem de erro semelhante a seguinte:
Falha ao abrir o Objeto de Diretiva de Grupo. Talvez você não tenha os direitos apropriados.
A conta não está autorizada a efetuar logon por esta estação.
O controlador de domínio registra o seguinte evento no log de eventos do aplicativo:
Tipo de evento: Erro Fonte do evento: Userenv Categoria do evento: Nenhuma Identificação do Evento: 1000 Br/>Usuário: NT AUTHORITY\SYSTEM Descrição: O Windows não pode acessar as informações de Registro em \\Nome_do_domínio.com\sysvol\Nome_do_domínio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol com (1240).
Ao fazer o logon localmente e tentar abrir compartilhamentos no controlador de domínio, você recebe uma mensagem de erro semelhante a seguinte:
\\Server_Name\Share_Name não está disponível.
A conta não está autorizada a efetuar logon por esta estação.
Observação Em um rastreamento de rede, se a assinatura SMB está habilitada, se uma assinatura SMB é solicitada ao cliente e está desabilitada no servidor, a conexão para a sessão TCP é fechada normalmente após a negociação de dialeto. Além disso, o cliente recebe a seguinte mensagem de erro:
Para resolver esse comportamento, siga estas etapas:
Recolher esta imagemExpandir esta imagem
IMPORTANTE Esta seção, este método ou esta tarefa contém etapas que descrevem como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer o backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows XP
(http://support.microsoft.com/kb/322756/pt-br)
.
Após alterar os valores do Registro, reinicie o serviço do Servidor e o serviço da Estação de Trabalho.
Recolher esta imagemExpandir esta imagem
IMPORTANTE Não reinicie o controlador de domínio, pois esta ação pode fazer com que a Diretiva de Grupo altere os valores do Registro de volta para os valores anteriores.
Para reiniciar o serviço do Servidor e o serviço da Estação de Trabalho, siga estas etapas:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique com o botão direito do mouse em Servidor e clique em Reiniciar.
Recolher esta imagemExpandir esta imagem
Clique com o botão direito do mouse em Estação de Trabalho e clique em Reiniciar.
Observação Se você for solicitado a reiniciar outros serviços, clique em Sim.
Atualizar o compartilhamento Sysvol do controlador de domínio. Para fazer isto, siga estas etapas:
Abra o controlador de domínio do compartilhamento Sysvol. Para fazer isto, clique em Iniciar, em Executar, digite \\Nome_do_servidor\Sysvol na caixa Abrir e pressione Enter.
Se o compartilhamento Sysvol não abrir, repita a Etapa 1 - Alterar o Registro e a Etapa 2 - Reiniciar os serviços do Servidor e da Estação de Trabalho.
Repita a Etapa 1 - Alterar o Registro e a Etapa 2 - Reiniciar os serviços do Servidor e da Estação de Trabalho em cada controlador de domínio afetado para garantir que cada controlador de domínio possa acessar seu próprio compartilhamentos Sysvol.
Após se conectar ao compartilhamento Sysvol em cada controlador de domínio, abra o snap-in de Diretiva de Segurança do Controlador de Domínio e defina as configurações da diretiva de assinatura SMB. Para fazer isto, siga estas etapas:
Clique em Iniciar, aponte para Programas e para Ferramentas administrativas e clique em Diretiva de segurança de controlador de domínio.
No painel à esquerda, expanda Diretivas locais e clique em Opções de segurança.
No painel à direita, clique duas vezes em Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre).
Observação No Windows 2000 Server, a configuração de diretiva equivalente é assinar digitalmente a comunicação do servidor (sempre).
Recolher esta imagemExpandir esta imagem
Importante Se você possui computadores clientes na rede que não têm suporte para a assinatura SMB, não deve habilitar a configuração da diretiva Servidor de rede Microsoft: Assinar a comunicação digitalmente (sempre). Se você habilita esta configuração, deve ter a assinatura SMB para todas as comunicações de cliente e os computadores clientes que não têm suporte para a assinatura SMB não poderão conectar-se a outros computadores. Por exemplo, os clientes que estão executando o Apple Macintosh OS X ou o Microsoft Windows 95 não são compatíveis com a assinatura SMB. Se a rede incluir clientes que não são compatíveis com a assinatura SMB, defina esta diretiva para desabilitada.
Recolher esta imagemExpandir esta imagem
Marque a caixa de seleção Definir a configuração dessa diretiva, clique em Ativada e em OK.
Recolher esta imagemExpandir esta imagem
Clique duas vezes em Servidor de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar).
Observação No Windows 2000 Server, a configuração de diretiva equivalente é Assinar digitalmente a comunicação do servidor (quando for possível).
Marque a caixa de seleção Definir a configuração dessa diretiva e clique em Ativada.
Clique em OK.
Clique duas vezes em Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre).
Desmarque a caixa de seleção Definir a configuração dessa diretiva e clique em OK.
Recolher esta imagemExpandir esta imagem
Clique duas vezes em Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar).
Desmarque a caixa de seleção Definir a configuração dessa diretiva e clique em OK.
Observação O utilitário Atualização da Diretiva de Grupo não existe no Windows 2000 Server. No Windows 2000 Server, o comando equivalente é secedit /refreshpolicy machine_policy /enforce.
Após executar o utilitário de Atualização de Diretivas de Grupo, verifique o log de eventos do aplicativo para verificar se as configurações de Diretiva de Grupo foram atualizadas com êxito. Após uma atualização bem sucedida da Diretiva de Grupo, o controlador de domínio registra o evento ID 1704. Para abrir o log de Aplicativos no Visualizador de Eventos, siga estas etapas:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizador de Eventos.
No painel à esquerda, clique em Aplicativos.
Recolher esta imagemExpandir esta imagem
Clique duas vezes no evento ID 1704 e confirme se a configuração da Diretiva de Grupo foi aplicada com êxito.
Verifique os valores do Registro alterados na Etapa 1 - Alterar o Registro para garantir que os valores do Registro não foram alterados.
Observação Essa etapa verifica se a configuração da diretiva conflitante não é aplicada a outro nível de grupo ou unidade organizacional. Por exemplo, se o cliente de rede Microsoft: A diretiva de comunicações assinadas digitalmente (se o servidor concordar) está configurada como "Não Definido" na Diretiva Segurança de Controlador de Domínio, mas essa mesma diretiva está configurada como desabilitada na Diretiva Segurança de Domínio, a assinatura SMB será desabilitada para o serviço da Estação de Trabalho.
Se os valores do Registro foram alterados após executar o utilitário Atualização de diretiva de grupo, verifique as configurações da diretiva de assinatura SMB usando o snap-in RSoP no Windows Server 2003. Para fazer isso, siga estas etapas:
Clique em Iniciar, em Executar, digite rsop.msc na caixa Abrir e clique em OK.
Recolher esta imagemExpandir esta imagem
No snap-in RSoP, as configurações de assinatura SMB estão localizadas no seguinte caminho:
Observação Se você está executando o Windows 2000 Server, instale o utilitário Atualização da Diretiva de Grupo pelo Windows 2000 Server Resource Kit e digite o seguinte no prompt de comando:
gpresult /scope computer /v
Após executar este comando, a lista Objetos de Diretiva de Grupo Aplicados aparece. Esta lista mostra todos os Objetos de Diretiva de Grupo aplicados à conta do computador. Verifique as configurações de diretiva da assinatura SMB para todos esses Objetos de Diretiva de Grupo.
Esse comportamento ocorre se as configurações de assinatura SMB para o serviço de Estação de Trabalho e para o serviço Servidor forem contraditórias. Ao configurar o controlador de domínio dessa forma, o serviço Estação de Trabalho no controlador de domínio não poderá se conectar ao controlador de domínio do compartilhamento Sysvol. Por isso, não é possível iniciar os snap-ins de Diretiva de Grupo. Além disso, se as diretivas de assinatura SMB são definidas pela diretiva de segurança de controlador de domínio padrão, o problema poderá afetar todos os controladores de domínio na rede. Portanto, a replicação de Diretiva de Grupo no serviço de diretório do Active Directory irá falhar e não será possível editar a Diretiva de Grupo para desfazer essas configurações.
Iniciando teste: Conta_da_Máquina
Não foi possível abrir o pipe com [NOME_DO_SERVIDOR]:falha com 5: Acesso negado.
Não foi possível obter NetBIOSDomainName
Falha: Não é possível testar SPN de HOST
Falha: Não é possível testar SPN de HOST
* SPN não encontrado :(nulo)
* SPN ausente: (nulo)
......................... Conta_da_Máquina de teste com falha do NOME_DO_SERVIDOR
Iniciando teste: Serviços
Não foi possível abrir o IPC remoto para [NOME_DO_SERVIDOR]:falha com 5: Acesso negado.
......................... Serviços de testes com falha NOME_DO_SERVIDOR
Iniciando teste: ObjectsReplicated
......................... ObjectsReplicated de teste passou NOME_DO_SERVIDOR
Iniciando teste: frssysvol
[NOME_DO_SERVIDOR] Falha no uso da rede ou na operação LsaPolicy. Erro 5, Acesso negado.
......................... frssysvol de teste com falha do NOME_DO_SERVIDOR
Iniciando teste: frsevent
......................... frsevent de teste com falha do NOME_DO_SERVIDOR
Iniciando teste: kccevent
Falha ao enumerar os registros de log de eventos, erro Acesso negado.
......................... kccevent de teste com falha do NOME_DO_SERVIDOR
Iniciando teste: systemlog
Falha ao enumerar os Registros do log de eventos, erro Acesso negado.
......................... systemlog de teste com falha do NOME_DO_SERVIDOR
testando servidor: Nome do primeiro site padrão\NOME_DO_SERVIDOR
Iniciando teste: Replicações
......................... Replicações de teste passou NOME_DO_SERVIDOR
Iniciando teste: NCSecDesc
......................... NCSecDesc de teste passou NOME_DO_SERVIDOR
Iniciando teste: NetLogons
[NOME_DO_SERVIDOR] Falha no uso da rede ou na operação LsaPolicy. Erro 1240, A conta não está autorizada a efetuar logon a partir desta estação.
......................... NetLogons de testes com falha NOME_DO_SERVIDOR
Iniciando teste: Aviso
......................... Aviso de teste passou NOME_DO_SERVIDOR
Iniciando teste: KnowsOfRoleHolders
......................... KnowsOfRoleHolders de teste passou NOME_DO_SERVIDOR
Iniciando teste: RidManager
......................... RidManager de teste passou NOME_DO_SERVIDOR
Iniciando teste: MachineAccount
Não foi possível abrir o pipe com [NOME_DO_SERVIDOR]:falha com 1240: A conta não está autorizada a efetuar logon a partir desta estação.
Não foi possível obter o NetBIOSDomainName
Falha: Não é possível testar SPN de HOST
Falha: Não é possível testar SPN de HOST
* SPN ausente: (nulo)
* SPN ausente: (nulo)
......................... SERVERNAME falhou no teste MachineAccount
Iniciando teste: Serviços
Não foi possível abrir o IPC remoto para [NOME_DO_SERVIDOR]:falha com 1240: A conta não está autorizada a efetuar logon a partir desta estação.
......................... Serviços de teste falharam no SERVERNAME
Iniciando teste: ObjectsReplicated
......................... SERVERNAME passou no teste ObjectsReplicated
Iniciando teste: frssysvol
[SERVERNAME] Uma operação de diretiva LSA e uso de rede falhou com o erro 1240, A conta não está autorizada para fazer o login por essa estação.
......................... SERVERNAME falhou teste frssysvol
Iniciando teste: frsevent
......................... SERVERNAME falhou teste frsevent
Iniciando teste: kccevent
Falha ao enumerar os registros de log de eventos. Erro A conta não está autorizada a efetuar logon nesta estação. ......................... kccevent de teste com falha do NOME_DO_SERVIDOR
Iniciando teste: systemlog
Falha ao enumerar os registros de log de eventos. Erro A conta não está autorizada a efetuar logon nesta estação. ......................... systemlog de teste com falha do NOME_DO_SERVIDOR
Quanto esforço foi necessário para seguir os procedimentos deste artigo?
Muito baixo
Baixo
Moderado
Alto
Muito alto
Diga-nos o porque e o que podemos fazer para melhorar esta informação
Obrigado! Seus comentários são usados para nos ajudar a aperfeiçoar o conteúdo de suporte. Para obter mais opções de ajuda, visite a Home Page de Ajuda e Suporte.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Voltar para o início
