Des erreurs Userenv se produisent et les événements sont enregistrés après l’application de stratégie de groupe aux ordinateurs exécutant Windows Server 2003, Windows XP ou Windows 2000

  • Article

Cet article fournit une solution aux problèmes où les ordinateurs de votre réseau ne peuvent pas se connecter aux objets stratégie de groupe (GPO) dans les dossiers Sysvol sur vos contrôleurs de domaine réseau.

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 887303

Résumé

Vous pouvez rencontrer une ou plusieurs erreurs et événements si stratégie de groupe est appliqué aux ordinateurs de votre réseau. Pour déterminer la cause du problème, vous devez résoudre les problèmes de configuration des ordinateurs de votre réseau. Procédez comme suit pour résoudre la cause du problème :

  1. Examinez les paramètres DNS et les propriétés réseau sur les serveurs et les ordinateurs clients.
  2. Examinez les paramètres de signature du bloc de messages du serveur sur les ordinateurs clients.
  3. Assurez-vous que le service Tcp/IP NetBIOS Helper, le service Net Logon et le service d’appel de procédure distante (RPC) sont démarrés sur tous les ordinateurs.
  4. Assurez-vous que le système de fichiers distribués (DFS) est activé sur tous les ordinateurs.
  5. Examinez le contenu et les autorisations du dossier Sysvol.
  6. Assurez-vous que le droit de vérification du parcours de contournement est accordé aux groupes requis.
  7. Assurez-vous que les contrôleurs de domaine ne sont pas dans un état d’habillage de journal.
  8. Exécutez la commande dfsutil /purgemupcache.

Symptômes

Vous rencontrez un ou plusieurs des symptômes suivants sur un ordinateur exécutant Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000 :

  • stratégie de groupe paramètres ne sont pas appliqués aux ordinateurs.

  • stratégie de groupe réplication n’est pas terminée entre les contrôleurs de domaine sur le réseau.

  • Vous ne pouvez pas ouvrir stratégie de groupe composants logiciels enfichables. Par exemple, vous ne pouvez pas ouvrir le composant logiciel enfichable Stratégie de sécurité du contrôleur de domaine ou le composant logiciel enfichable Stratégie de sécurité du domaine.

  • Si vous essayez d’ouvrir un composant logiciel enfichable stratégie de groupe, vous recevez l’un des messages d’erreur suivants :

    Échec de l’ouverture de l’objet stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.
    Détails : le compte n’est pas autorisé à se connecter à partir de cette station.

    Vous n’êtes pas autorisé à effectuer cette opération.
    Détails : l’accès est refusé.

    Échec de l’ouverture de l’objet stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.
    Détails : le système ne peut pas trouver le chemin spécifié.

  • Si vous essayez d’accéder aux fichiers partagés sur un contrôleur de domaine, vous recevez un message d’erreur. Ce symptôme se produit même si vous êtes connecté au serveur et que vous essayez d’accéder à un partage local. Plus précisément, ce symptôme peut affecter l’accès au partage Sysvol d’un contrôleur de domaine.

  • Si vous essayez d’accéder à un partage de fichiers, vous êtes invité à entrer un mot de passe à plusieurs reprises.

  • Si vous essayez d’accéder à un partage de fichiers, vous recevez un message d’erreur similaire à l’un des messages d’erreur suivants :

    \\Server_name\Share_Name n’est pas accessible. Vous ne disposez peut-être pas des autorisations nécessaires pour utiliser cette ressource réseau. Contactez l’administrateur de ce serveur pour savoir si vous disposez des autorisations d’accès.
    Le compte n’est pas autorisé à se connecter à partir de cette station.

    \\Server_name\Share_Name n’est pas accessible.
    Le compte n’est pas autorisé à se connecter à partir de cette station.

    Le chemin réseau n’a pas été trouvé.

Si vous affichez le journal de l’application dans observateur d'événements sur Windows XP ou Windows Server 2003, vous voyez des événements similaires aux événements suivants :

Type d'événement : Erreur

Source de l’événement : Userenv
Catégorie d’événement : Aucun
ID d’événement : 1058

Date : Date
Temps:
Time
Utilisateur:
User_name
Ordinateur:
Computer_Name
Description : Windows ne peut pas accéder au fichier gpt.ini pour l’objet de stratégie de groupe CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com . Le fichier doit être présent à l’emplacement <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Error_Message). stratégie de groupe le traitement a été abandonné. Pour plus d’informations, consultez Le Centre d’aide et de support à l’adresse https://support.microsoft.com.

Le message d’erreur qui apparaît dans l’espace réservé Error_Message dans l’ID d’événement 1058 peut être l’un des messages d’erreur suivants :

  • Le chemin réseau n’a pas été trouvé.

  • L’accès est refusé.

  • Les informations de configuration n’ont pas pu être lues à partir du contrôleur de domaine, soit parce que la machine n’est pas disponible ou que l’accès a été refusé.

Type d'événement : Erreur
Source de l’événement : Userenv
Catégorie d’événement : Aucun
ID d’événement : 1030
Date:
Date
Temps:
Time
Utilisateur:
User_name
Ordinateur:
Computer_Name
Description : Windows ne peut pas interroger la liste des objets stratégie de groupe. Message décrivant la raison pour laquelle cela a été précédemment enregistré par le moteur de stratégie. Pour plus d’informations, consultez Le Centre d’aide et de support à l’adresse https://support.microsoft.com.

En règle générale, si l’ID d’événement 1058 et l’ID d’événement 1030 se produisent, ils sont enregistrés par les ordinateurs clients et les serveurs membres au démarrage de l’ordinateur. Les contrôleurs de domaine consignent ces événements toutes les cinq minutes.

Si vous affichez le journal des applications dans observateur d'événements sur un ordinateur Windows 2000, vous voyez des événements similaires aux événements suivants :

Type d'événement : Erreur
Source de l’événement : Userenv

Catégorie d’événement : Aucun
ID d’événement : 1000
Date:
Date
Temps:
Time
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur:
Computer_Name
Description : Windows ne peut pas accéder aux informations du Registre dans \\ nom_domaine.com\sysvol\nom_domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol with (Error_Code).

Le code d’erreur qui apparaît dans l’espace réservé Error_Code dans l’ID d’événement 1000 peut être l’un des codes d’erreur suivants :

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Cause

Ces problèmes se produisent si les ordinateurs qui se trouvent sur votre réseau ne peuvent pas se connecter à certains objets stratégie de groupe. Plus précisément, ces objets se trouvent dans les dossiers Sysvol sur les contrôleurs de domaine de votre réseau.

Résolution

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Veillez donc à suivre attentivement ces étapes. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Pour résoudre ce problème, vous devez résoudre les problèmes de configuration de votre réseau afin de limiter la cause du problème, puis corriger la configuration. Pour résoudre la cause possible de ce problème, procédez comme suit :

Étape 1 : Examiner les paramètres DNS et les propriétés réseau sur les serveurs et les ordinateurs clients

Dans les propriétés de connexion de la zone locale, client pour réseaux Microsoft doit être activé sur tous les serveurs et ordinateurs clients. Le composant Partage de fichiers et d’imprimantes pour les réseaux Microsoft doit être activé sur tous les contrôleurs de domaine.

En outre, chaque ordinateur du réseau doit utiliser des serveurs DNS capables de résoudre les enregistrements SRV et les noms d’hôte pour la forêt Active Directory dont l’ordinateur est membre. En règle générale, une erreur de configuration courante est que les ordinateurs clients utilisent les serveurs DNS qui appartiennent à votre fournisseur de services Internet (ISP).

Sur tous les ordinateurs qui ont enregistré les erreurs Userenv, examinez les paramètres DNS et les propriétés réseau. En outre, case activée ces paramètres sur tous les contrôleurs de domaine, qu’ils enregistrent ou non les erreurs Userenv.

Pour vérifier les paramètres DNS et les propriétés réseau sur les ordinateurs Windows XP de votre réseau, procédez comme suit :

  1. Sélectionnez Démarrer, puis Panneau de configuration.
  2. Si Panneau de configuration est défini sur Mode Catégorie, sélectionnez Basculer vers l’affichage classique.
  3. Double-cliquez sur Network Connections, cliquez avec le bouton droit sur Connexion à la zone locale, puis sélectionnez Propriétés.
  4. Sous l’onglet Général, cliquez pour sélectionner la zone Client pour les réseaux Microsoft case activée.
  5. Sélectionnez Protocole Internet (TCP/IP), puis Propriétés.
  6. Si l’option Utiliser les adresses de serveur DNS suivantes est sélectionnée, vérifiez que les adresses IP des serveurs DNS préférés et secondaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d’hôtes dans Active Directory. Plus précisément, l’ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre isp. Si les adresses du serveur DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS appropriés dans les zones Serveur DNS préféré et Serveur DNS secondaire .
  7. Sélectionnez Avancé, puis sélectionnez l’onglet DNS .
  8. Cliquez pour sélectionner la zone Inscrire les adresses de cette connexion dans dns case activée, puis sélectionnez OK trois fois.
  9. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd, puis sélectionnez OK.
  10. Tapez ipconfig /flushdns, puis appuyez sur Entrée. Tapez ipconfig /registerdns, puis appuyez sur Entrée.
  11. Redémarrez l’ordinateur pour que vos modifications prennent effet.

Pour vérifier les paramètres DNS et les propriétés réseau sur les ordinateurs Windows 2000 de votre réseau, procédez comme suit :

  1. Sélectionnez Démarrer, pointez sur Paramètres, puis sélectionnez Panneau de configuration.

  2. Double-cliquez sur Réseau et Connections d’accès à distance.

  3. Cliquez avec le bouton droit sur Connexion à la zone locale, puis sélectionnez Propriétés.

  4. Sous l’onglet Général, cliquez pour sélectionner la zone Client pour les réseaux Microsoft case activée.

  5. Si l’ordinateur est un contrôleur de domaine, cliquez pour sélectionner la zone Partage de fichiers et d’imprimantes pour les réseaux Microsoft case activée.

    Remarque

    Sur les serveurs d’accès à distance multirés résidentiels et les serveurs basés sur un serveur Microsoft Internet Security and Acceleration (ISA), vous pouvez désactiver le composant Partage de fichiers et d’imprimantes pour les réseaux Microsoft pour l’adaptateur réseau connecté à Internet. Toutefois, le composant Client pour les réseaux Microsoft doit être activé pour tous les adaptateurs réseau du serveur.

  6. Sélectionnez Protocole Internet (TCP/IP), puis cliquez sur Propriétés.

  7. Si l’option Utiliser les adresses de serveur DNS suivantes est sélectionnée, vérifiez que les adresses IP des serveurs DNS préférés et secondaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d’hôtes dans Active Directory. Plus précisément, l’ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre isp. Si les adresses du serveur DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS appropriés dans les zones Serveur DNS préféré et Serveur DNS secondaire .

  8. Sélectionnez Avancé, puis sélectionnez l’onglet DNS .

  9. Cliquez pour sélectionner la zone Inscrire les adresses de cette connexion dans dns case activée, puis sélectionnez OK trois fois.

  10. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.

  11. Tapez ipconfig /flushdns, puis appuyez sur Entrée. Tapez ipconfig /registerdns, puis appuyez sur Entrée.

  12. Redémarrez l'ordinateur.

Pour vérifier les paramètres DNS et les propriétés réseau sur les ordinateurs Windows Server 2003 de votre réseau, procédez comme suit :

  1. Sélectionnez Démarrer, pointez sur Panneau de configuration, puis double-cliquez sur Connections réseau.

  2. Cliquez avec le bouton droit sur la connexion de zone locale, puis sélectionnez Propriétés.

  3. Sous l’onglet Général, cliquez pour sélectionner la zone Client pour les réseaux Microsoft case activée.

  4. Si l’ordinateur est un contrôleur de domaine, cliquez pour sélectionner la zone Partage de fichiers et d’imprimantes pour les réseaux Microsoft case activée.

    Remarque

    Sur les serveurs d’accès à distance multirés homed et les serveurs ISA Server, vous pouvez désactiver le composant Partage de fichiers et d’imprimantes pour les réseaux Microsoft pour l’adaptateur réseau connecté à Internet. Toutefois, le composant Client pour les réseaux Microsoft doit être activé pour tous les adaptateurs réseau du serveur.

  5. Sélectionnez Protocole Internet (TCP/IP), puis Propriétés.

  6. Si l’option Utiliser les adresses de serveur DNS suivantes est sélectionnée, vérifiez que les adresses IP des serveurs DNS préférés et secondaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d’hôtes dans Active Directory. Plus précisément, l’ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre isp. Si les adresses du serveur DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS appropriés dans les zones Serveur DNS préféré et Serveur DNS secondaire .

  7. Sélectionnez Avancé, puis sélectionnez l’onglet DNS .

  8. Cliquez pour sélectionner la zone Inscrire les adresses de cette connexion dans dns case activée, puis sélectionnez OK trois fois.

  9. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd, puis sélectionnez OK.

  10. Tapez ipconfig /flushdns, puis appuyez sur Entrée. Tapez ipconfig /registerdns, puis appuyez sur Entrée.

  11. Redémarrez l’ordinateur pour que vos modifications prennent effet.

Si les ordinateurs clients de votre réseau sont configurés pour obtenir automatiquement leurs adresses IP, assurez-vous que l’ordinateur qui exécute le service DHCP affecte les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d’hôtes dans Active Directory.

Pour déterminer les adresses IP qu’un ordinateur utilise pour DNS, procédez comme suit :

  1. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
  2. Tapez ipconfig /all, puis appuyez sur Entrée.
  3. Notez les entrées DNS répertoriées à l’écran.

Si les ordinateurs configurés pour obtenir automatiquement des adresses IP n’utilisent pas les serveurs DNS appropriés, consultez la documentation de votre serveur DHCP pour plus d’informations sur la configuration de l’option serveurs DNS. En outre, assurez-vous que chaque ordinateur peut résoudre l’adresse IP du domaine. Pour ce faire, tapez ping Your_Domain_Name. Your_Domain_Root à une invite de commandes, puis appuyez sur Entrée. Au lieu de cela, tapez nslookup Your_Domain_Name. Your_Domain_Root, puis appuyez sur Entrée.

Remarque

Il est prévu que ce nom d’hôte soit résolu en adresse IP de l’un des contrôleurs de domaine sur le réseau. Si l’ordinateur ne peut pas résoudre ce nom, ou si le nom est résolu en une adresse IP incorrecte, assurez-vous que la zone de recherche directe pour le domaine contient des enregistrements hôtes (A) valides (identiques au dossier parent).

Pour vous assurer que la zone de recherche directe du domaine contient des enregistrements hôtes ( A) valides (identiques au dossier parent) sur un ordinateur Windows 2000, procédez comme suit :

  1. Sur un contrôleur de domaine qui exécute DNS, sélectionnez Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez DNS.

  2. Développez Your_Server_Name, zones de recherche directe, puis sélectionnez la zone de recherche directe pour votre domaine.

  3. Recherchez les enregistrements hôtes (A) (identiques au dossier parent).

  4. Si un enregistrement Hôte (A) (identique au dossier parent) n’existe pas, procédez comme suit pour en créer un :

    1. Dans le menu Action , sélectionnez Nouvel hôte.
    2. Dans la zone Adresse IP , tapez l’adresse IP de l’adaptateur réseau local du contrôleur de domaine.
    3. Cliquez pour sélectionner la zone Créer un enregistrement de pointeur associé (PTR) case activée, puis sélectionnez Ajouter un hôte.
    4. Lorsque vous recevez le message suivant, sélectionnez Oui :

      (identique au dossier parent) n’est pas un nom d’hôte valide. Voulez-vous vraiment ajouter cet enregistrement ?

  5. Double-cliquez sur l’enregistrement Hôte (A) (identique au dossier parent ).

  6. Vérifiez que l’adresse IP correcte est répertoriée dans la zone Adresse IP .

  7. Si l’adresse IP dans la zone Adresse IP n’est pas valide, tapez l’adresse IP correcte dans la zone Adresse IP , puis sélectionnez OK.

  8. Au lieu de cela, vous pouvez supprimer l’enregistrement hôte (identique au dossier parent) (A) qui contient une adresse IP qui n’est pas valide. Pour supprimer l’enregistrement hôte (identique au dossier parent) (A), cliquez dessus avec le bouton droit, puis sélectionnez Supprimer.

  9. Si le serveur DNS est un contrôleur de domaine qui est également un serveur de routage et d’accès à distance, consultez Résolution de noms et problèmes de connectivité sur un serveur de routage et d’accès à distance qui exécute également DNS ou WINS.

  10. Sur tous les ordinateurs où vous ajoutez, supprimez ou modifiez des enregistrements DNS, tapez ipconfig /flushdns à l’invite de commandes, puis appuyez sur Entrée.

Pour vous assurer que la zone de recherche directe pour le domaine contient des enregistrements hôtes ( A) valides (identiques au dossier parent) sur un ordinateur Windows Server 2003, procédez comme suit :

  1. Sur un contrôleur de domaine qui exécute DNS, sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez DNS.

  2. Développez Your_Server_Name, zones de recherche directe, puis sélectionnez la zone de recherche directe pour votre domaine.

  3. Recherchez l’enregistrement Hôte (A) (identique au dossier parent ).

  4. Si l’enregistrement Hôte (A ) (identique au dossier parent) n’existe pas, procédez comme suit pour en créer un :

    1. Dans le menu Action , sélectionnez Nouvel hôte (A) .
    2. Dans la zone Adresse IP , tapez l’adresse IP de l’adaptateur réseau local du contrôleur de domaine.
    3. Cliquez pour sélectionner la zone Créer un enregistrement de pointeur associé (PTR) case activée, puis sélectionnez Ajouter un hôte.
    4. Lorsque vous recevez le message suivant, sélectionnez Oui :

      (identique au dossier parent) n’est pas un nom d’hôte valide. Voulez-vous vraiment ajouter cet enregistrement ?

  5. Double-cliquez sur l’enregistrement Hôte (A) (identique au dossier parent ).

  6. Vérifiez que l’adresse IP correcte est répertoriée dans la zone Adresse IP .

  7. Si l’adresse IP se trouve dans la zone Adresse IP non valide, tapez l’adresse IP correcte dans la zone Adresse IP , puis sélectionnez OK.

  8. Au lieu de cela, vous pouvez supprimer l’enregistrement Hôte (A) (identique au dossier parent) qui contient l’adresse IP qui n’est pas valide. Pour supprimer l’enregistrement Hôte (A), cliquez avec le bouton droit (identique au dossier parent), puis sélectionnez Supprimer.

  9. Si le serveur DNS est un contrôleur de domaine qui est également un serveur de routage et d’accès à distance, consultez Résolution de noms et problèmes de connectivité sur un serveur de routage et d’accès à distance qui exécute également DNS ou WINS.

  10. Sur tous les ordinateurs où vous ajoutez, supprimez ou modifiez des enregistrements DNS, tapez ipconfig /flushdns à l’invite de commandes, puis appuyez sur Entrée.

Étape 2 : Examiner les paramètres de signature du bloc de messages du serveur sur les ordinateurs clients et les serveurs membres

Les paramètres de signature SMB (Server Message Block) définissent si les ordinateurs du réseau signent numériquement les communications. Si les paramètres de signature SMB ne sont pas configurés correctement, les ordinateurs clients ou les serveurs membres peuvent ne pas être en mesure de se connecter aux contrôleurs de domaine.

Par exemple, la signature SMB peut être requise par les contrôleurs de domaine, mais la signature SMB peut être désactivée sur les ordinateurs clients. Si ce problème se produit, stratégie de groupe ne peut pas être appliqué correctement. Par conséquent, les ordinateurs clients consignent les erreurs d’environnement utilisateur (Userenv) dans le journal des applications. Parfois, les paramètres de signature SMB pour le service Serveur et le service Station de travail sur un contrôleur de domaine peuvent entrer en conflit.

Par exemple, la signature SMB peut être désactivée pour le service Station de travail du contrôleur de domaine, mais la signature SMB est requise pour le service Serveur du contrôleur de domaine. Dans ce scénario, vous ne pouvez pas ouvrir un ou plusieurs partages de fichiers locaux du contrôleur de domaine si vous êtes connecté au serveur. En outre, vous ne pouvez pas ouvrir stratégie de groupe composants logiciels enfichables si vous êtes connecté au serveur.
Pour plus d’informations sur la résolution de ce problème sur un contrôleur de domaine, consultez Vous ne pouvez pas ouvrir de partages de fichiers ou stratégie de groupe des composants logiciels enfichables sur un contrôleur de domaine.

Si stratégie de groupe erreurs se produisent uniquement sur les ordinateurs clients et les serveurs membres, ou si vous déterminez que vous ne pouvez pas ouvrir de partages de fichiers ou stratégie de groupe composants logiciels enfichables sur un contrôleur de domaine ne s’applique pas à votre situation, continuez à résoudre le problème.

Par défaut, la signature SMB est activée, mais elle n’est pas requise pour la communication cliente sur les ordinateurs clients et les serveurs membres qui exécutent Windows XP, Windows 2000 ou Windows Server 2003. Nous vous recommandons d’utiliser la configuration par défaut, car les ordinateurs clients peuvent utiliser la signature SMB quand c’est possible, mais communiquent toujours avec les serveurs pour lesquels la signature SMB est désactivée.

Pour configurer les ordinateurs clients et les serveurs membres afin que la signature SMB soit activée, mais pas obligatoire, vous devez modifier les valeurs de certaines entrées de Registre. Pour apporter des modifications au Registre sur les ordinateurs clients, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Développez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. Dans le volet droit, cliquez avec le bouton droit sur enablesecuritysignature, puis sélectionnez Modifier.
  4. Dans la zone Données de la valeur , tapez 0, puis sélectionnez OK.
  5. Cliquez avec le bouton droit sur requiresecuritysignature, puis sélectionnez Modifier.
  6. Dans la zone Données de la valeur , tapez 0, puis sélectionnez OK.
  7. Développez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. Dans le volet droit, cliquez avec le bouton droit sur enablesecuritysignature, puis sélectionnez Modifier.
  9. Dans la zone Données de la valeur , tapez 1, puis sélectionnez OK.
  10. Cliquez avec le bouton droit sur requiresecuritysignature, puis sélectionnez Modifier.
  11. Dans la zone Données de la valeur , tapez 0, puis sélectionnez OK.

Après avoir modifié les valeurs du Registre, redémarrez les services Serveur et Station de travail. Ne redémarrez pas les ordinateurs, car cela peut entraîner l’application de stratégies de groupe, et les paramètres stratégie de groupe peuvent à nouveau configurer des valeurs en conflit.

Après avoir modifié les valeurs de Registre et redémarré les services Serveur et Station de travail sur les ordinateurs affectés, procédez comme suit :

  1. Affichez les paramètres stratégie de groupe pour l’objet de stratégie de groupe ou les objets de stratégie de groupe qui s’appliquent aux comptes d’ordinateur affectés.
  2. Assurez-vous que les stratégies de groupe ne sont pas en conflit avec les paramètres de Registre requis.
  3. Utilisez le Rédacteur d’objet stratégie de groupe pour afficher les paramètres de stratégie dans le dossier suivant :Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

Sur un ordinateur exécutant Windows Server 2003, les paramètres de signature SMB stratégie de groupe portent les noms suivants :

  • Serveur réseau Microsoft : communications de signature numérique (toujours)
  • Serveur réseau Microsoft : communications de signature numérique (si le client accepte)
  • Client réseau Microsoft : communications de signature numérique (toujours)
  • Client réseau Microsoft : communications de signature numérique (si le serveur est d’accord)

Sur un ordinateur exécutant Windows 2000 Server, les paramètres de signature SMB stratégie de groupe portent les noms suivants :

  • Communication du serveur de signature numérique (toujours)
  • Communication de serveur de signature numérique (si possible)
  • Signer numériquement les communications clientes (toujours)
  • Signer numériquement les communications clientes (si possible)

En règle générale, les paramètres de signature SMB stratégie de groupe sont configurés en tant que « Non défini ». Si vous définissez les paramètres de signature SMB stratégie de groupe, assurez-vous de comprendre comment les paramètres peuvent affecter la connectivité réseau.
Pour plus d’informations sur les paramètres de signature SMB, consultez Problèmes liés au client, au service et au programme si vous modifiez les paramètres de sécurité et les attributions de droits utilisateur.

Si vous modifiez les paramètres d’objet de stratégie de groupe sur un contrôleur de domaine qui exécute Windows 2000 Server, procédez comme suit :

  1. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
  2. Tapez secedit /refreshpolicy machine_policy /enforce, puis appuyez sur Entrée.
  3. Redémarrez les ordinateurs clients affectés.
  4. Vérifiez à nouveau les valeurs de signature SMB dans le Registre sur les ordinateurs clients pour vous assurer qu’elles n’ont pas changé de manière inattendue.

Si vous modifiez les paramètres d’objet de stratégie de groupe sur un contrôleur de domaine exécutant Windows Server 2003, procédez comme suit :

  1. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
  2. Tapez gpupdate /force, puis appuyez sur Entrée.
  3. Redémarrez les ordinateurs clients affectés.
  4. Revérifier les valeurs de signature SMB dans le Registre sur les ordinateurs clients pour vous assurer qu’elles n’ont pas changé de manière inattendue.

Si les valeurs de signature SMB dans le Registre changent de façon inattendue après le redémarrage des ordinateurs clients, utilisez l’une des méthodes suivantes pour afficher les paramètres de stratégie appliqués à un ordinateur client :

  • Sur un ordinateur Windows XP, utilisez le composant logiciel enfichable MMC Jeu de stratégies résultant (Rsop.msc). Pour plus d’informations sur l’ensemble de stratégies résultant, consultez Jeu de stratégies résultant.

  • Sur Windows 2000, utilisez l’outil en ligne de commande Gpresult.exe pour examiner les résultats stratégie de groupe. Pour ce faire, procédez comme suit :

    1. Installez Gpresult.exe à partir du Kit de ressources Windows 2000.

    2. À l’invite de commandes, tapez gpresult /scope computer, puis appuyez sur Entrée.

    3. Dans la section Objets stratégie de groupe appliqués de la sortie, notez les objets stratégie de groupe appliqués au compte d’ordinateur.

    4. Comparez les objets stratégie de groupe appliqués au compte d’ordinateur qui a les paramètres de stratégie de signature SMB sur le contrôleur de domaine pour ces objets stratégie de groupe.

Étape 3 : Vérifier que le service d’assistance NETBIOS TCP/IP est démarré sur tous les ordinateurs

Tous les ordinateurs sur le réseau doivent exécuter le service Tcp/IP NetBIOS Helper.

Pour vérifier que le service Tcp/IP NetBIOS Helper s’exécute sur un ordinateur Windows XP, procédez comme suit :

  1. Sélectionnez Démarrer, puis Panneau de configuration.
  2. Si Panneau de configuration est en mode Catégorie, sélectionnez Basculer vers l’affichage classique.
  3. Double-cliquez sur Outils d’administration.
  4. Double-cliquez sur Services.
  5. Dans la liste Services , sélectionnez TCP/IP NetBIOS Helper. Vérifiez que la valeur sous la colonne État est Démarrée. Vérifiez que la valeur sous la colonne Type de démarrage est Automatique. Si les valeurs État ou Type de démarrage ne sont pas correctes, procédez comme suit :
    1. Cliquez avec le bouton droit sur TCP/IP NetBIOS Helper, puis sélectionnez Propriétés.
    2. Dans la liste Type de démarrage , sélectionnez Automatique.
    3. Dans la zone Service status, si le service n’est pas démarré, sélectionnez Démarrer.
    4. Sélectionnez OK.

Pour vérifier que le service Tcp/IP NetBIOS Helper s’exécute sur un ordinateur Windows Server 2003, procédez comme suit :

  1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Services.
  2. Dans la liste Services , sélectionnez TCP/IP NetBIOS Helper. Vérifiez que la valeur sous la colonne État est Démarrée. Vérifiez que la valeur sous la colonne Type de démarrage est Automatique. Si les valeurs État ou Type de démarrage ne sont pas correctes, procédez comme suit :
    1. Cliquez avec le bouton droit sur TCP/IP NetBIOS Helper, puis sélectionnez Propriétés.
    2. Dans la liste Type de démarrage , sélectionnez Automatique.
    3. Dans la zone Service status, si le service n’est pas démarré, sélectionnez Démarrer.
    4. Sélectionnez OK.

Pour vérifier que le service Tcp/IP NetBIOS Helper s’exécute sur un ordinateur Windows 2000, procédez comme suit :

  1. Sélectionnez Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez Services.
  2. Dans la liste Services , sélectionnez TCP/IP NetBIOS Helper Service. Vérifiez que la valeur sous la colonne État est Démarrée. Vérifiez que la valeur sous la colonne Type de démarrage est Automatique. Si les valeurs État ou Type de démarrage ne sont pas correctes, procédez comme suit :
    1. Cliquez avec le bouton droit sur TCP/IP NetBIOS Helper Service, puis sélectionnez Propriétés.
    2. Dans la liste Type de démarrage , sélectionnez Automatique.
    3. Dans la zone Service status, si le service n’est pas démarré, sélectionnez Démarrer.
    4. Sélectionnez OK.

En outre, vérifiez que vous n’avez pas désactivé un ou plusieurs des services système requis à l’aide d’objets stratégie de groupe. Affichez ces paramètres de stratégie à l’aide de la Rédacteur d’objet stratégie de groupe dans le Computer Configuration/Windows Settings/Security Settings/System Services dossier .

Sur Windows Server 2003 et Windows XP, vous pouvez utiliser le composant logiciel enfichable Rsop.msc (Resultant Set of Policy MMC) pour case activée tous les paramètres de stratégie appliqués à un ordinateur. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez rsop.msc dans la zone Ouvrir , puis sélectionnez OK.

Sur Windows 2000, utilisez l’outil en ligne de commande Gpresult.exe pour examiner les résultats stratégie de groupe. Pour ce faire, procédez comme suit :

  1. Installez Gpresult.exe à partir du Kit de ressources Windows 2000.
  2. À l’invite de commandes, tapez gpresult /scope computer, puis appuyez sur Entrée.
  3. Dans la section Objets stratégie de groupe appliqués de la sortie, notez les objets stratégie de groupe appliqués au compte d’ordinateur.
  4. Comparez les objets stratégie de groupe appliqués au compte d’ordinateur avec les paramètres de stratégie de signature SMB sur le contrôleur de domaine pour ces objets stratégie de groupe.

Remarque

Si le service Tcp/IP NetBIOS Helper est désactivé sur de nombreux ordinateurs de bureau, vous pouvez utiliser l’exemple de script Microsoft Visual Basic suivant pour démarrer le service Tcp/IP NetBIOS Helper sur tous les ordinateurs d’une unité d’organisation (UO) en même temps.

Microsoft fournit des exemples de programmation à titre d’illustration uniquement, sans garantie expresse ou implicite. Cela inclut, sans y être limité, les garanties implicites de qualité marchande et d’adéquation à un usage particulier. Cet article considère que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les ingénieurs du support technique Microsoft peuvent vous aider à expliquer les fonctionnalités d’une procédure particulière, mais ils ne modifient pas ces exemples pour fournir des fonctionnalités supplémentaires ou construire des procédures pour répondre à vos besoins spécifiques.

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

Étape 4 : Vérifier que le système de fichiers distribués (DFS) est activé sur tous les ordinateurs

Tous les contrôleurs de domaine doivent exécuter le service Système de fichiers distribué, car le partage Sysvol est un volume DFS. En outre, le client DFS doit être activé dans le Registre sur tous les ordinateurs.

Pour vous assurer que le service de système de fichiers distribué s’exécute sur des contrôleurs de domaine Windows Server 2003, procédez comme suit :

  1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Services.
  2. Dans la liste Services , sélectionnez Service de système de fichiers distribué . Vérifiez que la valeur sous la colonne État est Démarrée. Vérifiez que la valeur sous la colonne Type de démarrage est Automatique. Si les valeurs État ou Type de démarrage ne sont pas correctes, procédez comme suit :
    1. Cliquez avec le bouton droit sur Système de fichiers distribué, puis sélectionnez Propriétés.
    2. Dans la liste Type de démarrage , sélectionnez Automatique.
    3. Dans la zone Service status, si le service n’est pas démarré, sélectionnez Démarrer.
    4. Sélectionnez OK.

Pour vous assurer que le service de système de fichiers distribué s’exécute sur des contrôleurs de domaine Windows 2000 Server, procédez comme suit :

  1. Sélectionnez Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez Services.
  2. Dans la liste Services , sélectionnez Service de système de fichiers distribué . Vérifiez que la valeur sous la colonne État est Démarrée. Vérifiez que la valeur sous la colonne Type de démarrage est Automatique. Si les valeurs État ou Type de démarrage ne sont pas correctes, procédez comme suit :
    1. Cliquez avec le bouton droit sur Système de fichiers distribué, puis sélectionnez Propriétés.
    2. Dans la liste Type de démarrage , sélectionnez Automatique.
    3. Dans la zone Service status, si le service n’est pas démarré, sélectionnez Démarrer.
    4. Sélectionnez OK.

Pour vous assurer que le client de système de fichiers distribué est activé sur tous les ordinateurs clients, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionnez Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Développez la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Sélectionnez Mup, puis, dans le volet droit, recherchez une entrée de valeur DWORD nommée DisableDFS.
  4. Si l’entrée DisableDFS existe et que les données de valeur sont 1, double-cliquez sur DisableDFS. Dans la zone Données de la valeur , tapez 0, puis sélectionnez OK. Si les données de valeur DisableDFS sont déjà 0 ou si l’entrée DisableDFS n’existe pas, n’apportez aucune modification.
  5. Quittez l’Éditeur du Registre.
  6. Si vous avez modifié les données de valeur DisableDFS , redémarrez l’ordinateur.

Étape 5 : Examiner le contenu et les autorisations du dossier Sysvol

Par défaut, le dossier Sysvol se trouve dans le %systemroot% dossier . Le dossier Sysvol contient les objets stratégie de groupe du domaine, les partages Sysvol et Netlogon et le dossier intermédiaire du service de réplication de fichiers (FRS).

Si les autorisations sur le dossier Sysvol ou le partage Sysvol sont trop restrictives, les stratégies de groupe ne peuvent pas être appliquées correctement et provoquent des erreurs d’environnement utilisateur (Userenv). En outre, des erreurs Userenv peuvent se produire si le partage Sysvol ou les objets stratégie de groupe sont manquants.
Pour vous assurer que le partage Sysvol est disponible, exécutez la commande net share à une invite de commandes sur chaque contrôleur de domaine. Pour ce faire, procédez comme suit :

  1. Sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
  2. Tapez net share, puis appuyez sur Entrée.
  3. Recherchez SYSVOL et NETLOGON dans la liste des dossiers.

Si les partages Sysvol ou Netlogon sont manquants dans un ou plusieurs contrôleurs de domaine, vous devez résoudre la cause du problème.
Pour plus d’informations sur la résolution des problèmes liés aux partages Sysvol et Netlogon manquants dans Windows 2000 Server, consultez Résolution des problèmes liés aux partages SYSVOL et NETLOGON manquants sur les contrôleurs de domaine Windows.

Pour plus d’informations sur la reconstruction du partage Sysvol dans Windows Server 2003, consultez Comment reconstruire l’arborescence SYSVOL et son contenu dans un domaine.

Après vous être assuré que le partage Sysvol est disponible, assurez-vous que le dossier Sysvol, le partage Sysvol et le dossier racine du volume qui contient le dossier Sysvol sont configurés avec les autorisations appropriées.

En outre, sur Windows 2000 Server, le groupe Tout le monde doit disposer de l’autorisation Contrôle total sur le dossier racine du volume qui contient le dossier Sysvol. Sur Windows Server 2003, le groupe Tout le monde doit disposer de l’autorisation spéciale Lire & Exécuter sur « Ce dossier uniquement », et le groupe domaine\Utilisateurs doit disposer des autorisations standard suivantes :

  • Lire & exécuter
  • Lister le contenu du dossier
  • Lecture

En outre, sur Windows Server 2003, le groupe domaine\Utilisateurs doit disposer des autorisations spéciales suivantes :

  • Lisez & autorisation Exécuter sur « Ce dossier, sous-dossiers et fichiers ».
  • Autorisation Créer un dossier/Ajouter des données à « Ce dossier et sous-dossiers ».
  • Autorisation Créer des fichiers/ Écrire des données sur « Sous-dossiers uniquement ».

Après avoir vérifié les autorisations Sysvol, vérifiez que le dossier Sysvol contient les objets stratégie de groupe requis. Pour rechercher les objets stratégie de groupe requis, utilisez le programme Gpotool.exe de Windows 2000 ou du Kit de ressources Windows Server 2003.

Si vous exécutez le programme Gpotool.exe sans aucune option, il recherche tous les objets stratégie de groupe sur tous les contrôleurs de domaine du domaine. Si vous incluez le /checkacl commutateur, l’outil analyse également la liste de contrôle d’accès (ACL) Sysvol. Pour obtenir une sortie détaillée lorsque vous exécutez le programme Gpotool.exe, utilisez le /verbose commutateur .

Au lieu de cela, vous pouvez vérifier manuellement l’objet de stratégie de groupe individuel dans le dossier SYSVOL. Par exemple, si la description de l’événement Userenv 1058 indique le nom d’un objet de stratégie de groupe, vous pouvez vérifier manuellement l’objet de stratégie de groupe individuel dans le dossier SYSVOL. Vous pouvez le faire pour vous assurer qu’il contient un dossier USER, un dossier MACHINE et un fichier Gpt.ini. Pour vérifier manuellement l’objet de stratégie de groupe individuel dans le dossier SYSVOL, procédez comme suit :

  1. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
  2. Tapez à Heure/interactive/suivant : cmd.exe, puis appuyez sur Entrée, où Time est 1 ou 2 minutes plus tard que l’heure actuelle et est écrit au format d’heure de 24 heures. Par exemple, 3 minutes après 13h00 seraient 13h03 au format 24 heures.
  3. À l’heure que vous spécifiez dans la commande précédente, une nouvelle fenêtre d’invite de commandes s’ouvre. Tapez net use j :\\domainname.com\sysvol\domainname.com\Policies\{GUID}, puis appuyez sur Entrée, où GUID est le GUID de l’objet de stratégie de groupe qui se trouve dans la description de l’événement Userenv. Par exemple, si la description de l’événement Userenv 1058 indique : « Le fichier doit être présent à l’emplacement <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>, » le GUID que vous utiliseriez dans la commande est 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Tapez dir j :\*.*, puis appuyez sur Entrée.
  5. Vérifiez qu’un dossier USER, un dossier MACHINE et un fichier Gpt.ini sont répertoriés dans la liste des dossiers du lecteur I. Si l’un de ces dossiers et fichiers est manquant, les ordinateurs sur le réseau sont susceptibles de consigner les erreurs Userenv dans le journal des applications.

Si un ou plusieurs objets stratégie de groupe sont manquants dans le dossier Sysvol, exécutez l’utilitaire de restauration par défaut stratégie de groupe Windows Server 2003 (Dcgpofix.exe) ou l’outil de restauration par défaut stratégie de groupe Windows 2000 (Recreatedefpol.exe) pour recréer les objets stratégie de groupe par défaut.

Le programme Dcgpofix.exe est inclus dans Windows Server 2003. Pour plus d’informations sur le programme Dcgpofix.exe, exécutez la dcgpofix /? commande à l’invite de commandes.

Veillez à définir les exclusions recommandées lorsque vous analysez le lecteur Sysvol avec un logiciel antivirus. L’analyse avec un logiciel antivirus peut bloquer l’accès aux fichiers requis, tels que le fichier Gpt.ini. Vous devez configurer ces exclusions pour toutes les analyses antivirus en temps réel, planifiées et manuelles.

Étape 6 : Assurez-vous que le droit de vérification du parcours de contournement est accordé aux groupes requis

Le droit de vérification de contournement doit être accordé aux groupes suivants sur les contrôleurs de domaine :

  • Administrateurs
  • Utilisateurs authentifiés
  • Tout le monde
  • Accès compatible pré-Windows 2000

Pour vérifier que le droit de vérification de contournement a été accordé sur un contrôleur de domaine Windows Server 2003, procédez comme suit :

  1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Stratégie de sécurité du contrôleur de domaine.
  2. Développez Stratégies locales, puis sélectionnez Attribution des droits utilisateur.
  3. Double-cliquez sur Ignorer la vérification du parcours.
  4. Cliquez pour sélectionner la zone Définir ces paramètres de stratégie case activée.
  5. Vérifiez que les groupes Administrateurs, Utilisateurs authentifiés, Tout le monde et Accès compatible pré-Windows 2000 sont répertoriés pour ce paramètre de stratégie. Si l’un de ces groupes est manquant, procédez comme suit :
    1. Sélectionnez Ajouter un utilisateur ou un groupe.
    2. Dans la zone Noms d’utilisateur et de groupe , tapez le nom du groupe manquant, puis sélectionnez OK.
  6. Sélectionnez OK pour fermer le paramètre de stratégie.
  7. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
  8. Tapez gpupdate /force, puis appuyez sur Entrée.

Pour vérifier que le droit de vérification de contournement a été accordé sur un contrôleur de domaine Windows 2000 Server, procédez comme suit :

  1. Sélectionnez Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez Stratégie de sécurité du contrôleur de domaine.
  2. Développez Paramètres de sécurité, Stratégies locales, puis sélectionnez Attribution des droits utilisateur.
  3. Double-cliquez sur Ignorer la vérification du parcours.
  4. Cliquez pour sélectionner la zone Définir ces paramètres de stratégie case activée.
  5. Vérifiez que les groupes Administrateurs, Utilisateurs authentifiés, Tout le monde et Accès compatible pré-Windows 2000 sont répertoriés pour ce paramètre de stratégie. Si l’un de ces groupes est manquant, procédez comme suit :
    1. Sélectionnez Ajouter.
    2. Dans la zone Noms d’utilisateur et de groupe , tapez le nom du groupe manquant, puis sélectionnez OK.
  6. Sélectionnez OK pour fermer le paramètre de stratégie.
  7. Démarrez une invite de commandes. Pour ce faire, sélectionnez Démarrer, Exécuter, tapez cmd dans la zone Ouvrir , puis sélectionnez OK.
  8. Tapez secedit /refreshpolicy machine_policy /enforce, puis appuyez sur Sélectionner.

Étape 7 : Vérifier que les contrôleurs de domaine ne sont pas dans un état de journal wrap

Pour voir si un contrôleur de domaine est dans un état d’habillage de journal, affichez le journal du service de réplication de fichiers dans observateur d'événements et recherchez l’ID d’événement NTFRS 13568. L’ID d’événement 13568 est similaire à l’ID d’événement suivant :
Si l’ID d’événement NTFRS 13568 est enregistré sur un contrôleur de domaine, pour plus d’informations sur la résolution des erreurs de journal wrap, consultez Comment résoudre les erreurs journal_wrap sur les jeux d’réplica Sysvol et DFS.

Étape 8 : Exécuter la commande Dfsutil /PurgeMupCache

Exécutez le programme Dfsutil.exe avec le /PurgeMupCache commutateur pour vider les informations mises en cache DFS/MUP locales. Le programme Dfsutil.exe est inclus dans les outils de support de Windows 2000 Server et les outils de support de Windows Server 2003.