L'application de la stratégie de groupe provoque des erreurs Userenv et des événements sur vos ordinateurs Windows Server 2003, Windows XP ou Windows 2000

Numéro d'article: 887303 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, faites-en une sauvegarde et vérifiez que vous savez comment le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986
(http://support.microsoft.com/kb/256986/ )
Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Vous pouvez rencontrer un ou plusieurs erreurs et événements si la stratégie de groupe est appliquée aux ordinateurs présents sur votre réseau. Pour déterminer l'origine du problème, vous devez dépanner la configuration des ordinateurs présents sur votre réseau. Procédez comme suit pour dépanner l'origine du problème :
  1. Vérifiez les paramètres DNS et les propriétés de réseau sur les serveurs et les ordinateurs clients.
  2. Vérifiez les paramètres de signature SMB sur les ordinateurs clients.
  3. Assurez-vous que le service d'application d'assistance TCP/IP NetBIOS, le service Net Logon et le service d'appel de procédure distante (RPC) sont démarrés sur tous les ordinateurs.
  4. Assurez-vous que le système de fichiers DFS est activé sur tous les ordinateurs.
  5. Vérifiez le contenu et les autorisations du dossier Sysvol.
  6. Assurez-vous que le droit Outrepasser le contrôle de défilement est accordé aux groupes requis.
  7. Assurez-vous que les contrôleurs de domaine ne sont pas dans un état de bouclage du journal.
  8. Exécutez la commande dfsutil /purgemupcache.
Retour au début | Envoyer des commentaires

Symptômes

Vous rencontrez un ou plusieurs des symptômes suivants sur un ordinateur Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000 :
  • Les paramètres de stratégie de groupe ne sont pas appliqués aux ordinateurs.
  • La réplication de la stratégie de groupe n'est pas effectuée entre les contrôleurs de domaine sur le réseau.
  • Vous ne pouvez pas ouvrir les composants logiciels enfichables Stratégie de groupe. Par exemple, vous ne pouvez pas ouvrir le composant logiciel enfichable de la stratégie de sécurité du contrôleur de domaine ou du domaine.
  • Si vous essayez d'ouvrir un composant logiciel enfichable Stratégie de groupe, l'un des messages d'erreur suivants s'affiche :
    Impossible d'ouvrir l'objet Stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.
    Détails : Le compte n'est pas autorisé à se connecter depuis cette station.
    Vous n'êtes pas autorisé à effectuer cette opération.
    Détails : Accès refusé.
    Impossible d'ouvrir l'objet Stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.
    Détails : Le chemin d'accès spécifié est introuvable.
  • Si vous essayez d'accéder aux fichiers partagés sur n'importe quel contrôleur de domaine, un message d'erreur s'affiche. Ce symptôme se produit même si vous avez ouvert une session sur le serveur et si vous essayez d'accéder à un partage local. Plus précisément, ce symptôme peut affecter l'accès au partage Sysvol d'un contrôleur de domaine.
  • Si vous essayez d'accéder à un partage de fichiers, vous êtes invité à plusieurs reprises à entrer un mot de passe.
  • Si vous essayez d'accéder à un partage de fichiers, un message d'erreur qui est semblable à l'un des messages d'erreur suivants s'affiche :
    \\Nom_serveur\nom_partage n'est pas accessible. Vous ne disposez peut-être pas des autorisations nécessaires pour utiliser cette ressource réseau. Contactez l'administrateur de ce serveur pour savoir si vous disposez des autorisations d'accès.
    Le compte n'est pas autorisé à se connecter depuis cette station.
    \\Nom_serveur\nom_partage n'est pas accessible.
    Le compte n'est pas autorisé à se connecter depuis cette station.
    Le chemin réseau n'a pas été trouvé.
Si vous affichez le journal des applications dans l'Observateur d'événements sous Windows XP ou Windows Server 2003, des événements semblables aux événements suivants s'afficheront :
Type d'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
ID de l'événement : 1058
Date : Date
Heure : Heure
Utilisateur : Nom_utilisateur
Ordinateur : Nom_ordinateur
Description : Windows ne peut pas accéder au fichier gpt.ini pour l'objet Stratégie de groupes CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=nom_domaine,DC=com. Le fichier doit être présent à l'emplacement <\\nom_domaine.com\sysvol\nom_domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Message_erreur). Le traitement de la stratégie de groupe est interrompu. Pour plus d'informations, consultez le centre Aide et support à l'adresse http://support.microsoft.com.
Le message d'erreur qui s'affiche dans l'espace réservé Message_erreur de l'ID d'événement 1058 peut être l'un des messages d'erreur suivants :
  • Le chemin réseau n'a pas été trouvé.
  • Accès refusé.
  • Les informations de configuration n'ont pas pu être lues sur le contrôleur de domaine car l'ordinateur n'est pas disponible ou l'accès a été refusé.
Type d'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
ID de l'événement : 1030
Date : Date
Heure : Heure
Utilisateur : Nom_utilisateur
Ordinateur : Nom_ordinateur
Description : Windows ne peut pas effectuer de requête sur la liste d'objets de Stratégie de groupe. Un message d'erreur fournissant les raisons de ce problème a déjà été enregistré par ce moteur de police. Pour plus d'informations, consultez le centre Aide et support à l'adresse http://support.microsoft.com.
En général, si l'ID d'événement 1058 et l'ID d'événement 1030 se produisent, ils sont enregistrés par les ordinateurs clients et les serveurs membres lors du démarrage de l'ordinateur. Les contrôleurs de domaine enregistrent ces événements toutes les cinq minutes.

Si vous affichez le journal des applications dans l'Observateur d'événements sur un ordinateur Windows 2000, vous affichez des événements qui sont semblables aux événements suivants :
Type d'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
ID de l'événement : 1000
Date : Date
Heure : Heure
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : Nom_ordinateur
Description : Windows ne peut pas accéder aux informations du Registre sur \\nom_domaine\sysvol\nom_domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol avec (code_erreur).
Le message d'erreur qui s'affiche dans l'espace réservé Code_erreur de l'ID d'événement 1000 peut être l'un des messages d'erreur suivants :
  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722
Retour au début | Envoyer des commentaires

Cause

Ces problèmes se produisent si les ordinateurs qui sont présents sur votre réseau ne peuvent pas se connecter à certains objets de stratégie de groupe. Plus précisément, ces objets se trouvent dans les dossiers Sysvol sur les contrôleurs de domaine de votre réseau.
Retour au début | Envoyer des commentaires

Résolution

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour résoudre ce problème, vous devez dépanner la configuration de votre réseau pour limiter la cause du problème, puis corriger la configuration. Pour dépanner la cause possible de ce problème, procédez comme suit :

Étape 1 : Vérification les paramètres DNS et les propriétés de réseau sur les serveurs et les ordinateurs client

Dans les propriétés de connexion de la zone locale, le Client pour les réseaux Microsoft doit être autorisé sur tous les serveurs et les ordinateurs clients. Le composant Partage de fichiers et d'imprimantes pour les réseaux Microsoft doit être activé sur tous les contrôleurs de domaine.

En outre, chaque ordinateur présent sur le réseau doit utiliser des serveurs DNS qui peuvent résoudre des enregistrements SRV et des noms d'hôte de la forêt Active Directory dont l'ordinateur est un membre. En général, une erreur de configuration courante des ordinateurs clients consiste à utiliser les serveurs DNS qui appartiennent à votre fournisseur de services Internet (ISP).

Sur tous les ordinateurs qui ont enregistré les erreurs Userenv, vérifiez les paramètres DNS et les propriétés de réseau. De plus, vérifiez ces paramètres sur tous les contrôleurs de domaine qu'ils aient enregistré des erreurs Userenv ou non.

Pour vérifier les paramètres DNS et les propriétés de réseau sur les ordinateurs Windows XP de votre réseau, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration.
  2. Si le Panneau de configuration est affiché en mode Catégorie, cliquez sur Basculer vers l'affichage classique.
  3. Double-cliquez sur Connexions réseau, cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.
  4. Sous l'onglet Général, activez la case à cocher Client pour les réseaux Microsoft.
  5. Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
  6. Si Utiliser l'adresse de serveur DNS suivante est sélectionné, assurez-vous que les adresses IP des serveurs DNS préférés et auxiliaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d'hôte dans Active Directory. Plus précisément, l'ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre fournisseur de services Internet. Si les adresses de serveur DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS correctes dans les zones Serveur DNS préféré et Serveur DNS auxiliaire.
  7. Cliquez sur Avancé, puis sur l'onglet DNS.
  8. Activez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS, puis cliquez trois fois sur OK.
  9. Démarrez une invite de commandes. Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
  10. Tapez ipconfig /flushdns, puis appuyez sur ENTRÉE. Tapez ipconfig /registerdns, puis appuyez sur ENTRÉE.
  11. Redémarrez l'ordinateur pour que vos modifications soient prises en compte.
Pour vérifier les paramètres DNS et les propriétés de réseau sur les ordinateurs Windows XP de votre réseau, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
  2. Double-cliquez sur Connexions réseau et accès à distance.
  3. Cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.
  4. Sous l'onglet Général, activez la case à cocher Client pour les réseaux Microsoft.
  5. Si l'ordinateur est un contrôleur de domaine, activez la case à cocher Partage de fichiers et d'imprimantes pour les réseaux Microsoft.

    Remarque Sur les serveurs d'accès distant multirésidents et sur les serveurs Microsoft Internet Security and Acceleration (ISA), vous pouvez désactiver le composant Partage de fichiers et d'imprimantes pour les réseaux Microsoft de l'adaptateur réseau qui est connecté à Internet. Toutefois, le composant Client pour les réseaux Microsoft doit être activé pour tous les adaptateurs réseau du serveur.
  6. Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
  7. Si Utiliser l'adresse de serveur DNS suivante est sélectionné, assurez-vous que les adresses IP des serveurs DNS préférés et auxiliaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d'hôte dans Active Directory. Plus précisément, l'ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre fournisseur de services Internet. Si les adresses de serveur DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS correctes dans les zones Serveur DNS préféré et Serveur DNS auxiliaire.
  8. Cliquez sur Avancé, puis sur l'onglet DNS.
  9. Activez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS, puis cliquez trois fois sur OK.
  10. Démarrez une invite de commandes. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  11. Tapez ipconfig /flushdns, puis appuyez sur ENTRÉE. Tapez ipconfig /registerdns, puis appuyez sur ENTRÉE.
  12. Redémarrez l'ordinateur.
Pour vérifier les paramètres DNS et les propriétés de réseau sur les ordinateurs Windows Server 2003 de votre réseau, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis double-cliquez sur Connexions réseau.
  2. Cliquez avec le bouton droit sur la connexion réseau locale, puis cliquez sur Propriétés.
  3. Sous l'onglet Général, activez la case à cocher Client pour les réseaux Microsoft.
  4. Si l'ordinateur est un contrôleur de domaine, activez la case à cocher Partage de fichiers et d'imprimantes pour les réseaux Microsoft.

    Remarque Sur les serveurs d'accès distant multirésidents et sur les serveurs ISA, vous pouvez désactiver le composant Partage de fichiers et d'imprimantes pour les réseaux Microsoft de l'adaptateur réseau qui est connecté à Internet. Toutefois, le composant Client pour les réseaux Microsoft doit être activé pour tous les adaptateurs réseau du serveur.
  5. Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
  6. Si Utiliser l'adresse de serveur DNS suivante est sélectionné, assurez-vous que les adresses IP des serveurs DNS préférés et auxiliaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d'hôte dans Active Directory. Plus précisément, l'ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre fournisseur de services Internet. Si les adresses de serveur DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS correctes dans les zones Serveur DNS préféré et Serveur DNS auxiliaire.
  7. Cliquez sur Avancé, puis sur l'onglet DNS.
  8. Activez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS, puis cliquez trois fois sur OK.
  9. Démarrez une invite de commandes. Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
  10. Tapez ipconfig /flushdns, puis appuyez sur ENTRÉE. Tapez ipconfig /registerdns, puis appuyez sur ENTRÉE.
  11. Redémarrez l'ordinateur pour que vos modifications soient prises en compte.
Si les ordinateurs clients présents sur votre réseau sont configurés pour obtenir automatiquement leurs adresses IP, assurez-vous que l'ordinateur qui exécute le service DHCP assigne les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d'hôte dans Active Directory.

Pour définir les adresses IP qu'un ordinateur utilise pour le serveur DNS, procédez comme suit :
  1. Démarrez une invite de commandes. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. Tapez ipconfig /all, puis appuyez sur ENTRÉE.
  3. Notez les entrées DNS qui sont répertoriées à l'écran.
Si les ordinateurs qui sont configurés pour obtenir automatiquement des adresses IP n'utilisent pas les serveurs DNS corrects, reportez-vous à la documentation de votre serveur DHCP pour obtenir plus d'informations sur la configuration de l'option des serveurs DNS. En outre, assurez-vous que chaque ordinateur peut résoudre l'adresse IP du domaine. Pour cela, tapez ping votre_nom_domaine.votre_racine_domaine à l'invite de commandes, puis appuyez sur ENTRÉE. Sinon, tapez nslookup votre_nom_domaine.votre_racine_domaine, puis appuyez sur ENTRÉE.

Remarque Ce nom d'hôte doit résoudre l'adresse IP de l'un des contrôleurs de domaine sur le réseau. Si l'ordinateur ne peut pas résoudre ce nom ou si le nom résout l'adresse IP incorrecte, assurez-vous que la zone de recherche directe du domaine contient des enregistrements de l'hôte (A) valides (identiques au dossier parent).

Pour vous assurer que la zone de recherche directe du domaine contient des enregistrements de l'hôte (A) valides (identiques au dossier parent) sur un ordinateur Windows 2000, procédez comme suit :
  1. Sur le contrôleur de domaine qui exécute le serveur DNS, cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur DNS.
  2. Développez votre_nom_serveur, Zones de recherche directes, puis cliquez sur la zone de recherche directe de votre domaine.
  3. Recherchez les enregistrements de l'hôte (A) (identiques au dossier parent).
  4. Si aucun enregistrement de l'hôte A (identique au dossier parent) n'existe, procédez comme suit pour en créer un :
    1. Dans le menu Action, cliquez sur Nouvel hôte.
    2. Dans la zone Adresse IP, tapez l'adresse IP de l'adaptateur réseau local du contrôleur de domaine.
    3. Activez la case à cocher Créer un pointeur d'enregistrement PTR associé, puis cliquez sur Ajouter un hôte.
    4. Lorsque le message suivant s'affiche, cliquez sur Oui :
      (identique au dossier parent) n'est pas un nom d'hôte valide. Êtes-vous sûr de vouloir tout de même ajouter cet enregistrement ?
  5. Double-cliquez sur l'enregistrement de l'hôte (A) (identique au dossier parent).
  6. Vérifiez que l'adresse IP correcte est répertoriée dans la zone Adresse IP.
  7. Si l'adresse IP de la zone Adresse IP n'est pas valide, tapez l'adresse IP correcte dans la zone Adresse IP, puis cliquez sur OK.
  8. Vous pouvez également supprimer l'enregistrement de l'hôte (A) (identique au dossier parent) qui contient l'adresse IP qui n'est pas valide. Pour supprimer l'enregistrement de l'hôte (A) (identique au dossier parent), cliquez dessus avec le bouton droit, puis cliquez sur Supprimer.
  9. Si le serveur DNS est un contrôleur de domaine qui est également un serveur d'accès Routage et d'accès à distance, reportez-vous à l'article suivant de la Base de connaissances Microsoft.
    292822
    (http://support.microsoft.com/kb/292822/ )
    Problèmes de résolution de nom et de connectivité sur un contrôleur de domaine Windows 2000 disposant du service Routage et accès distant et de DNS
  10. Sur tous les ordinateurs où vous ajoutez, supprimez ou modifiez des enregistrements DNS, tapez ipconfig /flushdns à une invite de commandes, puis appuyez sur ENTRÉE.
Pour vous assurer que la zone de recherche directe du domaine contient des enregistrements de l'hôte (A) valides (identiques au dossier parent) sur un ordinateur Windows Server 2003, procédez comme suit :
  1. Sur un contrôleur de domaine qui exécute le serveur DNS, cliquez sur Démarrer, pointez sur Outils d'administration, puis sur DNS.
  2. Développez votre_nom_serveur, Zones de recherche directes, puis cliquez sur la zone de recherche directe de votre domaine.
  3. Recherchez l'enregistrement de l'hôte (A) (identique au dossier parent).
  4. Si l'enregistrement de l'hôte A (identique au dossier parent) n'existe pas, procédez comme suit pour en créer un :
    1. Dans le menu Action, cliquez sur Nouvel hôte (A).
    2. Dans la zone Adresse IP, tapez l'adresse IP de l'adaptateur réseau local du contrôleur de domaine.
    3. Activez la case à cocher Créer un pointeur d'enregistrement PTR associé, puis cliquez sur Ajouter un hôte.
    4. Lorsque le message suivant s'affiche, cliquez sur Oui :
      (identique au dossier parent) n'est pas un nom d'hôte valide. Êtes-vous sûr de vouloir tout de même ajouter cet enregistrement ?
  5. Double-cliquez sur l'enregistrement de l'hôte (A) (identique au dossier parent).
  6. Vérifiez que l'adresse IP correcte est répertoriée dans la zone Adresse IP.
  7. Si l'adresse IP de la zone Adresse IP n'est pas valide, tapez l'adresse IP correcte dans la zone Adresse IP, puis cliquez sur OK.
  8. Vous pouvez également supprimer l'enregistrement de l'hôte (A) (identique au dossier parent) qui contient l'adresse IP qui n'est pas valide. Pour supprimer l'enregistrement de l'hôte (A), cliquez avec le bouton droit sur (identique au dossier parent), puis cliquez sur Supprimer.
  9. Si le serveur DNS est un contrôleur de domaine qui est également un serveur d'accès Routage et d'accès à distance, reportez-vous à l'article suivant de la Base de connaissances Microsoft.
    292822
    (http://support.microsoft.com/kb/292822/ )
    Problèmes de résolution de nom et de connectivité sur un contrôleur de domaine Windows 2000 disposant du service Routage et accès distant et de DNS
  10. Sur tous les ordinateurs où vous ajoutez, supprimez ou modifiez des enregistrements DNS, tapez ipconfig /flushdns à une invite de commandes, puis appuyez sur ENTRÉE.

Étape 2 : Vérification des paramètres de signature SMB (Server Message Block) sur les ordinateurs clients et sur les serveurs membres

Les paramètres de signature SMB définissent si les ordinateurs sur le réseau signent les communications de façon analogique. Si les paramètres de signature SMB ne sont pas correctement configurés, les ordinateurs clients ou les serveurs membres peuvent ne pas être en mesure de se connecter aux contrôleurs de domaine.

Par exemple, la signature SMB peut être requise par les contrôleurs de domaine, mais elle peut être désactivée sur les ordinateurs clients. Si ce problème se produit, la stratégie de groupe ne peut pas être appliquée correctement. Par conséquent, les ordinateurs clients enregistrent des erreurs d'environnement utilisateur (Userenv) dans le journal des applications.
Parfois, les paramètres de signature SMB du service Serveur et du service Station de travail sur un contrôleur de domaine peuvent rentrer en conflit l'un avec l'autre.

Par exemple, la signature SMB peut être désactivée pour le service Station de travail du contrôleur de domaine, mais elle est requise pour le service Serveur du contrôleur de domaine. Dans ce scénario, vous ne pouvez pas ouvrir un ou plusieurs des partages de fichiers locaux du contrôleur de domaine si vous êtes connecté au serveur. En outre, vous ne pouvez pas ouvrir de composants logiciels enfichables Stratégie de groupe si vous êtes connecté au serveur. Pour plus d'informations sur la façon de résoudre ce problème sur un contrôleur de domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
839499
(http://support.microsoft.com/kb/839499/ )
Vous ne pouvez pas ouvrir des partages de fichiers ou des composants logiciels enfichables Stratégie de groupe lorsque vous désactivez la signature SMB pour le service Station de travail ou Serveur sur un contrôleur de domaine
Si les erreurs Stratégie de groupe se produisent uniquement sur les ordinateurs clients et les serveurs membres ou si vous pensez que cet article 839499 de la Base de connaissances ne s'applique pas à votre situation, continuez à résoudre le problème.

Par défaut, la signature SMB est activée, mais elle n'est pas requise pour la communication cliente sur les ordinateurs clients et sur les serveurs membres Windows XP, Windows 2000 ou Windows Server 2003. Nous vous recommandons d'utiliser la configuration par défaut car les ordinateurs clients peuvent utiliser la signature SMB lorsque c'est possible, mais ils continueront à communiquer avec les serveurs sur lesquels la signature SMB est désactivée.

Pour configurer les ordinateurs clients et les serveurs membres afin que la signature SMB soit activée mais pas requise, vous devez modifier les valeurs pour certaines entrées du Registre. Pour apporter les modifications de Registre sur les ordinateurs clients, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Développez la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. Dans le volet droit, cliquez avec le bouton droit sur enablesecuritysignature, puis cliquez sur Modifier.
  4. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.
  5. Cliquez avec le bouton droit sur requiresecuritysignature, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.
  7. Développez la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. Dans le volet droit, cliquez avec le bouton droit sur enablesecuritysignature, puis cliquez sur Modifier.
  9. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
  10. Cliquez avec le bouton droit sur requiresecuritysignature, puis cliquez sur Modifier.
  11. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.
Après avoir modifié les valeurs du Registre, redémarrez les services Serveur et Station de travail. Ne redémarrez pas les ordinateurs car cela peut entraîner l'application des stratégies de groupe et les paramètres de stratégie de groupe peuvent de nouveau configurer des valeurs incompatibles.

Une fois que vous avez modifié les valeurs du Registre et redémarrez les services Serveur et Station de travail sur les ordinateurs affectés, procédez comme suit :
  1. Affichez les paramètres de stratégie de groupe de l'objet ou des objets Stratégie de groupe qui s'appliquent aux comptes d'ordinateur affectés.
  2. Assurez-vous que les stratégies de groupe ne rentrent pas en conflit avec les paramètres du Registre requis.
  3. Utilisez l'Éditeur d'objets de stratégie de groupe pour afficher les paramètres de stratégie dans le dossier suivant :
    Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options
Sur un ordinateur Windows Server 2003, les paramètres de stratégie de groupe de la signature SMB sont nommés comme suit :
  • Serveur réseau Microsoft : communications signées numériquement (toujours)
  • Serveur réseau Microsoft : communications signées numériquement (si le client est d'accord)
  • Client réseau Microsoft : communications signées numériquement (toujours)
  • Client réseau Microsoft : communications signées numériquement (si le serveur est d'accord)
Sur un ordinateur Windows 2000 Server, les paramètres de stratégie de groupe de la signature SMB sont nommés comme suit :
  • Signer numériquement les communications serveur (toujours)
  • Signer numériquement les communications serveur (lorsque cela est possible)
  • Signer numériquement les communications client (toujours)
  • Signer numériquement les communications client (lorsque cela est possible)
En général, les paramètres de stratégie de groupe de signature SMB sont paramétrés sur « Non défini ». Si vous définissez les paramètres de stratégie de groupe de la signature SMB, assurez-vous que vous comprenez comment les paramètres peuvent affecter la connexion réseau. Pour plus d'informations sur les paramètres de la signature SMB, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
823659
(http://support.microsoft.com/kb/823659/ )
Incompatibilités entre les clients, les services et les programmes lorsque vous modifiez des paramètres de sécurité et des attributions des droits utilisateur
Si vous modifiez les paramètres de l'objet Stratégie de groupe sur un contrôleur de domaine Windows 2000 Server, procédez comme suit :
  1. Démarrez une invite de commandes. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. Tapez secedit /refreshpolicy machine_policy /enforce, puis appuyez sur ENTRÉE.
  3. Redémarrez les ordinateurs clients affectés.
  4. Vérifiez de nouveau les valeurs de la signature SMB dans le Registre sur les ordinateurs clients pour vous assurer qu'ils n'ont pas changé de façon inattendue.
Si vous modifiez les paramètres de l'objet Stratégie de groupe sur un contrôleur de domaine Windows Server 2003, procédez comme suit :
  1. Démarrez une invite de commandes. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. Tapez gpupdate /force, puis appuyez sur ENTRÉE.
  3. Redémarrez les ordinateurs clients affectés.
  4. Vérifiez de nouveau les valeurs de la signature SMB dans le Registre sur les ordinateurs clients pour vous assurer qu'ils n'ont pas changé de façon inattendue.
Si les valeurs de la signature SMB dans le Registre ont changé de façon inattendue après le redémarrage des ordinateurs clients, appliquez l'une des méthodes suivantes pour afficher les paramètres de stratégie appliqués qui sont appliqués à un ordinateur client:
  • Sur un ordinateur Windows XP, utilisez le composant logiciel enfichable MMC du jeu de stratégie résultant (Rsop.msc). Pour plus d'informations sur le jeu de stratégie résultant, reportez-vous au site Web de Microsoft « Resultant Set of Policy » (Jeu de stratégie résultant) à l'adresse suivante (en anglais) :
    http://technet2.microsoft.com/WindowsServer/en/library/1180b465-ea3b-4a73-8670-81fa5871a3c71033.mspx?mfr=true
    (http://technet2.microsoft.com/WindowsServer/en/library/1180b465-ea3b-4a73-8670-81fa5871a3c71033.mspx?mfr=true)
  • Sous Windows 2000, utilisez l'outil de ligne de commande Gpresult.exe pour vérifier les résultats de la stratégie de groupe. Pour cela, procédez comme suit :
    1. Utilisez Gpresult.exe à partir du Kit de ressources de Windows 2000.

      Vous pouvez également télécharger Gpresult.exe à partir du site Web de Microsoft « Gpresult.exe: Group Policy Results » (Gpresult.exe : Résultats de la stratégie de groupe) à l'adresse suivante (en anglais) :
      http://support.microsoft.com/kb/927229
      (http://support.microsoft.com/kb/927229)
    2. À l'invite de commande, tapez gpresult /scope computer, puis appuyez sur ENTRÉE.
    3. Dans la section Objets Stratégie de groupe appliqués du résultat, notez les objets Stratégie de groupe qui sont appliqués au compte d'ordinateur.
    4. Comparez les objets Stratégie de groupe qui sont appliqués au compte d'ordinateur qui possède les paramètres de stratégie de la signature SMB sur le contrôleur de domaine de ces objets Stratégie de groupe.

Étape 3 : Vérification que le service Assistance TCP/IP NetBIOS est démarré sur tous les ordinateurs

Tous les ordinateurs sur le réseau doivent exécuter le service Assistance TCP/IP NetBIOS.

Pour vérifier que le service Assistance TCP/IP NetBIOS s'exécute sur un ordinateur Windows XP, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration.
  2. Si le Panneau de configuration est affiché en mode Catégorie, cliquez sur Basculer vers l'affichage classique.
  3. Double-cliquez sur Outils d'administration.
  4. Double-cliquez sur Services.
  5. Dans la liste Services, cliquez sur Assistance TCP/IP NetBIOS. Vérifiez que la valeur sous la colonne État est définie sur Démarré. Vérifiez que la valeur sous la colonne Type de démarrage est définie sur Automatique. Si les valeurs État ou Type de démarrage sont incorrectes, procédez comme suit :
    1. Cliquez avec le bouton droit sur Assistance TCP/IP NetBIOS, puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n'est pas démarré.
    4. Cliquez sur OK.
Pour vérifier que le service Assistance TCP/IP NetBIOS s'exécute sur un ordinateur Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Services.
  2. Dans la liste Services, cliquez sur Assistance TCP/IP NetBIOS. Vérifiez que la valeur sous la colonne État est définie sur Démarré. Vérifiez que la valeur sous la colonne Type de démarrage est définie sur Automatique. Si les valeurs État ou Type de démarrage sont incorrectes, procédez comme suit :
    1. Cliquez avec le bouton droit sur Assistance TCP/IP NetBIOS, puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n'est pas démarré.
    4. Cliquez sur OK.
Pour vérifier que le service Assistance TCP/IP NetBIOS s'exécute sur un ordinateur Windows 2000, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Services.
  2. Dans la liste Services, cliquez sur Service Assistance TCP/IP NetBIOS. Vérifiez que la valeur sous la colonne État est définie sur Démarré. Vérifiez que la valeur sous la colonne Type de démarrage est définie sur Automatique. Si les valeurs État ou Type de démarrage sont incorrectes, procédez comme suit :
    1. Cliquez avec le bouton droit sur Service Assistance TCP/IP NetBIOS, puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n'est pas démarré.
    4. Cliquez sur OK.
En outre, assurez-vous que vous n'avez pas désactivé un ou plusieurs services système requis à l'aide des objets Stratégie de groupe. Affichez ces paramètres de stratégie à l'aide de l'Éditeur d'objets Stratégie de groupe dans le dossier « Computer Configuration/Windows Settings/Security Settings/System Services ».

Sous Windows Server 2003 et Windows XP, vous pouvez utiliser le composant logiciel enfichable MMC Jeu de stratégie résultant (Rsop.msc) pour vérifier tous les paramètres de stratégie appliqués qui sont appliqués à un ordinateur. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez rsop.msc dans la zone Ouvrir, puis cliquez sur OK.

Sous Windows 2000, utilisez l'outil de ligne de commande Gpresult.exe pour vérifier les résultats de la stratégie de groupe. Pour cela, procédez comme suit :
  1. Utilisez Gpresult.exe à partir du Kit de ressources de Windows 2000.

    Sinon, pour télécharger Gpresult.exe, reportez-vous au site Web « Gpresult.exe: Group Policy Results » (Gpresult.exe : Résultats de la stratégie de groupe) à l'adresse suivante (en anglais) :
    http://support.microsoft.com/kb/927229
    (http://support.microsoft.com/kb/927229)
  2. À l'invite de commande, tapez gpresult /scope computer, puis appuyez sur ENTRÉE.
  3. Dans la section Objets Stratégie de groupe appliqués du résultat, notez les objets Stratégie de groupe qui sont appliqués au compte d'ordinateur.
  4. Comparez les objets Stratégie de groupe qui sont appliqués au compte d'ordinateur qui possède les paramètres de stratégie de la signature SMB sur le contrôleur de domaine de ces objets Stratégie de groupe.
Remarque Si le service Assistance TCP/IP NetBIOS est désactivé sur de nombreux bureaux, vous pouvez utiliser l'exemple suivant de script Microsoft Visual Basic simultanément le service Assistance TCP/IP NetBIOS sur tous les ordinateurs dans une Unité d'organisation (UO).

Microsoft fournit des exemples de programmation à des fins d'illustration uniquement, sans garantie explicite ou implicite, y compris, de manière non limitative, les garanties implicites de qualité marchande ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques. Si vous ne maîtrisez que partiellement la programmation, vous pouvez contacter un partenaire certifié Microsoft ou le service client Microsoft au Numéro indiqué à la page http://support.microsoft.com/contactus/
(http://support.microsoft.com/contactus/)
qui pourra transmettre votre demande de consulting aux équipes Microsoft appropriées. Pour plus d'informations sur les partenaires certifiés Microsoft (Microsoft Certified Partners), reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
https://solutionfinder.microsoft.com/
(https://solutionfinder.microsoft.com/)
Pour plus d'informations sur les options de support technique disponibles, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
(http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS) 
Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0 
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName, 
DC=OUName,DC=CompanyName, 
DC=com") 
objOU.Filter = Array("Computer") 
For Each objComputer In objOU 
        objDictionary.Add i, objComputer.CN 
        i = i + 1 
Next 
For Each objItem In objDictionary 
        strComputer = objDictionary.Item(objItem) 
        Set objWMIService = 
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & 
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _ 
                ("Select * from Win32_Service where Name = 'LmHosts'") 
        For Each objService In colServices 
                If objService.StartMode = "Disabled" Then 
                        objService.Change( , , , , "Automatic") 
                End If 
        Next 
Next

Étape 4 : Vérification que le Système de fichiers distribués (DFS) est activé sur tous les ordinateurs

Tous les contrôleurs de domaine doivent exécuter le service Système de fichiers distribués car le partage Sysvol est un volume DFS. De plus, le client DFS doit être activé dans le Registre sur tous les ordinateurs.

Pour vous assurer que le service Système de fichiers distribués s'exécute sur les contrôleurs de domaine Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Services.
  2. Dans la liste Services, cliquez sur Système de fichiers distribués. Vérifiez que la valeur sous la colonne État est définie sur Démarré. Vérifiez que la valeur sous la colonne Type de démarrage est définie sur Automatique. Si les valeurs État ou Type de démarrage sont incorrectes, procédez comme suit :
    1. Cliquez avec le bouton droit sur Système de fichiers distribués, puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n'est pas démarré.
    4. Cliquez sur OK.
Pour vous assurer que le service Système de fichiers distribués s'exécute sur les contrôleurs de domaine Windows 2000 Server, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Services.
  2. Dans la liste Services, cliquez sur Système de fichiers distribués. Vérifiez que la valeur sous la colonne État est définie sur Démarré. Vérifiez que la valeur sous la colonne Type de démarrage est définie sur Automatique. Si les valeurs État ou Type de démarrage sont incorrectes, procédez comme suit :
    1. Cliquez avec le bouton droit sur Système de fichiers distribués, puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n'est pas démarré.
    4. Cliquez sur OK.
Pour plus d'informations sur une rubrique connexe, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
834649
(http://support.microsoft.com/kb/834649/ )
Les ordinateurs clients enregistrent les ID d'événement 1030 et 1058 lorsque le système de fichiers distribués ne démarre pas sur un contrôleur de domaine Windows 2000
Pour vous assurer que le client Système de fichiers distribués est activé sur tous les ordinateurs clients, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Développez la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Cliquez sur Mup, puis dans le volet droit, recherchez une entrée de valeur DWORD nommée DisableDFS.
  4. Si l'entrée DisableDFS est présente et si la valeur des données est définie sur 1, double-cliquez sur DisableDFS. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK. Si les données de la valeur DisableDFS sont déjà définies sur 0 ou si l'entrée DisableDFS n'est pas présente, n'apportez aucune modification.
  5. Quittez l'Éditeur du Registre.
  6. Si vous avez modifié les données de la valeur DisableDFS, redémarrez l'ordinateur.
Pour plus d'informations sur une rubrique connexe, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
314494
(http://support.microsoft.com/kb/314494/ )
Les stratégies de groupe ne sont pas appliquées comme prévu ; erreurs « ID d'événement 1058 » et « ID d'événement 1030 » dans le journal des applications

Étape 5 : Vérification du contenu et des autorisations du dossier Sysvol

Par défaut, le dossier Sysvol se trouve dans le dossier %systemroot%. Le dossier Sysvol contient les objets Stratégie de groupe du domaine, les partages Sysvol et Netlogon et le dossier intermédiaire du service de réplication de fichiers (FRS).

Si les autorisations sur le dossier Sysvol ou sur le partage Sysvol sont trop restrictives, les stratégies de groupe ne peuvent pas être appliquées correctement et elles peuvent provoquent des erreurs d'environnement utilisateur (Userenv). En outre, les erreurs Userenv peuvent se produire si le partage Sysvol ou les objets Stratégie de groupe sont manquants.
Pour vous assurer que le partage Sysvol est disponible, exécutez la commande net share à une invite de commandes sur chaque contrôleur de domaine. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. Tapez net share, puis appuyez sur ENTRÉE.
  3. Recherchez SYSVOL et NETLOGON dans la liste de dossiers.
Si les partages Sysvol ou Netlogon sont manquants dans un ou plusieurs contrôleurs de domaine, vous devez résoudre ce problème. Pour plus d'informations sur la procédure à suivre pour résoudre le problème de partages Sysvol et Netlogon manquants, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
257338
(http://support.microsoft.com/kb/257338/ )
Résolution du problème des partages SYSVOL et NETLOGON manquants sur les contrôleurs de domaine Windows 2000
Pour plus d'informations sur la procédure à suivre pour reconstruire le partage SYSVOL dans Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
315457
(http://support.microsoft.com/kb/315457/ )
Comment reconstruire l'arborescence SYSVOL et son contenu dans un domaine
Une fois que vous vous être assuré que le partage Sysvol est disponible, assurez-vous que le dossier Sysvol, le partage Sysvol et le dossier racine du volume qui contient le dossier Sysvol sont configurés avec les autorisations correctes. Pour plus d'informations sur les autorisations requises par le partage Sysvol et le dossier Sysvol, cliquez sur le numéro ci-dessous pour consulter l'article correspondant dans la Base de connaissances de Microsoft.
290647
(http://support.microsoft.com/kb/290647/ )
L'ID d'événement 1000 et 1001 est enregistré dans le journal des événements d'application toutes les cinq minutes
En outre, sous Windows 2000 Server, le groupe Tout le monde doit disposer de l'autorisation Contrôle total sur le dossier racine du volume qui contient le dossier Sysvol. Sous Windows Server 2003, le groupe Tout le monde doit disposer de l'autorisation spéciale Lecture et exécution sur « Ce dossier uniquement » et le groupe domaines\Utilisateurs doit disposer des autorisations standard suivantes :
  • Lecture et Exécution
  • Afficher le contenu du dossier
  • Lecture
En outre, sous Windows Server 2003, le groupe domaine\Utilisateurs doit disposer des autorisations spéciales suivantes :
  • Lecture et Exécution sur « Ce dossier, les sous-dossiers et les fichiers ».
  • Création de dossier/ajout de données sur « Ce dossier et les sous-dossiers ».
  • Création de fichier/écriture de données sur « Les sous-dossiers seulement ».
Une fois que vous avez vérifié les autorisations Sysvol, assurez-vous que le dossier Sysvol contient les objets Stratégie de groupe requis. Pour rechercher les objets Stratégie de groupe requis, utilisez le programme Gpotool.exe à partir du Kit de ressources de Windows 2000 ou Windows Server 2003.

Pour télécharger le programme Spotoo.exe de Windows 2000 Server, reportez-vous au site Web de Microsoft « Gpotool.exe : Group Policy Verification Tool » (Gpotool.exe : Outil de vérification de la stratégie de groupe) à l'adresse suivante (en anglais) :
http://support.microsoft.com/kb/927229
(http://support.microsoft.com/kb/927229)
Pour télécharger les outils du Kit de ressources de Windows Server 2003, reportez-vous au site Web de Microsoft « Windows Server 2003 Resource Kit Tools » (Outils du Kit de ressources de Windows Server 2003) à l'adresse suivante (en anglais) :
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)
Si vous exécutez le programme Gpotool.exe sans option, il analyse tous les objets Stratégie de groupe sur tous les contrôleurs de domaine du domaine. Si vous incluez le commutateur /checkacl, l'outil analyse également la liste de contrôle d'accès Sysvol. Pour obtenir des résultats détaillés lorsque vous exécutez le programme Gpotool.exe, utilisez le commutateur /verbose.

Vous pouvez également vérifier manuellement l'objet Stratégie de groupe individuel dans le dossier SYSVOL. Par exemple, si la description dans l'événement 1058 Userenv répertorie le nom d'un objet Stratégie de groupe, vous pouvez vérifier manuellement l'objet Stratégie de groupe individuel dans le dossier SYSVOL. Cela vous permet de vous assurer qu'il contient un dossier USER, un dossier MACHINE et un fichier Gpt.ini. Pour vérifier manuellement l'objet Stratégie de groupe individuel dans le dossier SYSVOL, procédez comme suit :
  1. Démarrez une invite de commandes. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. Tapez dans Heure /interactive /next: cmd.exe, puis appuyez sur ENTRÉE, où heure représente l'heure 1 ou 2 minutes après l'heure actuelle et elle est écrite au format d'heure 24 heures. Par exemple, 3 minutes après 13:00 correspondrait à 13:03 au format d'heure 24 heures.
  3. À l'heure que vous avez spécifiée dans la commande précédente, une nouvelle fenêtre Invite de commandes s'ouvre. Tapez net use j: \\domainname.com\sysvol\domainname.com\Policies\{GUID} , puis appuyez sur ENTRÉE, où GUID représente le GUID de l'objet Stratégie de groupe qui se trouve dans la description d'événement Userenv. Par exemple, si la description de l'événement 1058 Userenv dit « Le fichier doit être présent à l'emplacement <\\nom_domaine.com\sysvol\nom_domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>, » le GUID que vous utiliseriez dans la commande est 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Tapez dir j:\*.*, puis appuyez sur ENTRÉE.
  5. Vérifiez qu'un dossier USER, un dossier MACHINE et un fichier Gpt.ini sont répertoriés dans la liste des dossiers du lecteur l. Si l'un de ces dossiers ou de ces fichiers est manquant, il est probable que les ordinateurs sur le réseau enregistrent des erreurs Userenv dans le journal des applications.
Si un ou plusieurs objets Stratégie de groupe sont manquants dans le dossier Sysvol, exécutez l'utilitaire de restauration de la stratégie de groupe par défaut de Windows Server 2003 (Dcgpofix.exe) ou l'outil de restauration de la stratégie de groupe par défaut de Windows 2000 (Recreatedefpol.exe) pour recréer les objets Stratégie de groupe par défaut.

Le programme Dcgpofix.exe est fourni avec Windows Server 2003. Pour plus d'informations sur le programme Dcgpofix.exe, exécutez la commande dcgpofix /? à une invite de commandes.

Pour plus d'informations sur le programme Recreatedefpol.exe, reportez-vous au site Web de l'outil de restauration de la stratégie de groupe par défaut de Microsoft Windows 2000 à l'adresse suivante (en anglais) :
http://www.microsoft.com/downloads/details.aspx?familyid=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?familyid=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&displaylang=en)
Assurez-vous que vous définissez les exclusions recommandées lorsque vous analysez le lecteur Sysvol avec l'antivirus. L'analyse avec l'antivirus peut bloquer l'accès aux fichiers requis, tels que le fichier Gpt.ini. Vous devez configurer ces exclusions pour des analyses antivirus en temps réel, planifiées et manuelles. Pour plus d'informations sur les exclusions recommandées lorsque vous exécutez des antivirus sur des serveurs Windows, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
822158
(http://support.microsoft.com/kb/822158/ )
Recommandations sur l'analyse antivirus sur un contrôleur de domaine Windows 2000 ou Windows Server 2003

Étape 6 : Vérification que le droit Outrepasser le contrôle de défilement est accordé aux groupes requis

Le droit Outrepasser le contrôle de défilement doit être accordé aux groupes suivants sur les contrôleurs de domaine :
  • Administrateurs
  • Utilisateurs authentifiés
  • Tout le monde
  • Accès compatible pré-Windows 2000
Pour vérifier que le droit Outrepasser le contrôle de défilement a été accordé sur un contrôleur de domaine Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.
  2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
  3. Double-cliquez sur Outrepasser le contrôle de défilement.
  4. Activez la case à cocher Définir ces paramètres de stratégie.
  5. Vérifiez que les groupes Administrateurs, Utilisateurs authentifiés, Tout le monde et Accès compatible pré-Windows 2000 sont répertoriés pour ce paramètre de stratégie. Si l'un de ces groupes est manquant, procédez comme suit :
    1. Cliquez sur Ajouter un utilisateur ou un groupe.
    2. Dans la zone Noms d'utilisateurs et de groupes, tapez le nom du groupe manquant, puis cliquez sur OK.
  6. Cliquez sur OK pour fermer le paramètre de stratégie.
  7. Démarrez une invite de commandes. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  8. Tapez gpupdate /force, puis appuyez sur ENTRÉE.
Pour vérifier que le droit Outrepasser le contrôle de défilement a été accordé sur un contrôleur de domaine Windows 2000 Server, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.
  2. Développez Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
  3. Double-cliquez sur Outrepasser le contrôle de défilement.
  4. Activez la case à cocher Définir ces paramètres de stratégie.
  5. Vérifiez que les groupes Administrateurs, Utilisateurs authentifiés, Tout le monde et Accès compatible pré-Windows 2000 sont répertoriés pour ce paramètre de stratégie. Si l'un de ces groupes est manquant, procédez comme suit :
    1. Cliquez sur Ajouter.
    2. Dans la zone Noms d'utilisateurs et de groupes, tapez le nom du groupe manquant, puis cliquez sur OK.
  6. Cliquez sur OK pour fermer le paramètre de stratégie.
  7. Démarrez une invite de commandes. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  8. Tapez secedit /refreshpolicy machine_policy /enforce, puis appuyez sur ENTRÉE.

Étape 7 : Vérification que les contrôleurs de domaine ne sont pas dans un état de bouclage du journal

Pour vérifier qu'un contrôleur de domaine est dans un état de bouclage du journal, affichez le journal de service de la réplication de fichiers dans l'Observateur d'événements et recherchez l'ID d'événement NTFRS 13568. L'ID d'événement 13568 est semblable à l'ID d'événement suivant :

Type d'événement : Avertissement
Source de l'événement : NtFrs
Catégorie de l'événement : Aucune
ID de l'événement : 13568
Date : DATE
Heure : HEURE
Utilisateur : N/A
Ordinateur : nom_serveur
Description : Le service de réplication de fichiers a détecté que le jeu de réplicas « < 1 > » se trouve dans JRNL_WRAP_ERROR. Le nom du jeu de réplicas est : « < 1 > » Le chemin d'accès racine du réplica est : « < 2 > » Le volume racine du réplica est : "<3>"

Si l'ID d'événement NTFRS 13568 est enregistrée sur un contrôleur de domaine, reportez-vous à l'article suivant de la Base de connaissances Microsoft pour plus d'informations sur la résolution des erreurs de bouclage du journal :
292438
(http://support.microsoft.com/kb/292438/ )
Résolution des erreurs de bouclage du journal sur les jeux de réplicas Sysvol et DFS

Étape 8 : Exécution de la commande Dfsutil /PurgeMupCache

Exécutez le programme Dfsutil.exe avec le commutateur /PurgeMupCache pour vider les informations mises en cache de DFS /MUP. Le programme Dfsutil.exe est fourni dans les outils de support de Windows 2000 Server et les outils de support de Windows Server 2003. Pour plus d'informations sur une rubrique connexe, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
830676
(http://support.microsoft.com/kb/830676/ )
Le traitement de la stratégie de groupe échoue avec les événements 1058 et 1030 dans Windows Server 2003
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 887303 - Dernière mise à jour: lundi 8 avril 2013 - Version: 6.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
Mots-clés : 
kbwinservperf kbmgmtservices kbprb kbtshoot KB887303
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début