Si verificano errori userenv e gli eventi vengono registrati dopo aver applicato Criteri di gruppo ai computer che eseguono Windows Server 2003, Windows XP o Windows 2000

  • Articolo

Questo articolo fornisce una soluzione ai problemi in cui i computer della rete non possono connettersi agli oggetti Criteri di gruppo nelle cartelle Sysvol nei controller di dominio di rete.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 887303

Riepilogo

È possibile che si verifichino uno o più errori ed eventi se Criteri di gruppo viene applicato ai computer della rete. Per determinare la causa del problema, è necessario risolvere i problemi di configurazione dei computer nella rete. Seguire questa procedura per risolvere la causa del problema:

  1. Esaminare le impostazioni DNS e le proprietà di rete nei server e nei computer client.
  2. Esaminare le impostazioni di firma del blocco messaggi del server nei computer client.
  3. Assicurarsi che il servizio Helper NetBIOS TCP/IP, il servizio Accesso rete e il servizio RPC (Remote Procedure Call) siano avviati in tutti i computer.
  4. Assicurarsi che il file system distribuito (DFS) sia abilitato in tutti i computer.
  5. Esaminare il contenuto e le autorizzazioni della cartella Sysvol.
  6. Assicurarsi che il diritto Bypass traverse checking sia concesso ai gruppi necessari.
  7. Assicurarsi che i controller di dominio non siano in uno stato di wrapping del journal.
  8. Eseguire il comando dfsutil /purgemupcache.

Sintomi

Si verificano uno o più dei sintomi seguenti in un computer che esegue Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000:

  • Criteri di gruppo impostazioni non vengono applicate ai computer.

  • Criteri di gruppo replica non viene completata tra i controller di dominio nella rete.

  • Non è possibile aprire Criteri di gruppo snap-in. Ad esempio, non è possibile aprire lo snap-in Criteri di sicurezza del controller di dominio o lo snap-in Criteri di sicurezza del dominio.

  • Se si tenta di aprire uno snap-in Criteri di gruppo, viene visualizzato uno dei messaggi di errore seguenti:

    Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non disporre dei diritti appropriati.
    Dettagli: l'account non è autorizzato ad accedere da questa stazione.

    Non si dispone dell'autorizzazione per eseguire questa operazione.
    Dettagli: accesso negato.

    Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non disporre dei diritti appropriati.
    Dettagli: il sistema non riesce a trovare il percorso specificato.

  • Se si tenta di accedere ai file condivisi in qualsiasi controller di dominio, viene visualizzato un messaggio di errore. Questo sintomo si verifica anche se si è connessi al server e si tenta di accedere a una condivisione locale. In particolare, questo sintomo può influire sull'accesso alla condivisione Sysvol di un controller di dominio.

  • Se si tenta di accedere a una condivisione file, viene ripetutamente richiesta una password.

  • Se si tenta di accedere a una condivisione file, viene visualizzato un messaggio di errore simile a uno dei messaggi di errore seguenti:

    \\Nome_server\Share_Name non è accessibile. È possibile non disporre dell'autorizzazione per l'utilizzo di questa risorsa di rete. Contattare l'amministratore del server per sapere se si dispone dei permessi di accesso.
    L'account non è autorizzato ad accedere da questa stazione.

    \\Nome_server\Share_Name non è accessibile.
    L'account non è autorizzato ad accedere da questa stazione.

    Impossibile trovare il percorso di rete.

Se si visualizza il log applicazioni in Visualizzatore eventi in Windows XP o Windows Server 2003, vengono visualizzati eventi simili agli eventi seguenti:

Tipo evento: Errore

Origine evento: Userenv
Categoria di eventi: Nessuna
              ID evento: 1058

Data: Data
Tempo:
Time
Utente:
User_name
Computer:
Computer_Name
Descrizione: Windows non può accedere al file gpt.ini per GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com . Il file deve essere presente nel percorso <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Error_Message). Criteri di gruppo'elaborazione è stata interrotta. Per altre informazioni, vedere Help and Support Center all'indirizzo https://support.microsoft.com.

Il messaggio di errore visualizzato nel segnaposto Error_Message nell'ID evento 1058 può essere uno dei seguenti messaggi di errore:

  • Impossibile trovare il percorso di rete.

  • Accesso negato.

  • Impossibile leggere le informazioni di configurazione dal controller di dominio, perché il computer non è disponibile o l'accesso è stato negato.

Tipo evento: Errore
Origine evento: Userenv
Categoria di eventi: Nessuna
ID evento: 1030
Data:
Data
Tempo:
Time
Utente:
User_name
Computer:
Computer_Name
Descrizione: Windows non può eseguire query per l'elenco di oggetti Criteri di gruppo. Messaggio che descrive il motivo per cui è stato registrato in precedenza dal motore dei criteri. Per altre informazioni, vedere Help and Support Center all'indirizzo https://support.microsoft.com.

In genere, se si verificano l'ID evento 1058 e l'ID evento 1030, vengono registrati dai computer client e dai server membri all'avvio del computer. I controller di dominio registrano questi eventi ogni cinque minuti.

Se si visualizza il log applicazioni in Visualizzatore eventi in un computer basato su Windows 2000, vengono visualizzati eventi simili agli eventi seguenti:

Tipo evento: Errore
Origine evento: Userenv

Categoria di eventi: Nessuna
ID evento: 1000
Data:
Data
Tempo:
Time
Utente: NT AUTHORITY\SYSTEM
Computer:
Computer_Name
Descrizione: Impossibile accedere alle informazioni del Registro di sistema in \\ domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol con (Error_Code).

Il codice di errore visualizzato nel segnaposto Error_Code nell'ID evento 1000 può essere uno dei codici di errore seguenti:

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Causa

Questi problemi si verificano se i computer presenti nella rete non possono connettersi a determinati oggetti Criteri di gruppo. In particolare, questi oggetti si trovano nelle cartelle Sysvol nei controller di dominio della rete.

Risoluzione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Assicurarsi quindi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.

Per risolvere questo problema, è necessario risolvere la configurazione della rete per limitare la causa del problema e quindi correggere la configurazione. Per risolvere la possibile causa di questo problema, seguire questa procedura:

Passaggio 1: Esaminare le impostazioni DNS e le proprietà di rete nei server e nei computer client

Nelle proprietà di connessione dell'area locale è necessario abilitare Client per reti Microsoft in tutti i server e i computer client. Il componente Condivisione file e stampanti per reti Microsoft deve essere abilitato in tutti i controller di dominio.

Inoltre, ogni computer in rete deve usare server DNS in grado di risolvere i record SRV e i nomi host per la foresta di Active Directory in cui il computer è membro. In genere, un errore di configurazione comune è che i computer client usno i server DNS che appartengono al provider di servizi Internet (ISP).

In tutti i computer che hanno registrato gli errori Userenv, esaminare le impostazioni DNS e le proprietà di rete. Controllare inoltre queste impostazioni in tutti i controller di dominio, indipendentemente dal fatto che registrino o meno gli errori userenv.

Per verificare le impostazioni DNS e le proprietà di rete nei computer basati su Windows XP nella rete, seguire questa procedura:

  1. Selezionare Start, quindi Pannello di controllo.
  2. Se Pannello di controllo è impostato su Visualizzazione categorie, selezionare Passa alla visualizzazione classica.
  3. Fare doppio clic su Rete Connections, fare clic con il pulsante destro del mouse su Connessione locale e quindi scegliere Proprietà.
  4. Nella scheda Generale fare clic per selezionare la casella di controllo Client per reti Microsoft .
  5. Selezionare Protocollo Internet (TCP/IP) e quindi proprietà.
  6. Se si seleziona Usa i seguenti indirizzi server DNS , assicurarsi che gli indirizzi IP per i server DNS preferiti e alternativi siano gli indirizzi IP dei server DNS in grado di risolvere i record SRV e i nomi host in Active Directory. In particolare, il computer non deve usare i server DNS che appartengono all'ISP. Se gli indirizzi del server DNS non sono corretti, digitare gli indirizzi IP dei server DNS corretti nelle caselle Server DNS preferito e Server DNS alternativo .
  7. Selezionare Avanzate e quindi selezionare la scheda DNS .
  8. Fare clic per selezionare la casella di controllo Registra gli indirizzi di questa connessione in DNS e quindi selezionare OK tre volte.
  9. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd e quindi selezionare OK.
  10. Digitare ipconfig /flushdns e quindi premere INVIO. Digitare ipconfig /registerdns e quindi premere INVIO.
  11. Riavviare il computer per rendere effettive le modifiche.

Per verificare le impostazioni DNS e le proprietà di rete nei computer basati su Windows 2000 nella rete, seguire questa procedura:

  1. Selezionare Start, scegliere Impostazioni e quindi Pannello di controllo.

  2. Fare doppio clic su Rete e accesso Connections.

  3. Fare clic con il pulsante destro del mouse su Connessione all'area locale e quindi scegliere Proprietà.

  4. Nella scheda Generale fare clic per selezionare la casella di controllo Client per reti Microsoft .

  5. Se il computer è un controller di dominio, fare clic per selezionare la casella di controllo Condivisione file e stampanti per reti Microsoft .

    Nota

    Nei server di accesso remoto multi-home e nei server basati su server isa (Microsoft Internet Security and Acceleration) è possibile disabilitare il componente Condivisione file e stampanti per reti Microsoft per l'adattatore di rete connesso a Internet. Tuttavia, il componente Client per reti Microsoft deve essere abilitato per tutti gli adattatori di rete del server.

  6. Selezionare Protocollo Internet (TCP/IP) e quindi fare clic su Proprietà.

  7. Se si seleziona Usa i seguenti indirizzi server DNS , assicurarsi che gli indirizzi IP per i server DNS preferiti e alternativi siano gli indirizzi IP dei server DNS in grado di risolvere i record SRV e i nomi host in Active Directory. In particolare, il computer non deve usare i server DNS che appartengono all'ISP. Se gli indirizzi del server DNS non sono corretti, digitare gli indirizzi IP dei server DNS corretti nelle caselle Server DNS preferito e Server DNS alternativo .

  8. Selezionare Avanzate e quindi selezionare la scheda DNS .

  9. Fare clic per selezionare la casella di controllo Registra gli indirizzi di questa connessione in DNS e quindi selezionare OK tre volte.

  10. Avviare un prompt dei comandi. A tale scopo, selezionare Avvia, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.

  11. Digitare ipconfig /flushdns e quindi premere INVIO. Digitare ipconfig /registerdns e quindi premere INVIO.

  12. Riavviare il computer.

Per verificare le impostazioni DNS e le proprietà di rete nei computer basati su Windows Server 2003 nella rete, seguire questa procedura:

  1. Selezionare Start, scegliere Pannello di controllo e quindi fare doppio clic su Rete Connections.

  2. Fare clic con il pulsante destro del mouse sulla connessione all'area locale e quindi scegliere Proprietà.

  3. Nella scheda Generale fare clic per selezionare la casella di controllo Client per reti Microsoft .

  4. Se il computer è un controller di dominio, fare clic per selezionare la casella di controllo Condivisione file e stampanti per reti Microsoft .

    Nota

    Nei server di Accesso remoto multi-home e nei server basati su ISA Server è possibile disabilitare il componente Condivisione file e stampanti per le reti Microsoft per l'adattatore di rete connesso a Internet. Tuttavia, il componente Client per reti Microsoft deve essere abilitato per tutti gli adattatori di rete del server.

  5. Selezionare Protocollo Internet (TCP/IP) e quindi proprietà.

  6. Se si seleziona Usa i seguenti indirizzi server DNS , assicurarsi che gli indirizzi IP per i server DNS preferiti e alternativi siano gli indirizzi IP dei server DNS in grado di risolvere i record SRV e i nomi host in Active Directory. In particolare, il computer non deve usare i server DNS che appartengono all'ISP. Se gli indirizzi del server DNS non sono corretti, digitare gli indirizzi IP dei server DNS corretti nelle caselle Server DNS preferito e Server DNS alternativo .

  7. Selezionare Avanzate e quindi selezionare la scheda DNS .

  8. Fare clic per selezionare la casella di controllo Registra gli indirizzi di questa connessione in DNS e quindi selezionare OK tre volte.

  9. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd e quindi selezionare OK.

  10. Digitare ipconfig /flushdns e quindi premere INVIO. Digitare ipconfig /registerdns e quindi premere INVIO.

  11. Riavviare il computer per rendere effettive le modifiche.

Se i computer client nella rete sono configurati per ottenere automaticamente i propri indirizzi IP, assicurarsi che il computer che esegue il servizio DHCP assegni gli indirizzi IP dei server DNS in grado di risolvere i record SRV e i nomi host in Active Directory.

Per determinare gli indirizzi IP usati da un computer per DNS, seguire questa procedura:

  1. Avviare un prompt dei comandi. A tale scopo, selezionare Avvia, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare ipconfig /all e quindi premere INVIO.
  3. Prendere nota delle voci DNS elencate sullo schermo.

Se i computer configurati per ottenere automaticamente gli indirizzi IP non usano i server DNS corretti, vedere la documentazione relativa al server DHCP per informazioni su come configurare l'opzione Server DNS. Assicurarsi inoltre che ogni computer possa risolvere l'indirizzo IP del dominio. A tale scopo, digitare ping Your_Domain_Name. Your_Domain_Root al prompt dei comandi e quindi premere INVIO. Digitare invece nslookup Your_Domain_Name. Your_Domain_Root, quindi premere INVIO.

Nota

Si prevede che questo nome host verrà risolto nell'indirizzo IP di uno dei controller di dominio nella rete. Se il computer non riesce a risolvere questo nome o se il nome si risolve nell'indirizzo IP errato, assicurarsi che la zona di ricerca diretta per il dominio contenga record host (A) validi (uguale alla cartella padre).

Per assicurarsi che la zona di ricerca diretta per il dominio contenga record host (A) validi ( uguale alla cartella padre) in un computer basato su Windows 2000, seguire questa procedura:

  1. In un controller di dominio che esegue DNS selezionare Avvia, programmi, Strumenti di amministrazione e quindi DNS.

  2. Espandere Your_Server_Name, espandere Zone di ricerca diretta e quindi selezionare la zona di ricerca diretta per il dominio.

  3. Cercare i record host (A) (uguale alla cartella padre ).

  4. Se non esiste un record host (uguale alla cartella padre) (A), seguire questa procedura per crearne uno:

    1. Scegliere Nuovo host dal menu Azione.
    2. Nella casella Indirizzo IP digitare l'indirizzo IP dell'adattatore di rete locale del controller di dominio.
    3. Fare clic per selezionare la casella di controllo Crea record puntatore associato (PTR) e quindi selezionare Aggiungi host.
    4. Quando si riceve il messaggio seguente, selezionare :

      (uguale alla cartella padre) non è un nome host valido. Aggiungere questo record?

  5. Fare doppio clic sul record host (A) (uguale alla cartella padre ).

  6. Verificare che l'indirizzo IP corretto sia elencato nella casella Indirizzo IP .

  7. Se l'indirizzo IP nella casella Indirizzo IP non è valido, digitare l'indirizzo IP corretto nella casella Indirizzo IP e quindi selezionare OK.

  8. È invece possibile eliminare il record host (uguale alla cartella padre) (A) che contiene un indirizzo IP non valido. Per eliminare il record host (uguale alla cartella padre) (A), fare clic con il pulsante destro del mouse su di esso e quindi scegliere Elimina.

  9. Se il server DNS è un controller di dominio che è anche un server di routing e accesso remoto, vedere Risoluzione dei nomi e problemi di connettività in un server di routing e accesso remoto che esegue anche DNS o WINS.

  10. In tutti i computer in cui si aggiungono, eliminano o modificano record DNS, digitare ipconfig /flushdns al prompt dei comandi e quindi premere INVIO.

Per assicurarsi che la zona di ricerca diretta per il dominio contenga record host (A) validi ( uguali alla cartella padre) in un computer basato su Windows Server 2003, seguire questa procedura:

  1. In un controller di dominio che esegue DNS selezionare Start, scegliere Strumenti di amministrazione e quindi DNS.

  2. Espandere Your_Server_Name, espandere Zone di ricerca diretta e quindi selezionare la zona di ricerca diretta per il dominio.

  3. Cercare il record host (A) (uguale alla cartella padre ).

  4. Se il record host (uguale alla cartella padre) (A) non esiste, seguire questa procedura per crearne uno:

    1. Scegliere Nuovo host (A) dal menu Azione.
    2. Nella casella Indirizzo IP digitare l'indirizzo IP dell'adattatore di rete locale del controller di dominio.
    3. Fare clic per selezionare la casella di controllo Crea record puntatore associato (PTR) e quindi selezionare Aggiungi host.
    4. Quando si riceve il messaggio seguente, selezionare :

      (uguale alla cartella padre) non è un nome host valido. Aggiungere questo record?

  5. Fare doppio clic sul record host (A) (uguale alla cartella padre ).

  6. Verificare che l'indirizzo IP corretto sia elencato nella casella Indirizzo IP .

  7. Se l'indirizzo IP si trova nella casella Indirizzo IP non è valido, digitare l'indirizzo IP corretto nella casella Indirizzo IP e quindi selezionare OK.

  8. È invece possibile eliminare il record host (uguale alla cartella padre) (A) che contiene l'indirizzo IP non valido. Per eliminare il record Host (A), fare clic con il pulsante destro del mouse (come nella cartella padre) e quindi scegliere Elimina.

  9. Se il server DNS è un controller di dominio che è anche un server di routing e accesso remoto, vedere Risoluzione dei nomi e problemi di connettività in un server di routing e accesso remoto che esegue anche DNS o WINS.

  10. In tutti i computer in cui si aggiungono, eliminano o modificano record DNS, digitare ipconfig /flushdns al prompt dei comandi e quindi premere INVIO.

Passaggio 2: Esaminare le impostazioni di firma del blocco messaggi del server nei computer client e nei server membri

Le impostazioni di firma SMB (Server Message Block) definiscono se i computer sulla rete firmano digitalmente le comunicazioni. Se le impostazioni di firma SMB non sono configurate correttamente, i computer client o i server membri potrebbero non essere in grado di connettersi ai controller di dominio.

Ad esempio, la firma SMB può essere richiesta dai controller di dominio, ma la firma SMB può essere disabilitata nei computer client. Se si verifica questo problema, Criteri di gruppo non può essere applicato correttamente. Di conseguenza, i computer client registrano gli errori dell'ambiente utente (Userenv) nel registro applicazioni. In alcuni casi, le impostazioni di firma SMB per il servizio Server e il servizio Workstation in un controller di dominio possono essere in conflitto tra loro.

Ad esempio, la firma SMB può essere disabilitata per il servizio Workstation del controller di dominio, ma la firma SMB è necessaria per il servizio Server del controller di dominio. In questo scenario non è possibile aprire una o più condivisioni file locali del controller di dominio se si è connessi al server. Inoltre, non è possibile aprire Criteri di gruppo snap-in se si è connessi al server.
Per altre informazioni su come risolvere questo problema in un controller di dominio, vedere Non è possibile aprire condivisioni file o snap-in Criteri di gruppo in un controller di dominio.

Se Criteri di gruppo errori si verificano solo nei computer client e nei server membri o se si determina che non è possibile aprire condivisioni file o Criteri di gruppo snap-in in un controller di dominio non si applica alla situazione, continuare a risolvere il problema.

Per impostazione predefinita, la firma SMB è abilitata, ma non è necessaria per la comunicazione client nei computer client e nei server membri che eseguono Windows XP, Windows 2000 o Windows Server 2003. È consigliabile usare la configurazione predefinita perché i computer client possono usare la firma SMB quando è possibile, ma comunicano comunque con i server con firma SMB disabilitata.

Per configurare i computer client e i server membri in modo che la firma SMB sia abilitata ma non necessaria, è necessario modificare i valori per alcune voci del Registro di sistema. Per apportare modifiche al Registro di sistema nei computer client, seguire questa procedura:

  1. Fare clic su Start, selezionare Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
  2. Espandere la sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. Nel riquadro destro fare clic con il pulsante destro del mouse su enablesecuritysignature e quindi scegliere Modifica.
  4. Nella casella Dati valore digitare 0 e quindi selezionare OK.
  5. Fare clic con il pulsante destro del mouse su requiresecuritysignature e quindi scegliere Modifica.
  6. Nella casella Dati valore digitare 0 e quindi selezionare OK.
  7. Espandere la sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. Nel riquadro destro fare clic con il pulsante destro del mouse su enablesecuritysignature e quindi scegliere Modifica.
  9. Nella casella Dati valore digitare 1 e quindi selezionare OK.
  10. Fare clic con il pulsante destro del mouse su requiresecuritysignature e quindi scegliere Modifica.
  11. Nella casella Dati valore digitare 0 e quindi selezionare OK.

Dopo aver modificato i valori del Registro di sistema, riavviare i servizi Server e Workstation. Non riavviare i computer perché potrebbe causare l'applicazione di criteri di gruppo e le impostazioni di Criteri di gruppo potrebbero configurare nuovamente i valori in conflitto.

Dopo aver modificato i valori del Registro di sistema e aver riavviato i servizi Server e Workstation nei computer interessati, seguire questa procedura:

  1. Visualizzare le impostazioni Criteri di gruppo per l'oggetto Criteri di gruppo o gli oggetti Criteri di gruppo applicabili agli account computer interessati.
  2. Assicurarsi che i criteri di gruppo non siano in conflitto con le impostazioni richieste del Registro di sistema.
  3. Utilizzare il Editor Oggetto Criteri di gruppo per visualizzare le impostazioni dei criteri nella cartella seguente:Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

In un computer che esegue Windows Server 2003, le impostazioni di firma SMB Criteri di gruppo hanno i nomi seguenti:

  • Server di rete Microsoft: firma digitale delle comunicazioni (sempre)
  • Server di rete Microsoft: firmare digitalmente le comunicazioni (se il client è d'accordo)
  • Client di rete Microsoft: firma digitale delle comunicazioni (sempre)
  • Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo)

In un computer che esegue Windows 2000 Server, le impostazioni di firma SMB Criteri di gruppo hanno i nomi seguenti:

  • Firma digitale della comunicazione del server (sempre)
  • Firma digitale della comunicazione del server (quando possibile)
  • Firma digitale delle comunicazioni client (sempre)
  • Firma digitale delle comunicazioni client (quando possibile)

In genere, le impostazioni di firma SMB Criteri di gruppo sono configurate come "Non definite". Se si definiscono le impostazioni di firma SMB Criteri di gruppo, assicurarsi di comprendere in che modo le impostazioni possono influire sulla connettività di rete.
Per altre informazioni sulle impostazioni di firma SMB, vedere Problemi relativi a client, servizi e programmi se si modificano le impostazioni di sicurezza e le assegnazioni dei diritti utente.

Se si modificano le impostazioni dell'oggetto Criteri di gruppo in un controller di dominio che esegue Windows 2000 Server, seguire questa procedura:

  1. Avviare un prompt dei comandi. A tale scopo, selezionare Avvia, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare secedit /refreshpolicy machine_policy /enforce e quindi premere INVIO.
  3. Riavviare i computer client interessati.
  4. Ricontrollare i valori di firma SMB nel Registro di sistema nei computer client per assicurarsi che non siano cambiati in modo imprevisto.

Se si modificano le impostazioni dell'oggetto Criteri di gruppo in un controller di dominio che esegue Windows Server 2003, seguire questa procedura:

  1. Avviare un prompt dei comandi. A tale scopo, selezionare Avvia, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare gpupdate /force e quindi premere INVIO.
  3. Riavviare i computer client interessati.
  4. Ricontrollare i valori di firma SMB nel Registro di sistema nei computer client per assicurarsi che non siano cambiati in modo imprevisto.

Se i valori di firma SMB nel Registro di sistema cambiano in modo imprevisto dopo il riavvio dei computer client, usare uno dei metodi seguenti per visualizzare le impostazioni dei criteri applicate applicate a un computer client:

  • In un computer basato su Windows XP usare lo snap-in MMC Set risultante di criteri (Rsop.msc). Per altre informazioni sul set di criteri risultante, vedere Set di criteri risultante.

  • In Windows 2000 usare lo strumento da riga di comando Gpresult.exe per esaminare i risultati Criteri di gruppo. Per effettuare questa operazione, seguire questi passaggi:

    1. Installare Gpresult.exe da Windows 2000 Resource Kit.

    2. Al prompt dei comandi digitare gpresult /scope computer e quindi premere INVIO.

    3. Nella sezione Oggetti Criteri di gruppo applicati dell'output prendere nota degli oggetti Criteri di gruppo applicati all'account computer.

    4. Confrontare gli oggetti Criteri di gruppo applicati all'account computer con le impostazioni dei criteri di firma SMB nel controller di dominio per questi oggetti Criteri di gruppo.

Passaggio 3: Assicurarsi che il servizio helper NetBIOS TCP/IP sia avviato in tutti i computer

Tutti i computer in rete devono eseguire il servizio helper NetBIOS TCP/IP.

Per verificare che il servizio Helper NetBIOS TCP/IP sia in esecuzione in un computer basato su Windows XP, seguire questa procedura:

  1. Selezionare Start, quindi Pannello di controllo.
  2. Se Pannello di controllo è in Visualizzazione categorie, selezionare Passa alla visualizzazione classica.
  3. Fare doppio clic su Strumenti di amministrazione.
  4. Fare doppio clic su Servizi.
  5. Nell'elenco Servizi selezionare Helper NetBIOS TCP/IP. Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Stato o Tipo di avvio non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse sull'helper NetBIOS TCP/IP e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio , se il servizio non è avviato, selezionare Avvia.
    4. Selezionare OK.

Per verificare che il servizio Helper NetBIOS TCP/IP sia in esecuzione in un computer basato su Windows Server 2003, seguire questa procedura:

  1. Selezionare Start, scegliere Strumenti di amministrazione e quindi Servizi.
  2. Nell'elenco Servizi selezionare Helper NetBIOS TCP/IP. Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Stato o Tipo di avvio non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse sull'helper NetBIOS TCP/IP e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio , se il servizio non è avviato, selezionare Avvia.
    4. Selezionare OK.

Per verificare che il servizio Helper NetBIOS TCP/IP sia in esecuzione in un computer basato su Windows 2000, seguire questa procedura:

  1. Selezionare Start, scegliere Programmi, Strumenti di amministrazione e quindi Servizi.
  2. Nell'elenco Servizi selezionare Servizio helper NetBIOS TCP/IP. Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Stato o Tipo di avvio non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse su Tcp/IP NetBIOS Helper Service (Servizio helper NetBIOS TCP/IP) e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio , se il servizio non è avviato, selezionare Avvia.
    4. Selezionare OK.

Assicurarsi inoltre di non aver disabilitato uno o più dei servizi di sistema necessari usando Criteri di gruppo oggetti . Visualizzare queste impostazioni dei criteri usando l'oggetto Criteri di gruppo Editor nella Computer Configuration/Windows Settings/Security Settings/System Services cartella .

In Windows Server 2003 e Windows XP è possibile usare lo snap-in MMC Set risultante di criteri (Rsop.msc) per controllare tutte le impostazioni dei criteri applicate applicate a un computer. A tale scopo, selezionare Avvia, selezionare Esegui, digitare rsop.msc nella casella Apri e quindi selezionare OK.

In Windows 2000 usare lo strumento da riga di comando Gpresult.exe per esaminare i risultati Criteri di gruppo. Per effettuare questa operazione, seguire questi passaggi:

  1. Installare Gpresult.exe da Windows 2000 Resource Kit.
  2. Al prompt dei comandi digitare gpresult /scope computer e quindi premere INVIO.
  3. Nella sezione Oggetti Criteri di gruppo applicati dell'output prendere nota degli oggetti Criteri di gruppo applicati all'account computer.
  4. Confrontare gli oggetti Criteri di gruppo applicati all'account computer con le impostazioni dei criteri di firma SMB nel controller di dominio per questi oggetti Criteri di gruppo.

Nota

Se il servizio helper NetBIOS TCP/IP è disabilitato in molti desktop, è possibile usare lo script di Microsoft Visual Basic di esempio seguente per avviare contemporaneamente il servizio helper NETBIOS TCP/IP in tutti i computer di un'unità organizzativa.

Microsoft fornisce esempi di programmazione a scopo puramente illustrativo, senza alcuna garanzia di qualsiasi tipo, sia espressa che implicita, ivi incluse, a mero titolo esemplificativo, le garanzie implicite di commerciabilità o idoneità per uno scopo particolare. In questo articolo si presuppone che l'utente conosca il linguaggio di programmazione in questione e gli strumenti utilizzati per creare ed eseguire il debug delle procedure. I tecnici del supporto tecnico Microsoft possono spiegare le funzionalità di una particolare procedura, ma non modificheranno questi esempi per fornire funzionalità aggiuntive o procedure di costruzione per soddisfare i requisiti specifici.

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

Passaggio 4: Verificare che il file system distribuito (DFS) sia abilitato in tutti i computer

Tutti i controller di dominio devono eseguire il servizio File system distribuito perché la condivisione Sysvol è un volume DFS. Inoltre, il client DFS deve essere abilitato nel Registro di sistema in tutti i computer.

Per assicurarsi che il servizio File system distribuito sia in esecuzione nei controller di dominio basati su Windows Server 2003, seguire questa procedura:

  1. Selezionare Start, scegliere Strumenti di amministrazione e quindi Servizi.
  2. Nell'elenco Servizi selezionare Servizio file system distribuito . Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Stato o Tipo di avvio non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse su File system distribuito e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio , se il servizio non è avviato, selezionare Avvia.
    4. Selezionare OK.

Per assicurarsi che il servizio File system distribuito sia in esecuzione nei controller di dominio basati su Windows 2000 Server, seguire questa procedura:

  1. Selezionare Start, scegliere Programmi, Strumenti di amministrazione e quindi Servizi.
  2. Nell'elenco Servizi selezionare Servizio file system distribuito . Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Stato o Tipo di avvio non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse su File system distribuito e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio , se il servizio non è avviato, selezionare Avvia.
    4. Selezionare OK.

Per assicurarsi che il client del file system distribuito sia abilitato in tutti i computer client, seguire questa procedura:

  1. Fare clic su Start, selezionare Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
  2. Espandere la sottochiave seguente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Selezionare Mup e quindi nel riquadro destro cercare una voce di valore DWORD denominata DisableDFS.
  4. Se la voce DisableDFS esiste e i dati del valore sono 1, fare doppio clic su DisableDFS. Nella casella Dati valore digitare 0 e quindi selezionare OK. Se i dati del valore DisableDFS sono già 0 o se la voce DisableDFS non esiste, non apportare alcuna modifica.
  5. Chiudere l'editor del Registro di sistema.
  6. Se sono stati modificati i dati del valore DisableDFS , riavviare il computer.

Passaggio 5: Esaminare il contenuto e le autorizzazioni della cartella Sysvol

Per impostazione predefinita, la cartella Sysvol si trova nella %systemroot% cartella . La cartella Sysvol contiene gli oggetti Criteri di gruppo del dominio, le condivisioni Sysvol e Netlogon e la cartella di staging del servizio Replica file (FRS).

Se le autorizzazioni per la cartella Sysvol o la condivisione Sysvol sono troppo restrittive, i criteri di gruppo non possono essere applicati correttamente e causano errori dell'ambiente utente (Userenv). Inoltre, è possibile che si verifichino errori Userenv se la condivisione Sysvol o Criteri di gruppo oggetti sono mancanti.
Per assicurarsi che la condivisione Sysvol sia disponibile, eseguire il comando net share al prompt dei comandi in ogni controller di dominio. Per effettuare questa operazione, seguire questi passaggi:

  1. Selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare net share e quindi premere INVIO.
  3. Individuare SYSVOL e NETLOGON nell'elenco delle cartelle.

Se le condivisioni Sysvol o Netlogon sono mancanti da uno o più controller di dominio, è necessario risolvere la causa del problema.
Per altre informazioni su come risolvere i problemi relativi alle condivisioni Sysvol e Netlogon mancanti in Windows 2000 Server, vedere Risoluzione dei problemi relativi alle condivisioni SYSVOL e NETLOGON mancanti nei controller di dominio Windows.

Per altre informazioni su come ricompilare la condivisione Sysvol in Windows Server 2003, vedere Come ricompilare l'albero SYSVOL e il relativo contenuto in un dominio.

Dopo aver verificato che la condivisione Sysvol sia disponibile, assicurarsi che la cartella Sysvol, la condivisione Sysvol e la cartella radice del volume che contiene la cartella Sysvol siano configurate con le autorizzazioni corrette.

Inoltre, in Windows 2000 Server, al gruppo Everyone deve essere concessa l'autorizzazione Controllo completo per la cartella radice del volume che contiene la cartella Sysvol. In Windows Server 2003 al gruppo Everyone deve essere concessa l'autorizzazione speciale Lettura & Esegui per "Solo questa cartella" e al gruppo domain\Users devono essere concesse le autorizzazioni standard seguenti:

  • Lettura & Esecuzione
  • Elencare il contenuto della cartella
  • Lettura

Inoltre, in Windows Server 2003, il gruppo domain\Users deve disporre delle autorizzazioni speciali seguenti:

  • Leggere &'autorizzazione Esegui per "Questa cartella, sottocartelle e file".
  • Autorizzazione Crea cartella/Aggiungi dati a "Questa cartella e sottocartelle".
  • Autorizzazione Crea file/Scrittura dati per "Solo sottocartelle".

Dopo aver verificato le autorizzazioni sysvol, assicurarsi che la cartella Sysvol contenga gli oggetti Criteri di gruppo necessari. Per cercare gli oggetti Criteri di gruppo necessari, usare il programma Gpotool.exe di Windows 2000 o Windows Server 2003 Resource Kit.

Se si esegue il programma Gpotool.exe senza alcuna opzione, analizza tutti gli oggetti Criteri di gruppo in tutti i controller di dominio del dominio. Se si include l'opzione /checkacl , lo strumento esegue anche l'analisi dell'elenco di controllo di accesso (ACL) di Sysvol. Per un output dettagliato quando si esegue il programma Gpotool.exe, usare l'opzione /verbose .

È invece possibile verificare manualmente il singolo oggetto Criteri di gruppo nella cartella SYSVOL. Ad esempio, se la descrizione nell'evento Userenv 1058 elenca il nome di un oggetto Criteri di gruppo, è possibile verificare manualmente il singolo oggetto Criteri di gruppo nella cartella SYSVOL. È possibile eseguire questa operazione per assicurarsi che contenga una cartella USER, una cartella MACHINE e un file Gpt.ini. Per verificare manualmente il singolo oggetto Criteri di gruppo nella cartella SYSVOL, seguire questa procedura:

  1. Avviare un prompt dei comandi. A tale scopo, selezionare Avvia, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare time/interactive/next: cmd.exe, quindi premere INVIO, dove Time è 1 o 2 minuti dopo l'ora attuale e viene scritto in formato 24 ore. Ad esempio, 3 minuti dopo le 13:00 saranno 13:03 in formato 24 ore.
  3. Al momento specificato nel comando precedente, viene visualizzata una nuova finestra del prompt dei comandi. Digitare net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID}, quindi premere INVIO, dove GUID è il GUID dell'oggetto Criteri di gruppo presente nella descrizione dell'evento Userenv. Ad esempio, se la descrizione dell'evento Userenv 1058 indica, "Il file deve essere presente nel percorso <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04 FB984 F9}\gpt.ini>", il GUID che si userebbe nel comando è 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Digitare dir j:\*.*, quindi premere INVIO.
  5. Verificare che una cartella USER, una cartella MACHINE e un file di Gpt.ini siano elencati nell'elenco delle cartelle per l'unità I. Se manca una di queste cartelle e file, è probabile che i computer in rete registrino gli errori Userenv nel registro applicazioni.

Se nella cartella Sysvol mancano uno o più oggetti Criteri di gruppo, eseguire Windows Server 2003 Default Criteri di gruppo Restore Utility (Dcgpofix.exe) o Windows 2000 Default Criteri di gruppo Restore Tool (Recreatedefpol.exe) per ricreare gli oggetti Criteri di gruppo predefiniti.

Il programma Dcgpofix.exe è incluso in Windows Server 2003. Per altre informazioni sul programma Dcgpofix.exe, eseguire il dcgpofix /? comando al prompt dei comandi.

Assicurarsi di impostare le esclusioni consigliate durante l'analisi dell'unità Sysvol con software antivirus. L'analisi con software antivirus può bloccare l'accesso ai file necessari, ad esempio il file Gpt.ini. È necessario configurare queste esclusioni per tutte le analisi antivirus in tempo reale, pianificate e manuali.

Passaggio 6: Assicurarsi che il diritto Bypass traverse checking sia concesso ai gruppi necessari

Il diritto Bypass traverse checking deve essere concesso ai gruppi seguenti nei controller di dominio:

  • Amministratori
  • Utenti autenticati
  • Tutti
  • Accesso compatibile con Windows 2000

Per verificare che il diritto Bypass traverse checking sia stato concesso in un controller di dominio basato su Windows Server 2003, seguire questa procedura:

  1. Selezionare Start, scegliere Strumenti di amministrazione e quindi Criteri di sicurezza del controller di dominio.
  2. Espandere Criteri locali e quindi selezionare Assegnazione diritti utente.
  3. Fare doppio clic su Ignora controllo attraversamento.
  4. Fare clic per selezionare la casella di controllo Definisci queste impostazioni dei criteri .
  5. Verificare che i gruppi Administrators, Authenticated Users, Everyone e Pre-Windows 2000 Compatible Access siano elencati per questa impostazione di criterio. Se uno di questi gruppi non è presente, seguire questa procedura:
    1. Selezionare Aggiungi utente o gruppo.
    2. Nella casella Nomi utente e gruppo digitare il nome del gruppo mancante e quindi selezionare OK.
  6. Selezionare OK per chiudere l'impostazione dei criteri.
  7. Avviare un prompt dei comandi. A tale scopo, selezionare Avvia, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  8. Digitare gpupdate /force e quindi premere INVIO.

Per verificare che il diritto Bypass traverse checking sia stato concesso in un controller di dominio basato su Windows 2000 Server, seguire questa procedura:

  1. Selezionare Start, Programmi, Strumenti di amministrazione e quindi Criteri di sicurezza del controller di dominio.
  2. Espandere Impostazioni di sicurezza, Criteri locali e quindi selezionare Assegnazione diritti utente.
  3. Fare doppio clic su Ignora controllo attraversamento.
  4. Fare clic per selezionare la casella di controllo Definisci queste impostazioni dei criteri .
  5. Verificare che i gruppi Administrators, Authenticated Users, Everyone e Pre-Windows 2000 Compatible Access siano elencati per questa impostazione di criterio. Se uno di questi gruppi non è presente, seguire questa procedura:
    1. Selezionare Aggiungi.
    2. Nella casella Nomi utente e gruppo digitare il nome del gruppo mancante e quindi selezionare OK.
  6. Selezionare OK per chiudere l'impostazione dei criteri.
  7. Avviare un prompt dei comandi. A tale scopo, selezionare Avvia, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  8. Digitare secedit /refreshpolicy machine_policy /enforce e quindi premere seleziona.

Passaggio 7: Assicurarsi che i controller di dominio non siano in uno stato di wrapping del journal

Per verificare se un controller di dominio è in uno stato di wrapping del journal, visualizzare il log del servizio Replica file in Visualizzatore eventi e cercare l'ID evento NTFRS 13568. L'ID evento 13568 è simile al seguente ID evento:
Se l'ID evento NTFRS 13568 è connesso a un controller di dominio, per altre informazioni su come risolvere gli errori di wrapping del journal, vedere Come risolvere gli errori di journal_wrap nei set di repliche Sysvol e DFS.

Passaggio 8: Eseguire il comando Dfsutil /PurgeMupCache

Eseguire il programma Dfsutil.exe con l'opzione /PurgeMupCache per scaricare le informazioni dfs/MUP locali memorizzate nella cache. Il programma Dfsutil.exe è incluso negli strumenti di supporto di Windows 2000 Server e negli strumenti di supporto di Windows Server 2003.