Erros de userenv ocorrem e os eventos são registrados depois que você aplica Política de Grupo a computadores que estão executando o Windows Server 2003, Windows XP ou Windows 2000

Este artigo fornece uma solução para problemas em que os computadores em sua rede não podem se conectar ao GPO (objetos Política de Grupo) nas pastas Sysvol em seus controladores de domínio de rede.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 887303

Resumo

Você poderá sofrer um ou muitos erros e eventos se Política de Grupo for aplicado aos computadores em sua rede. Para determinar a causa do problema, você deve solucionar problemas da configuração dos computadores em sua rede. Siga estas etapas para solucionar a causa do problema:

  1. Examine as configurações de DNS e as propriedades de rede nos servidores e computadores cliente.
  2. Examine as configurações de assinatura do Bloco de Mensagens do Servidor nos computadores cliente.
  3. Certifique-se de que o serviço auxiliar TCP/IP NetBIOS, o serviço de Logon Net e o serviço RPC (Chamada de Procedimento Remoto) sejam iniciados em todos os computadores.
  4. Verifique se o DFS (Sistema de Arquivos Distribuídos) está habilitado em todos os computadores.
  5. Examine o conteúdo e as permissões da pasta Sysvol.
  6. Verifique se a verificação de passagem de bypass correta é concedida aos grupos necessários.
  7. Verifique se os controladores de domínio não estão em um estado de envoltório de diário.
  8. Execute o comando dfsutil /purgemupcache.

Sintomas

Você experimenta um ou mais dos seguintes sintomas em um computador que está executando o Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000:

  • Política de Grupo configurações não são aplicadas aos computadores.

  • Política de Grupo replicação não é concluída entre os controladores de domínio na rede.

  • Você não pode abrir Política de Grupo snap-ins. Por exemplo, você não pode abrir o snap-in da Política de Segurança do Controlador de Domínio ou o snap-in da Política de Segurança de Domínio.

  • Se você tentar abrir uma Política de Grupo snap-in, receberá uma das seguintes mensagens de erro:

    Falha ao abrir o objeto Política de Grupo. Talvez você não tenha os direitos apropriados.
    Detalhes: a conta não está autorizada a fazer logon nesta estação.

    Você não tem permissão para executar essa operação.
    Detalhes: o acesso é negado.

    Falha ao abrir o objeto Política de Grupo. Talvez você não tenha os direitos apropriados.
    Detalhes: o sistema não pode encontrar o caminho especificado.

  • Se você tentar acessar arquivos compartilhados em qualquer controlador de domínio, receberá uma mensagem de erro. Esse sintoma ocorre mesmo se você estiver conectado ao servidor e tentar acessar um compartilhamento local. Especificamente, esse sintoma pode afetar o acesso ao compartilhamento Sysvol de um controlador de domínio.

  • Se você tentar acessar um compartilhamento de arquivos, será solicitado repetidamente uma senha.

  • Se você tentar acessar um compartilhamento de arquivos, receberá uma mensagem de erro semelhante a uma das seguintes mensagens de erro:

    \\Server_name\Share_Name não está acessível. Talvez você não tenha permissão para usar esse recurso de rede. Entre em contato com o administrador deste servidor para saber se você tem permissões de acesso.
    A conta não está autorizada a fazer logon nesta estação.

    \\Server_name\Share_Name não está acessível.
    A conta não está autorizada a fazer logon nesta estação.

    O caminho da rede não foi encontrado.

Se você exibir o log do aplicativo no Visualizador de Eventos no Windows XP ou no Windows Server 2003, verá eventos semelhantes aos seguintes eventos:

Tipo de Evento: Erro

Fonte do evento: Userenv
Categoria de evento: Nenhum
ID do Evento: 1058

Data: Data
Tempo:
Time
Usuário:
User_name
Computador:
Nome_do_computador
Descrição: o Windows não pode acessar o arquivo gpt.ini para GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com . O arquivo deve estar presente no local <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Error_Message). Política de Grupo processamento abortado. Para obter mais informações, consulte Centro de Ajuda e Suporte em https://support.microsoft.com.

A mensagem de erro exibida no espaço reservado Error_Message na ID de Evento 1058 pode ser qualquer uma das seguintes mensagens de erro:

  • O caminho da rede não foi encontrado.

  • Acesso negado.

  • As informações de configuração não puderam ser lidas do controlador de domínio, seja porque o computador não está disponível ou o acesso foi negado.

Tipo de Evento: Erro
Fonte do evento: Userenv
Categoria de evento: Nenhum
ID do evento: 1030
Data:
Date
Tempo:
Time
Usuário:
User_name
Computador:
Nome_do_computador
Descrição: o Windows não pode consultar a lista de objetos Política de Grupo. Uma mensagem que descreve o motivo disso foi registrada anteriormente pelo mecanismo de política. Para obter mais informações, consulte Centro de Ajuda e Suporte em https://support.microsoft.com.

Normalmente, se ocorrer a ID do Evento 1058 e a ID do Evento 1030, elas serão registradas por computadores cliente e servidores membros quando o computador é iniciado. Os controladores de domínio registram esses eventos a cada cinco minutos.

Se você exibir o log de aplicativo no Visualizador de Eventos em um computador baseado no Windows 2000, verá eventos semelhantes aos seguintes eventos:

Tipo de Evento: Erro
Fonte do evento: Userenv

Categoria de evento: Nenhum
ID do evento: 1000
Data:
Date
Tempo:
Time
Usuário: NT AUTHORITY\SYSTEM
Computador:
Nome_do_computador
Descrição: o Windows não pode acessar as informações do registro em \\ domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol com (Error_Code).

O código de erro exibido no espaço reservado Error_Code na ID do Evento 1000 pode ser qualquer um dos seguintes códigos de erro:

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Motivo

Esses problemas ocorrerão se os computadores que estão em sua rede não puderem se conectar a determinados objetos Política de Grupo. Especificamente, esses objetos estão nas pastas Sysvol nos controladores de domínio da rede.

Resolução

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com cuidado. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

Para resolve esse problema, você deve solucionar problemas da configuração da rede para restringir a causa do problema e, em seguida, corrigir a configuração. Para solucionar problemas da possível causa desse problema, siga estas etapas:

Etapa 1: examinar as configurações de DNS e as propriedades de rede nos servidores e computadores cliente

Nas propriedades de conexão da área local, o Cliente para Redes microsoft deve estar habilitado em todos os servidores e computadores cliente. O componente Compartilhamento de Arquivos e Impressoras para Redes da Microsoft deve estar habilitado em todos os controladores de domínio.

Além disso, cada computador na rede deve usar servidores DNS que podem resolve registros SRV e nomes de host para a floresta do Active Directory onde o computador é membro. Normalmente, um erro de configuração comum é que os computadores cliente usem os servidores DNS que pertencem ao provedor de serviços de Internet (ISP).

Em todos os computadores que registraram os erros do Userenv, examine as configurações de DNS e as propriedades de rede. Além disso, marcar essas configurações em todos os controladores de domínio, se eles registram ou não erros do Userenv.

Para verificar as configurações de DNS e as propriedades de rede em computadores baseados em Windows XP em sua rede, siga estas etapas:

  1. Selecione Iniciar e, em seguida, selecione Painel de Controle.
  2. Se Painel de Controle estiver definida como Exibição de Categoria, selecione Alternar para Exibição Clássica.
  3. Clique duas vezes em Conexões de Rede, clique com o botão direito do mouse em Conexão de Área Local e selecione Propriedades.
  4. Na guia Geral, clique para selecionar a caixa Cliente para Redes da Microsoft marcar.
  5. Selecione Protocolo de Internet (TCP/IP) e selecione Propriedades.
  6. Se Usar os seguintes endereços de servidor DNS estiver selecionado, verifique se os endereços IP para os servidores DNS preferenciais e alternativos são os endereços IP de servidores DNS que podem resolve registros SRV e nomes de host no Active Directory. Especificamente, o computador não deve usar os servidores DNS que pertencem ao seu ISP. Se os endereços do servidor DNS não estiverem corretos, digite os endereços IP dos servidores DNS corretos nas caixas de servidor DNS preferenciais e DNS alternativos .
  7. Selecione Avançado e selecione a guia DNS .
  8. Clique para selecionar a caixa Registrar os endereços dessa conexão na caixa marcar DNS e selecione OK três vezes.
  9. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd e selecione OK.
  10. Digite ipconfig /flushdns e pressione ENTER. Digite ipconfig /registerdns e pressione ENTER.
  11. Reinicie o computador para que suas alterações entrem em vigor.

Para verificar as configurações de DNS e as propriedades de rede em computadores baseados no Windows 2000 em sua rede, siga estas etapas:

  1. Selecione Iniciar, aponte para Configurações e selecione Painel de Controle.

  2. Clique duas vezes em Conexões de Rede e Discagem.

  3. Clique com o botão direito do mouse na conexão de área local e selecione Propriedades.

  4. Na guia Geral, clique para selecionar a caixa Cliente para Redes da Microsoft marcar.

  5. Se o computador for um controlador de domínio, clique para selecionar a caixa Compartilhamento de Arquivos e Impressoras para Redes da Microsoft marcar.

    Observação

    Em servidores multilocatários de Acesso Remoto e servidores baseados em servidores ISA (Segurança e Aceleração da Internet) da Microsoft, você pode desabilitar o componente Compartilhamento de Arquivos e Impressoras para Microsoft Networks para o adaptador de rede conectado à Internet. No entanto, o componente Cliente para Microsoft Networks deve estar habilitado para todos os adaptadores de rede do servidor.

  6. Selecione Protocolo da Internet (TCP/IP) e clique em Propriedades.

  7. Se Usar os seguintes endereços de servidor DNS estiver selecionado, verifique se os endereços IP para os servidores DNS preferenciais e alternativos são os endereços IP de servidores DNS que podem resolve registros SRV e nomes de host no Active Directory. Especificamente, o computador não deve usar os servidores DNS que pertencem ao seu ISP. Se os endereços do servidor DNS não estiverem corretos, digite os endereços IP dos servidores DNS corretos nas caixas de servidor DNS preferenciais e DNS alternativos .

  8. Selecione Avançado e selecione a guia DNS .

  9. Clique para selecionar a caixa Registrar os endereços dessa conexão na caixa marcar DNS e selecione OK três vezes.

  10. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.

  11. Digite ipconfig /flushdns e pressione ENTER. Digite ipconfig /registerdns e pressione ENTER.

  12. Reinicie o computador.

Para verificar as configurações de DNS e as propriedades de rede em computadores baseados no Windows Server 2003 em sua rede, siga estas etapas:

  1. Selecione Iniciar, aponte para Painel de Controle e clique duas vezes em Conexões de Rede.

  2. Clique com o botão direito do mouse na conexão da área local e selecione Propriedades.

  3. Na guia Geral, clique para selecionar a caixa Cliente para Redes da Microsoft marcar.

  4. Se o computador for um controlador de domínio, clique para selecionar a caixa Compartilhamento de Arquivos e Impressoras para Redes da Microsoft marcar.

    Observação

    Em servidores multilocatários de Acesso Remoto e servidores baseados no ISA Server, você pode desabilitar o componente Compartilhamento de Arquivos e Impressoras para Redes Microsoft para o adaptador de rede conectado à Internet. No entanto, o componente Cliente para Microsoft Networks deve estar habilitado para todos os adaptadores de rede do servidor.

  5. Selecione Protocolo de Internet (TCP/IP) e selecione Propriedades.

  6. Se Usar os seguintes endereços de servidor DNS estiver selecionado, verifique se os endereços IP para os servidores DNS preferenciais e alternativos são os endereços IP de servidores DNS que podem resolve registros SRV e nomes de host no Active Directory. Especificamente, o computador não deve usar os servidores DNS que pertencem ao seu ISP. Se os endereços do servidor DNS não estiverem corretos, digite os endereços IP dos servidores DNS corretos nas caixas de servidor DNS preferenciais e DNS alternativos .

  7. Selecione Avançado e selecione a guia DNS .

  8. Clique para selecionar a caixa Registrar os endereços dessa conexão na caixa marcar DNS e selecione OK três vezes.

  9. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd e selecione OK.

  10. Digite ipconfig /flushdns e pressione ENTER. Digite ipconfig /registerdns e pressione ENTER.

  11. Reinicie o computador para que suas alterações entrem em vigor.

Se os computadores cliente em sua rede estiverem configurados para obter seus endereços IP automaticamente, verifique se o computador que está executando o serviço DHCP atribuirá os endereços IP de servidores DNS que podem resolve registros SRV e nomes de host no Active Directory.

Para determinar quais endereços IP um computador está usando para DNS, siga estas etapas:

  1. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
  2. Digite ipconfig /all e pressione ENTER.
  3. Observe as entradas DNS listadas na tela.

Se os computadores configurados para obter endereços IP automaticamente não estiverem usando os servidores DNS corretos, exiba a documentação do servidor DHCP para obter informações sobre como configurar a opção servidores DNS. Além disso, verifique se cada computador pode resolve o endereço IP do domínio. Para fazer isso, digite ping Your_Domain_Name. Your_Domain_Root em um prompt de comando e pressione ENTER. Em vez disso, digite nslookup Your_Domain_Name. Your_Domain_Root e pressione ENTER.

Observação

Espera-se que esse nome de host resolve para o endereço IP de um dos controladores de domínio na rede. Se o computador não puder resolve esse nome ou se o nome for resolvido para o endereço IP errado, verifique se a zona de pesquisa para o domínio contém registros válidos (mesmo que a pasta pai) Host (A).

Para garantir que a zona de pesquisa avançada para o domínio contenha registros válidos (mesmo que a pasta pai) Host (A) em um computador baseado no Windows 2000, siga estas etapas:

  1. Em um controlador de domínio que está executando o DNS, selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione DNS.

  2. Expanda Your_Server_Name, expanda Zonas de Pesquisa Para a Frente e selecione a zona de pesquisa para o seu domínio.

  3. Procure registros de host (igual à pasta pai) (A).

  4. Se um registro host (igual à pasta pai) (A) não existir, siga estas etapas para criar um:

    1. No menu Ação , selecione Novo Host.
    2. Na caixa endereço IP , digite o endereço IP do adaptador de rede local do controlador de domínio.
    3. Clique para selecionar a caixa de marcar de registro Criar ponteiro associado (PTR) e, em seguida, selecione Adicionar Host.
    4. Ao receber a seguinte mensagem, selecione Sim:

      (o mesmo que a pasta pai) não é um nome de host válido. Tem certeza de que deseja adicionar este registro?

  5. Clique duas vezes no registro host (mesmo que a pasta pai) (A).

  6. Verifique se o endereço IP correto está listado na caixa de endereço IP .

  7. Se o endereço IP na caixa de endereço IP não for válido, digite o endereço IP correto na caixa de endereço IP e selecione OK.

  8. Em vez disso, você pode excluir o registro host (A) (mesma pasta pai) que contém um endereço IP que não é válido. Para excluir o registro host (mesmo que a pasta pai) (A), clique com o botão direito do mouse nele e selecione Excluir.

  9. Se o servidor DNS for um controlador de domínio que também é um servidor de Roteamento e Acesso Remoto, consulte Problemas de resolução de nomes e conectividade em um Servidor de Roteamento e Acesso Remoto que também executa DNS ou WINS.

  10. Em todos os computadores em que você adiciona, exclui ou modifica registros DNS, digite ipconfig /flushdns em um prompt de comando e pressione ENTER.

Para garantir que a zona de pesquisa avançada para o domínio contenha registros válidos (mesmo que a pasta pai) Host (A) em um computador baseado no Windows Server 2003, siga estas etapas:

  1. Em um controlador de domínio que está executando o DNS, selecione Iniciar, aponte para Ferramentas Administrativas e selecione DNS.

  2. Expanda Your_Server_Name, expanda Zonas de Pesquisa Para a Frente e selecione a zona de pesquisa para o seu domínio.

  3. Procure o registro host (mesmo que a pasta pai) (A).

  4. Se o registro host (mesmo que a pasta pai) (A) não existir, siga estas etapas para criar uma:

    1. No menu Ação , selecione Novo Host (A).
    2. Na caixa endereço IP , digite o endereço IP do adaptador de rede local do controlador de domínio.
    3. Clique para selecionar a caixa de marcar de registro Criar ponteiro associado (PTR) e, em seguida, selecione Adicionar Host.
    4. Ao receber a seguinte mensagem, selecione Sim:

      (o mesmo que a pasta pai) não é um nome de host válido. Tem certeza de que deseja adicionar este registro?

  5. Clique duas vezes no registro host (mesmo que a pasta pai) (A).

  6. Verifique se o endereço IP correto está listado na caixa de endereço IP .

  7. Se o endereço IP estiver na caixa de endereço IP não for válido, digite o endereço IP correto na caixa de endereço IP e selecione OK.

  8. Em vez disso, você pode excluir o registro host (A) (mesma pasta pai) que contém o endereço IP que não é válido. Para excluir o registro Host (A), clique com o botão direito do mouse (mesmo que a pasta pai)e selecione Excluir.

  9. Se o servidor DNS for um controlador de domínio que também é um servidor de Roteamento e Acesso Remoto, consulte Problemas de resolução de nomes e conectividade em um Servidor de Roteamento e Acesso Remoto que também executa DNS ou WINS.

  10. Em todos os computadores em que você adiciona, exclui ou modifica registros DNS, digite ipconfig /flushdns em um prompt de comando e pressione ENTER.

Etapa 2: examinar as configurações de assinatura do Bloco de Mensagens do Servidor nos computadores cliente e servidores membros

As configurações de assinatura do SMB (Bloco de Mensagens do Servidor) definem se os computadores na rede assinam comunicações digitalmente. Se as configurações de assinatura do SMB não estiverem configuradas corretamente, os computadores cliente ou os servidores membros poderão não ser capazes de se conectar aos controladores de domínio.

Por exemplo, a assinatura de SMB pode ser necessária pelos controladores de domínio, mas a assinatura de SMB pode estar desabilitada nos computadores cliente. Se esse problema ocorrer, Política de Grupo não poderá ser aplicado corretamente. Assim, os computadores cliente registram erros de usuário (Userenv) no log do aplicativo. Às vezes, as configurações de assinatura do SMB para o serviço Server e o serviço workstation em um controlador de domínio podem entrar em conflito entre si.

Por exemplo, a assinatura de SMB pode estar desabilitada para o serviço workstation do controlador de domínio, mas a assinatura de SMB é necessária para o serviço Server do controlador de domínio. Nesse cenário, você não poderá abrir um ou mais compartilhamentos de arquivos locais do controlador de domínio se você estiver conectado ao servidor. Além disso, você não poderá abrir Política de Grupo snap-ins se estiver conectado ao servidor.
Para obter mais informações sobre como solucionar esse problema em um controlador de domínio, consulte Não é possível abrir compartilhamentos de arquivos ou Política de Grupo snap-ins em um controlador de domínio.

Se Política de Grupo erros ocorrerem apenas em computadores cliente e servidores membros ou se você determinar que não pode abrir compartilhamentos de arquivos ou Política de Grupo snap-ins em um controlador de domínio não se aplicar à sua situação, continue a solucionar o problema.

Por padrão, a assinatura de SMB está habilitada, mas não é necessária para comunicação do cliente em computadores cliente e servidores membros que estão executando Windows XP, Windows 2000 ou Windows Server 2003. Recomendamos que você use a configuração padrão porque os computadores cliente podem usar a assinatura de SMB quando possível, mas ainda se comunicarão com servidores que têm a assinatura SMB desabilitada.

Para configurar os computadores cliente e os servidores membros para que a assinatura de SMB esteja habilitada, mas não necessária, você deve alterar os valores de algumas entradas de registro. Para fazer as alterações de registro nos computadores cliente, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite regedit na caixa Abrir e selecione OK.
  2. Expanda a seguinte subchave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. No painel direito, clique com o botão direito do mouse em habilitar segurançasignature e selecione Modificar.
  4. Na caixa de dados Valor , digite 0 e selecione OK.
  5. Clique com o botão direito do mouse em requiresecuritysignature e selecione Modificar.
  6. Na caixa de dados Valor , digite 0 e selecione OK.
  7. Expanda a seguinte subchave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. No painel direito, clique com o botão direito do mouse em habilitar segurançasignature e selecione Modificar.
  9. Na caixa de dados Valor , digite 1 e selecione OK.
  10. Clique com o botão direito do mouse em requiresecuritysignature e selecione Modificar.
  11. Na caixa de dados Valor , digite 0 e selecione OK.

Depois de alterar os valores do registro, reinicie os serviços de Servidor e Estação de Trabalho. Não reinicie os computadores porque ele pode fazer com que as políticas de grupo sejam aplicadas e as configurações de Política de Grupo possam configurar valores conflitantes novamente.

Depois de alterar os valores do registro e reiniciar os serviços de Servidor e Estação de Trabalho nos computadores afetados, siga estas etapas:

  1. Exiba as configurações de Política de Grupo para o GPO ou GPOs que se aplicam às contas de computador afetadas.
  2. Verifique se as políticas de grupo não entram em conflito com as configurações de registro necessárias.
  3. Use o Editor de Objetos Política de Grupo para exibir as configurações da política na seguinte pasta:Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

Em um computador que está executando o Windows Server 2003, as configurações de Política de Grupo de assinatura do SMB têm os seguintes nomes:

  • Servidor de rede da Microsoft: comunicações de sinal digital (sempre)
  • Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar)
  • Cliente de rede da Microsoft: comunicações de sinal digital (sempre)
  • Cliente de rede da Microsoft: assinar comunicações digitalmente (se o servidor concordar)

Em um computador que está executando o Windows 2000 Server, as configurações de Política de Grupo de assinatura do SMB têm os seguintes nomes:

  • Assinar digitalmente a comunicação do servidor (sempre)
  • Assinar digitalmente a comunicação do servidor (quando possível)
  • Assinar digitalmente as comunicações do cliente (sempre)
  • Assinar digitalmente as comunicações do cliente (quando possível)

Normalmente, as configurações de Política de Grupo de assinatura do SMB são configuradas como "Não definidas". Se você definir as configurações de assinatura do SMB Política de Grupo, verifique se você entende como as configurações podem afetar a conectividade de rede.
Para obter mais informações sobre as configurações de assinatura do SMB, consulte Problemas de cliente, serviço e programa podem ocorrer se você alterar as configurações de segurança e as atribuições de direitos do usuário.

Se você alterar as configurações de GPO em um controlador de domínio que está executando o Windows 2000 Server, siga estas etapas:

  1. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
  2. Digite secedit /refreshpolicy machine_policy /enforce e pressione ENTER.
  3. Reinicie os computadores cliente afetados.
  4. Verifique novamente os valores de assinatura do SMB no registro nos computadores cliente para verificar se eles não foram alterados inesperadamente.

Se você alterar as configurações de GPO em um controlador de domínio que está executando o Windows Server 2003, siga estas etapas:

  1. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
  2. Digite gpupdate /force e pressione ENTER.
  3. Reinicie os computadores cliente afetados.
  4. Verifique novamente os valores de assinatura de SMB no registro nos computadores cliente para garantir que eles não foram alterados inesperadamente.

Se os valores de assinatura do SMB no registro forem alterados inesperadamente após reiniciar os computadores cliente, use um dos seguintes métodos para exibir as configurações de política aplicadas que são aplicadas a um computador cliente:

  • Em um computador baseado em Windows XP, use o snap-in do MMC (Rsop.msc). Para obter mais informações sobre o conjunto de política resultante, consulte Conjunto resultante de política.

  • No Windows 2000, use a ferramenta de linha de comando Gpresult.exe para examinar os resultados Política de Grupo. Para fazer isso, siga estas etapas:

    1. Instale Gpresult.exe do Kit de Recursos do Windows 2000.

    2. Em um prompt de comando, digite gpresult /scope computer e pressione ENTER.

    3. Na seção Objetos Política de Grupo Aplicados da saída, observe os objetos Política de Grupo que são aplicados à conta do computador.

    4. Compare os objetos Política de Grupo que são aplicados à conta de computador que tem as configurações da política de assinatura SMB no controlador de domínio para esses objetos Política de Grupo.

Etapa 3: verifique se o serviço auxiliar do TCP/IP NetBIOS é iniciado em todos os computadores

Todos os computadores na rede devem executar o serviço auxiliar TCP/IP NetBIOS.

Para verificar se o serviço auxiliar do TCP/IP NetBIOS está em execução em um computador baseado em Windows XP, siga estas etapas:

  1. Selecione Iniciar e, em seguida, selecione Painel de Controle.
  2. Se Painel de Controle estiver no Modo de Exibição de Categoria, selecione Alternar para Exibição Clássica.
  3. Clique duas vezes em Ferramentas Administrativas.
  4. Clique duas vezes em Serviços.
  5. Na lista Serviços , selecione Auxiliar do TCP/IP NetBIOS. Verifique se o valor na coluna Status está iniciado. Verifique se o valor na coluna Tipo de Inicialização é Automático. Se os valores Status ou Tipo de Inicialização não estiverem corretos, siga estas etapas:
    1. Clique com o botão direito do mouse em Auxiliar do TCP/IP NetBIOS e selecione Propriedades.
    2. Na lista Tipo de inicialização , selecione Automático.
    3. Na área serviço status, se o serviço não for iniciado, selecione Iniciar.
    4. Selecione OK.

Para verificar se o serviço auxiliar do TCP/IP NetBIOS está em execução em um computador baseado no Windows Server 2003, siga estas etapas:

  1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Serviços.
  2. Na lista Serviços , selecione Auxiliar do TCP/IP NetBIOS. Verifique se o valor na coluna Status está iniciado. Verifique se o valor na coluna Tipo de Inicialização é Automático. Se os valores Status ou Tipo de Inicialização não estiverem corretos, siga estas etapas:
    1. Clique com o botão direito do mouse em Auxiliar do TCP/IP NetBIOS e selecione Propriedades.
    2. Na lista Tipo de inicialização , selecione Automático.
    3. Na área serviço status, se o serviço não for iniciado, selecione Iniciar.
    4. Selecione OK.

Para verificar se o serviço auxiliar do TCP/IP NetBIOS está em execução em um computador baseado no Windows 2000, siga estas etapas:

  1. Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Serviços.
  2. Na lista Serviços , selecione Serviço auxiliar do TCP/IP NetBIOS. Verifique se o valor na coluna Status está iniciado. Verifique se o valor na coluna Tipo de Inicialização é Automático. Se os valores Status ou Tipo de Inicialização não estiverem corretos, siga estas etapas:
    1. Clique com o botão direito do mouse em TCP/IP NetBIOS Helper Service e selecione Propriedades.
    2. Na lista Tipo de inicialização , selecione Automático.
    3. Na área serviço status, se o serviço não for iniciado, selecione Iniciar.
    4. Selecione OK.

Além disso, verifique se você não desabilitou um ou mais dos serviços de sistema necessários usando Política de Grupo objetos. Exiba essas configurações de política usando o editor de objetos Política de Grupo na Computer Configuration/Windows Settings/Security Settings/System Services pasta.

No Windows Server 2003 e no Windows XP, você pode usar o snap-in do MMC (Rsop.msc) resultante para marcar todas as configurações de política aplicada que são aplicadas a um computador. Para fazer isso, selecione Iniciar, selecione Executar, digite rsop.msc na caixa Abrir e selecione OK.

No Windows 2000, use a ferramenta de linha de comando Gpresult.exe para examinar os resultados Política de Grupo. Para fazer isso, siga estas etapas:

  1. Instale Gpresult.exe do Kit de Recursos do Windows 2000.
  2. Em um prompt de comando, digite gpresult /scope computer e pressione ENTER.
  3. Na seção Objetos Política de Grupo Aplicados da saída, observe os objetos Política de Grupo que são aplicados à conta do computador.
  4. Compare os objetos Política de Grupo que são aplicados à conta do computador com as configurações da política de assinatura SMB no controlador de domínio para esses objetos Política de Grupo.

Observação

Se o serviço auxiliar TCP/IP NetBIOS estiver desabilitado em muitas áreas de trabalho, você poderá usar o seguinte exemplo de script do Microsoft Visual Basic para iniciar o serviço auxiliar TCP/IP NetBIOS em todos os computadores em uma OU (unidade organizacional) ao mesmo tempo.

A Microsoft oferece exemplos de programação somente para ilustração, sem garantias expressas ou implícitas. Isso inclui, entre outras coisas, as garantias implícitas de qualidade comercial ou conformidade para uma determinada finalidade. Este artigo supõe que você conhece a linguagem de programação que está sendo demonstrada e as ferramentas usadas nos processos de criação e depuração. Os engenheiros de suporte da Microsoft podem ajudar a explicar a funcionalidade de um procedimento específico, mas não modificarão esses exemplos para fornecer funcionalidade ou procedimentos de construção adicionais para atender aos seus requisitos específicos.

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

Etapa 4: verifique se o DFS (Sistema de Arquivos Distribuídos) está habilitado em todos os computadores

Todos os controladores de domínio devem executar o serviço Sistema de Arquivos Distribuídos porque o compartilhamento Sysvol é um volume DFS. Além disso, o cliente DFS deve estar habilitado no registro em todos os computadores.

Para garantir que o serviço sistema de arquivos distribuídos esteja em execução em controladores de domínio baseados no Windows Server 2003, siga estas etapas:

  1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Serviços.
  2. Na lista Serviços , selecione Serviço do Sistema de Arquivos Distribuídos . Verifique se o valor na coluna Status está iniciado. Verifique se o valor na coluna Tipo de Inicialização é Automático. Se os valores Status ou Tipo de Inicialização não estiverem corretos, siga estas etapas:
    1. Clique com o botão direito do mouse em Sistema de Arquivos Distribuídos e selecione Propriedades.
    2. Na lista Tipo de inicialização , selecione Automático.
    3. Na área serviço status, se o serviço não for iniciado, selecione Iniciar.
    4. Selecione OK.

Para garantir que o serviço Sistema de Arquivos Distribuídos esteja em execução em controladores de domínio baseados em servidor do Windows 2000, siga estas etapas:

  1. Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Serviços.
  2. Na lista Serviços , selecione Serviço do Sistema de Arquivos Distribuídos . Verifique se o valor na coluna Status está iniciado. Verifique se o valor na coluna Tipo de Inicialização é Automático. Se os valores Status ou Tipo de Inicialização não estiverem corretos, siga estas etapas:
    1. Clique com o botão direito do mouse em Sistema de Arquivos Distribuídos e selecione Propriedades.
    2. Na lista Tipo de inicialização , selecione Automático.
    3. Na área serviço status, se o serviço não for iniciado, selecione Iniciar.
    4. Selecione OK.

Para garantir que o cliente do Sistema de Arquivos Distribuídos esteja habilitado em todos os computadores cliente, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite regedit na caixa Abrir e selecione OK.
  2. Expanda a seguinte subchave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Selecione Mup e, em seguida, no painel direito, pesquise uma entrada de valor DWORD chamada DisableDFS.
  4. Se a entrada DisableDFS existir e os dados de valor forem 1, clique duas vezes em DesabilitarDFS. Na caixa de dados Valor , digite 0 e selecione OK. Se os dados de valor DisableDFS já estiverem 0 ou se a entrada DisableDFS não existir, não faça nenhuma alteração.
  5. Saia do Editor do Registro.
  6. Se você alterou os dados de valor DesableDFS , reinicie o computador.

Etapa 5: examinar o conteúdo e as permissões da pasta Sysvol

Por padrão, a pasta Sysvol está localizada na %systemroot% pasta. A pasta Sysvol contém os objetos Política de Grupo do domínio, os compartilhamentos Sysvol e Netlogon e a pasta de preparo FRS (Serviço de Replicação de Arquivos).

Se as permissões na pasta Sysvol ou no compartilhamento Sysvol forem muito restritivas, as políticas de grupo não poderão ser aplicadas corretamente e causarão erros de user environment (Userenv). Além disso, erros de Userenv podem ocorrer se os objetos Sysvol ou Política de Grupo estiverem ausentes.
Para garantir que o compartilhamento Sysvol esteja disponível, execute o comando net share em um prompt de comando em cada controlador de domínio. Para fazer isso, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
  2. Digite compartilhamento líquido e pressione ENTER.
  3. Localize SYSVOL e NETLOGON na lista de pastas.

Se os compartilhamentos Sysvol ou Netlogon estiverem ausentes de um ou mais controladores de domínio, você deverá solucionar a causa do problema.
Para obter mais informações sobre como solucionar problemas dos compartilhamentos Sysvol e Netlogon ausentes no Windows 2000 Server, confira Solucionar problemas de compartilhamentos SYSVOL e NETLOGON ausentes em controladores de domínio do Windows.

Para obter mais informações sobre como reconstruir o compartilhamento Sysvol no Windows Server 2003, consulte Como reconstruir a árvore SYSVOL e seu conteúdo em um domínio.

Depois de verificar se o compartilhamento Sysvol está disponível, verifique se a pasta Sysvol, o compartilhamento Sysvol e a pasta raiz do volume que contém a pasta Sysvol estão configuradas com as permissões corretas.

Além disso, no Windows 2000 Server, o grupo Todos deve receber permissão de Controle Total na pasta raiz do volume que contém a pasta Sysvol. No Windows Server 2003, o grupo Todos deve receber a permissão especial Ler & Executar para "Somente esta pasta" e o grupo domain\Users deve receber as seguintes permissões padrão:

  • Ler & Executar
  • Listar conteúdo de pasta
  • Ler

Além disso, no Windows Server 2003, o grupo domain\Users deve ter as seguintes permissões especiais:

  • Leia & Executar permissão para "Esta pasta, subpastas e arquivos".
  • Criar permissão De dados de pasta/acréscimo para "Esta pasta e subpastas".
  • Criar arquivos / gravar permissão de dados para "somente subpastas".

Depois de verificar as permissões do Sysvol, verifique se a pasta Sysvol contém os objetos Política de Grupo necessários. Para procurar os objetos Política de Grupo necessários, use o programa Gpotool.exe do Windows 2000 ou do Kit de Recursos do Windows Server 2003.

Se você executar o programa Gpotool.exe sem opções, ele examinará todos os objetos Política de Grupo em todos os controladores de domínio no domínio. Se você incluir a opção /checkacl , a ferramenta também examinará a ACL (lista de controle de acesso do Sysvol). Para obter uma saída detalhada ao executar o programa Gpotool.exe, use a opção /verbose .

Em vez disso, você pode verificar manualmente o GPO individual na pasta SYSVOL. Por exemplo, se a descrição no evento Userenv 1058 listar o nome de um GPO, você poderá verificar manualmente o GPO individual na pasta SYSVOL. Você pode fazer isso para garantir que ela contenha uma pasta USER, uma pasta MACHINE e um arquivo Gpt.ini. Para verificar manualmente o GPO individual na pasta SYSVOL, siga estas etapas:

  1. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
  2. Digite em Tempo/interativo/próximo: cmd.exe e pressione ENTER, em que o tempo é 1 ou 2 minutos mais tarde do que o tempo atual e é gravado em formato de tempo de 24 horas. Por exemplo, 3 minutos depois das 13h seria 13:03 em formato de tempo de 24 horas.
  3. No momento em que você especificar no comando anterior, uma nova janela do Prompt de Comando é aberta. Digite net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID}e pressione ENTER, em que GUID é o GUID do GPO que está na descrição do evento Userenv. Por exemplo, se a descrição do evento Userenv 1058 disser: "O arquivo deve estar presente no local <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>"O GUID que você usaria no comando é 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Digite dir j:\*.*e pressione ENTER.
  5. Verifique se uma pasta USER, uma pasta MACHINE e um arquivo Gpt.ini estão listados na listagem de pastas para a unidade I. Se alguma dessas pastas e arquivos estiver ausente, os computadores na rede provavelmente registrarão erros de Userenv no log do aplicativo.

Se um ou mais objetos Política de Grupo estiverem ausentes da pasta Sysvol, execute o Windows Server 2003 Default Política de Grupo Restore Utility (Dcgpofix.exe) ou o Windows 2000 Default Política de Grupo Restore Tool (Recreatedefpol.exe), para recriar os objetos Política de Grupo padrão.

O programa Dcgpofix.exe está incluído no Windows Server 2003. Para obter informações adicionais sobre o programa Dcgpofix.exe, execute o dcgpofix /? comando em um prompt de comando.

Certifique-se de definir as exclusões recomendadas ao examinar a unidade Sysvol com software antivírus. A verificação com software antivírus pode bloquear o acesso aos arquivos necessários, como o arquivo Gpt.ini. Você deve configurar essas exclusões para todas as verificações de antivírus em tempo real, agendadas e manuais.

Etapa 6: certifique-se de que a verificação de passagem de bypass à direita seja concedida aos grupos necessários

A verificação de passagem de bypass à direita deve ser concedida aos seguintes grupos nos controladores de domínio:

  • Administradores
  • Usuários Autenticados
  • Todos
  • Acesso compatível pré-Windows 2000

Para verificar se a verificação de passagem de bypass à direita foi concedida em um controlador de domínio baseado no Windows Server 2003, siga estas etapas:

  1. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Política de Segurança do Controlador de Domínio.
  2. Expanda Políticas Locais e selecione Atribuição de Direitos de Usuário.
  3. Clique duas vezes em Ignorar verificação de travessia.
  4. Clique para selecionar a caixa Definir essas configurações de política marcar.
  5. Verifique se os grupos Administradores, Usuários Autenticados, Todos e Acesso Compatível pré-Windows 2000 estão listados para essa configuração de política. Se algum desses grupos estiver ausente, siga estas etapas:
    1. Selecione Adicionar Usuário ou Grupo.
    2. Na caixa Nomes de usuário e de grupo , digite o nome do grupo ausente e selecione OK.
  6. Selecione OK para fechar a configuração da política.
  7. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
  8. Digite gpupdate /force e pressione ENTER.

Para verificar se a verificação de passagem de bypass à direita foi concedida em um controlador de domínio baseado em servidor do Windows 2000, siga estas etapas:

  1. Selecione Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e selecione Política de Segurança do Controlador de Domínio.
  2. Expanda Configurações de Segurança, expanda Políticas Locais e selecione Atribuição de Direitos do Usuário.
  3. Clique duas vezes em Ignorar verificação de travessia.
  4. Clique para selecionar a caixa Definir essas configurações de política marcar.
  5. Verifique se os grupos Administradores, Usuários Autenticados, Todos e Acesso Compatível pré-Windows 2000 estão listados para essa configuração de política. Se algum desses grupos estiver ausente, siga estas etapas:
    1. Selecione Adicionar.
    2. Na caixa Nomes de usuário e de grupo , digite o nome do grupo ausente e selecione OK.
  6. Selecione OK para fechar a configuração da política.
  7. Inicie um prompt de comando. Para fazer isso, selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
  8. Digite secedit /refreshpolicy machine_policy /enforce e pressione selecione.

Etapa 7: verifique se os controladores de domínio não estão em um estado de envoltório de diário

Para ver se um controlador de domínio está em um estado de envoltório de diário, exiba o log do serviço de Replicação de Arquivos no Visualizador de Eventos e pesquise a ID do evento NTFRS 13568. A ID do evento 13568 é semelhante à seguinte ID de Evento:
Se a ID do evento NTFRS 13568 estiver registrada em um controlador de domínio, para obter mais informações sobre como solucionar problemas de erros de envoltório de diário, consulte Como solucionar problemas journal_wrap erros em conjuntos de réplica Sysvol e DFS.

Etapa 8: executar o comando Dfsutil /PurgeMupCache

Execute o programa Dfsutil.exe com a opção /PurgeMupCache para liberar as informações em cache do DFS/MUP local. O programa Dfsutil.exe está incluído nas Ferramentas de Suporte do Servidor do Windows 2000 e nas Ferramentas de Suporte do Windows Server 2003.