在 Windows XP 中,运行于特定帐户下的计划任务无法访问共享网络资源

文章翻译 文章翻译
文章编号: 887572 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

在基于 Microsoft Windows XP 的计算机上,运行于特定帐户下的计划任务无法访问共享网络资源。如果满足以下条件,就会出现此症状:
  • 特定帐户具有使用智能卡打开的交互会话。尤其是用户使用个人标识号 (PIN) 而不是使用密码打开交互会话。
  • Kerberos 票证 (TGT) 已过期。
计划任务无法访问共享网络资源后,应用程序事件日志中可能记录类似于以下的事件:
类型: 警告
来源: LSASRV
类别: SPNEGO (Negotiator)
事件 ID: 40960
日期: 5/19/2004
时间: 9:25:51 AM
用户: N/A
计算机: DEVXPVMWARE
描述:
安全系统检测到一个试图对服务器 cifs/secur012.SECURDOM2.com 进行的降级攻击。来自身份验证协议 Kerberos 的失败代码为“没有向智能卡提供 PIN (0xc0000382)”。

原因

任务计划程序服务使用特定帐户运行作业时,该任务计划程序服务尝试确定此帐户是否同时为当前登录用户的帐户。如果该帐户属于当前登录的用户,则计划任务的安全上下文将被映射到该用户的安全上下文。此进程将计划作业指定到该用户的桌面。

另外,如果计划任务用户帐户为当前登录用户的帐户,并且如果该用户使用智能卡登录,则由计划任务进行的网络访问尝试可能失败。如果 TGT 票证已过期,则会发生此网络访问失败。在这种情况下,TGT 更新进程失败。由于安全上下文访问者通过智能卡登录,因此 TGT 更新进程需要该用户提供 PIN。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
323931 如果长时间使用智能卡登录,则用户标记过期
注意:假定 TGT 更新进程失败的原因是用户没有键入 PIN。在这种情况下,即使使用了简单和保护 GSS-API 协商 (SPNEGO) 安全包,也不使用 NTLM 身份验证协议。有关 SPNEGO 的更多信息,请访问下面的 IETF 网站:
http://www.ietf.org/rfc/rfc2478.txt?number=2478
.

解决方案

Microsoft 目前提供了一个受支持的修补程序。但是,此修补程序仅用于修复本文所述的问题。请仅将此修补程序应用于出现这一特定问题的系统。此修补程序可能还会接受进一步的测试。因此,如果这个问题没有给您造成严重的影响,我们建议您等待包含此修补程序的下一个 Service Pack。

要解决此问题,请向 Microsoft 在线客户服务提交请求以获取该修补程序。要提交联机请求以获取该修补程序,请访问下面的 Microsoft 网站:
http://go.microsoft.com/?linkid=6294451
注意:如果发生其他问题或需要进行任何疑难解答,则您可能需要创建单独的服务请求。对于此特定修补程序无法解决的其他支持问题和事项,将照常收取支持费用。要创建单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support

先决条件

无先决条件。

重新启动要求

应用此修补程序后,必须重新启动计算机。

修补程序替代信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时,相应的时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具中的“时区”选项卡。
Windows XP Service Pack 1 (SP1)
日期         时间   版本              大小     文件名
--------------------------------------------------------------
30-Apr-2005  01:43  5.1.2600.1677     258,560  Mstask.dll       
29-Apr-2005  23:40  5.1.2600.1677      10,752  Mstinit.exe      
30-Apr-2005  01:43  5.1.2600.1677     173,568  Schedsvc.dll     
29-Apr-2005  23:47  5.1.2600.1677     594,432  Xpsp2res.dll 
Windows XP Service Pack 2 (SP2)
日期         时间   版本              大小     文件名
--------------------------------------------------------------
30-Apr-2005  01:07  5.1.2600.2667     192,000  Schedsvc.dll     
此修补程序创建以下新注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\SchedulingAgent\DisableUSeOfTokenFromSession
此子项使您能够禁用下面两项之间的相关性:
  • 任务计划程序安全上下文,其中的安全主体由密码指定
  • 与现有用户会话相关的安全上下文,其中的安全主体由智能卡和 PIN 指定
要启用该修补程序,请将 DisableUSeOfTokenFromSession 注册表项的值设置为“1”。
注意:Windows XP Service Pack 2 (SP2) 中新的 UseOfSessionTokenDisabled 注册表项和“仅在登录后运行”选项互相排斥,不应同时使用。

状态

Microsoft 已经确认这是在“这篇文章的信息适用于:”部分中列出的 Microsoft 产品中存在的问题。

属性

文章编号: 887572 - 最后修改: 2007年9月7日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
关键字:?
kbbug kbfix kbqfe kbpubtypekc kbhotfixserver KB887572
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com