在启动或运行 Windows XP 时删除组策略设置

文章翻译 文章翻译
文章编号: 929624 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

在 Microsoft Windows XP 中,通过使用组策略对象 (GPO) 将组策略设置分配给计算机之后,可能会断续地删除这些设置。也可能会在启动时遇到此问题。

即使您尚未更改策略且尚未从 GPO 范围中删除计算机,也会删除这些设置。当出现此问题时,客户端计算机的系统日志中会记录下面的事件:


类型: 错误
来源: Kerberos
类别: 无
事件 ID: 7
日期: date
时间: time
用户: N/A
计算机: computer_name
描述:Kerberos 子系统遇到 PAC 验证失败。这表明来自领域 realm_name 中的客户端 computer_name 的 PAC 有一个 PAC 验证失败或者已被更改。请与您的系统管理员联系。

在出现此问题的计算机上创建 Netlogon.log 时,可以在 Netlogon.log 文件中找到以下行:


[LOGON] SamLogon:Generic logon of <domain>\(null) from (null) Package:Kerberos Entered
[LOGON] SamLogon:Generic logon of <domain>\(null) from (null) Package:Kerberos Returns 0xC000005E

此处可能还会出现其他错误,但是错误 0xC000005E (STATUS_NO_LOGON_SERVERS) 最有可能出现。
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
109626 为 Net Logon 服务启用调试日志记录


如果启用用户环境调试日志记录,则 Userenv.log 文件中会记录类似于以下内容的条目:


For every policy affected:
ProcessGPO:Searching <cn=<policy guid>,cn=policies,cn=system,DC=<domain>>
ProcessGPO:Machine does not have access to the GPO and so will not be applied.
...
CheckForGPOsToRemove:GPO <name of GPO>needs to be removed
GetDeletedGPOList:Finished.

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
221833 如何在 Windows 零售版本中启用用户环境调试日志


可能会在注册表或事件日志中记录其他各种消息,具体取决于设置类型。下列扩展会受到影响:
  • 应用程序部署

    客户端计算机的应用程序日志中会记录下面的事件:


    类型:信息
    来源: 应用程序管理
    类别: 无
    事件 ID: 303
    日期: date
    时间: time
    用户: SYSTEM
    计算机: computer_name
    描述:从策略 GPO_name 中删除应用程序 application_name 的分配。

  • 安全组策略

    Winlogon.log 文件中具有许多类似于以下内容的条目:


    Undo value for undefined Group Policy setting security setting was reset successfully and removed.

    对于各种安全策略设置组,组策略 .inf 文件中的每一行将对应一种设置。

    有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    245422 如何在 Windows 2000 中启用安全配置客户端处理日志
  • 注册表策略设置/管理模板。

    Userenv.log 中将具有许多用于删除策略设置的行。例如:


    ParseRegistryFile:Entering with <C:\Documents and Settings\All Users\ntuser.pol>.
    DeleteRegistryValue:Deleted
    Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoMSAppLogo5ChannelNotify
    DeleteRegistryValue:Deleted Software\Policies\Microsoft\Internet Explorer\Download\RunInvalidSignatures
    DeleteRegistryValue:Deleted Software\Policies\Microsoft\Internet
    Explorer\Infodelivery\Restrictions\NoJITSetup
    DeleteRegistryValue:Deleted Software\Policies\Microsoft\Internet
    Explorer\Infodelivery\Restrictions\NoUpdateCheck

这是一些您会在其中遇到缺失设置的最常见示例。您可能会在启动脚本中遇到类似的问题。

原因

当登录期间发生的 Kerberos 特权属性证书 (PAC) 验证错误导致计算机脱离所有组策略对象范围时,将会出现此问题。因此,所有已分配的应用程序会变成非托管状态并被卸载。Kerberos PAC 验证错误可能会由于临时网络错误而发生。

解决方案

此修补程序将导致登录完全失败且不会使用空令牌。这将导致组策略引擎停止策略处理且不会与空令牌一起运行。这可能会使得成员计算机获得策略更新的速度比预期要慢得多。但是,将不再删除策略设置。

修补程序信息

Microsoft 现在提供了一个受支持的修补程序,但此程序只用于解决本文中提到的问题。请仅对出现这一特定问题的系统应用此修补程序。此修补程序可能还会接受进一步的测试。因此,如果此问题没有给您造成严重影响,我们建议您等待包含此修补程序的下一个 Service Pack。

要解决此问题,请向 Microsoft 在线客户服务提交请求以获取该修补程序。要提交联机请求以获取该修补程序,请访问下面的 Microsoft 网站:
https://support.microsoft.com/contactus2/emailcontact.aspx?scid=sw;[LN];1414&from=KBHotfix&WS=hotfix
注意:如果发生其他问题或需要进行任何疑难解答,您可能需要创建单独的服务请求。对于此特定修补程序无法解决的其他支持问题和事项,将照常收取支持费用。要创建单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support

先决条件

要应用此修补程序,您必须已安装 Microsoft Windows XP Service Pack 2 (SP2)。 有关如何获取 Windows XP SP2 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 如何获取最新的 Windows XP Service Pack

重新启动要求

应用此修补程序后,必须重新启动计算机。

修补程序替代信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”项的“时区”选项卡。
收起该表格展开该表格
文件名文件版本文件大小日期时间平台
Kerberos.dll 5.1.2600.3048298,4962006 年 12 月 11 日13:58x86

状态

Microsoft 已确认这是在“这篇文章中的信息适用于:”部分中列出的 Microsoft 产品中存在的问题。

更多信息

有关用于描述软件更新的术语的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 有关用于描述 Microsoft 软件更新标准术语的介绍

属性

文章编号: 929624 - 最后修改: 2008年1月29日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
关键字:?
kbfix kbqfe kbkerberos kbgpo kbpubtypekc kbhotfixserver KB929624
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com