Serviço Serviços de terminal poderá não conseguir iniciar um servidor com o Windows Server 2008

Num servidor com o Windows Server 2008, o serviço Serviços de terminal pode não conseguir iniciar.

Este comportamento ocorre normalmente depois de actualizar uma versão anterior do sistema operativo Windows para o Windows Server 2008. Por exemplo, este comportamento poderá ocorrer após a actualização Windows Server 2003 para o Windows Server 2008.

Quando este comportamento ocorre, são registados eventos semelhantes aos seguintes no registo do sistema:

Nome de registo: sistema
Origem: Microsoft-Windows-DistributedCOM
Data: DateTime
ID do evento: 10005
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Utilizador: N/d
Computador: ComputerName
Descrição: DCOM obteve erro "1297" tentar iniciar o serviço ' Serviço de terminal ' com argumentos"" a executar o servidor: {F9A874B6-F8A8-4 D 73-B5A8-AB610816828B}

Nome de registo: sistema
Origem: LSM
Data: DateTime
ID do evento: 1048
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Utilizador: N/d
Computador: ComputerName
Descrição: Falha de início do serviço de terminal. O código de estado relevante foi %1. Um privilégio que o serviço necessita para funcionar correctamente não existe na configuração de conta de serviço.

Pode utilizar o snap-in da MMC secpol.msc e o snap-in Consola Services.msc de gestão da Microsoft (MMC) para visualizar a configuração do serviço e a configuração de conta.

Este comportamento ocorre porque a conta de serviço de rede não é concedida os direitos de utilizador seguintes:

• Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)
• Gerar auditorias de segurança (SeAuditPrivilege)
• Substituir um token de nível de processo (SeAssignPrimaryTokenPrivilege)

Nota Qualquer serviço que está configurado para iniciar utilizando a conta de serviço de rede poderá detectar sintomas semelhantes.

Para resolver este comportamento, conceda a conta de serviço de rede os direitos de utilizador são descritos na secção "Causa".

Nota Pode utilizar o snap-in Consola Secpol.msc de gestão da Microsoft (MMC) para visualizar os direitos de utilizador estão em vigor no computador local.

Se o servidor não for um controlador de domínio, utilize o método 1 ou o método 2. Se o servidor for um controlador de domínio, utilize o método 3 ou 4 do método.

Método 1: Conceder os direitos de utilizador nas definições de política de segurança local

Para o fazer, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva secpol.msc e, em seguida, clique em OK .
2. Na consola de Política de segurança local , expanda Políticas locais (Local Policies) e, em seguida, clique em Atribuição de direitos de utilizador .
3. Faça duplo clique no direito de utilizador Ajustar quotas de memória para um processo .
4. Na caixa de diálogo Propriedades , clique em Adicionar utilizador ou grupo .
5. Na caixa de diálogo Seleccionar utilizadores, computadores ou grupos , escreva o Serviço de rede em Introduza os nomes de objecto a seleccionar e, em seguida, clique em OK .
6. Na caixa de diálogo Propriedades , clique em OK .
7. Repita os passos 3 a 6 para o direito de utilizador Gerar auditorias de segurança e para o direito de utilizador substituir um token de nível de processo .
8. Clique em Iniciar , clique em Executar , escreva Gpupdate e, em seguida, clique em OK .

Método 2: Conceder os direitos de utilizador de um objecto de política grupo (GPO, Group Policy Object) que é aplicada a servidores membro

Para o fazer, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva gpmc.msc e, em seguida, clique em OK .
2. Na consola de Gestão de políticas de grupo , expanda floresta: DomainName, expanda domínios , expanda DomainName, expanda Objectos de política de grupo , clique com o botão direito do rato no GPO que é aplicado a servidores membro e, em seguida, clique em Editar .
3. Na consola do Editor de gestão de política de grupo , expanda Configuração do computador , expanda políticas , expanda Definições do Windows , expanda Definições de segurança , expanda Políticas locais (Local Policies) e clique em Atribuição de direitos de utilizadores .
4. Faça duplo clique no direito de utilizador Ajustar quotas de memória para um processo .
5. Na caixa de diálogo Propriedades , clique em Adicionar utilizador ou grupo .
6. Na caixa de diálogo Adicionar utilizador ou grupo , escreva o Serviço de rede em utilizadores e nomes de grupo e, em seguida, clique em OK .
7. Na caixa de diálogo Propriedades , clique em OK .
8. Repita os passos 4 a 7 para adicionar a conta de serviço de rede para o direito de utilizador Gerar auditorias de segurança e para o direito de utilizador substituir um token de nível de processo .
9. Clique em Iniciar , clique em Executar , escreva Gpupdate e, em seguida, clique em OK .

Método 3: Conceder direitos de utilizador nas definições de política de grupo

Para o fazer, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva gpmc.msc e, em seguida, clique em OK .
2. Na consola de Gestão de políticas de grupo , expanda floresta: DomainName, expanda domínios , expanda DomainName, expanda Objectos de política de grupo , clique com o botão direito do rato em Política controladores de domínio predefinidos e, em seguida, clique em Editar .
3. Na consola do Editor de gestão de política de grupo , expanda Configuração do computador , expanda políticas , expanda Definições do Windows , expanda Definições de segurança , expanda Políticas locais (Local Policies) e clique em Atribuição de direitos de utilizadores .
4. Faça duplo clique no direito de utilizador Ajustar quotas de memória para um processo .
5. Na caixa de diálogo Propriedades , clique em Adicionar utilizador ou grupo .
6. Na caixa de diálogo Adicionar utilizador ou grupo , escreva o Serviço de rede em utilizadores e nomes de grupo e, em seguida, clique em OK .
7. Na caixa de diálogo Propriedades , clique em OK .
8. Repita os passos 4 a 7 para adicionar a conta de serviço de rede para o direito de utilizador Gerar auditorias de segurança e para o direito de utilizador substituir um token de nível de processo .
9. Clique em Iniciar , clique em Executar , escreva Gpupdate e, em seguida, clique em OK .

Método 4: Actualizar o ficheiro GptTmpl.inf

Para o fazer, siga estes passos:

1. Num editor de texto, tal como o bloco de notas, abra o ficheiro GptTmpl.inf.
   
   Nota O ficheiro GptTmpl.inf está na seguinte pasta:
   %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
2. Actualize os direitos de utilizador para a seguinte definição predefinida:
   SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
   SeAuditPrivilege = *S-1-5-19,*S-1-5-20
   SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
3. Clique em Iniciar , clique em Executar , escreva Gpupdate e, em seguida, clique em OK .

Este comportamento ocorre por predefinição.

Por predefinição no Windows 2000 Server e no Windows Server 2003, o serviço de ' Serviços de terminal ' é iniciado utilizando a conta sistema local. No Windows Server 2008, o serviço de ' Serviços de terminal ' é iniciado utilizando a conta de serviço de rede. Isto é para segurança melhorada. Se não conceda a conta de serviço de rede os direitos de utilizador são descritos na secção "Causa", o serviço de ' Serviços de terminal ' não é possível iniciar.

Se remover estes direitos de utilizador da conta de serviço de rede na política de controladores de domínio predefinida, o serviço de serviços de terminal não pode ser iniciado em controladores de domínio que executem o Windows Server 2008. No entanto, pode iniciar o serviço Serviços de terminal em controladores de domínio que executem o Windows 2000 Server ou Windows Server 2003.

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft: