當您將 群組原則 套用至執行 Windows Server 2003、Windows XP 或 Windows 2000 的計算機之後,就會發生 Userenv 錯誤並記錄事件

  • 發行項

本文提供解決網路上計算機無法連線到網路域控制器上 Sysvol 資料夾中 GPO) (群組原則 對象的問題。

適用於:Windows 10 - 所有版本、Windows Server 2012 R2
原始 KB 編號: 887303

摘要

如果 群組原則 套用至網路上的計算機,您可能會遇到一或多個錯誤和事件。 若要判斷問題的原因,您必須針對網路上的計算機設定進行疑難解答。 請遵循下列步驟來針對問題的原因進行疑難解答:

  1. 檢查伺服器和用戶端電腦上的 DNS 設定和網路屬性。
  2. 檢查客戶端電腦上的伺服器消息塊簽署設定。
  3. 請確定 TCP/IP NetBIOS 協助程式服務、Net Logon 服務和遠端過程調用 (RPC) 服務已在所有電腦上啟動。
  4. 請確定已在所有電腦上啟用分散式檔案系統 (DFS) 。
  5. 檢查 Sysvol 資料夾的內容和許可權。
  6. 請確定已將略過周遊檢查許可權授與必要的群組。
  7. 請確定域控制器不是處於日誌包裝狀態。
  8. 執行 dfsutil /purgemupcache 命令。

徵狀

在執行 Microsoft Windows Server 2003、Microsoft Windows XP 或 Microsoft Windows 2000 的計算機上,您會遇到下列一或多個徵兆:

  • 群組原則 設定不會套用至計算機。

  • 群組原則 網路上的域控制器之間未完成複寫。

  • 您無法開啟 群組原則 嵌入式管理單元。例如,您無法開啟域控制器安全策略嵌入式管理單元或網域安全策略嵌入式管理單元。

  • 如果您嘗試開啟 群組原則 嵌入式管理單元,您會收到下列其中一個錯誤訊息:

    無法開啟 群組原則物件。 您可能沒有適當的許可權。
    詳細數據:帳戶未獲授權從此月臺登入。

    您沒有執行此作業的許可權。
    詳細數據:拒絕存取。

    無法開啟 群組原則物件。 您可能沒有適當的許可權。
    詳細數據:系統找不到指定的路徑。

  • 如果您嘗試存取任何域控制器上的共用檔案,您會收到錯誤訊息。 即使您已登入伺服器,而且您嘗試存取本機共用,也會發生此徵兆。 具體而言,此徵兆可能會影響域控制器 Sysvol 共用的存取。

  • 如果您嘗試存取檔案共享,系統會重複提示您輸入密碼。

  • 如果您嘗試存取檔案共用,您會收到類似下列其中一個錯誤訊息的錯誤訊息:

    \\\ Server_NameShare_Name無法存取。 您可能沒有使用此網路資源的權限。 請連絡此伺服器的系統管理員,以瞭解您是否具有存取權限。
    帳戶未獲授權從此月臺登入。

    \\\ Server_NameShare_Name無法存取。
    帳戶未獲授權從此月臺登入。

    找不到網路路徑。

如果您在 Windows XP 或 Windows Server 2003 上檢視 事件檢視器 應用程式登入,您會看到類似下列事件的事件:

事件類型:錯誤

事件來源:Userenv
事件類別目錄:無
事件標識碼:1058

日期: 日期
時間:
Time
使用者:
User_Name
電腦:
Computer_Name
描述:Windows 無法存取 GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com 的檔案 gpt.ini。 檔案必須出現在位置 <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>。 (Error_Message) 。 已中止 群組原則 處理。 如需詳細資訊,請參閱 位於 https://support.microsoft.com的說明及支援中心。

出現在事件識別碼 1058 中Error_Message 佔位元元中的錯誤訊息可能是下列任一錯誤訊息:

  • 找不到網路路徑。

  • 拒絕存取。

  • 無法從域控制器讀取組態資訊,可能是因為計算機無法使用,或存取遭到拒絕。

事件類型:錯誤
事件來源:Userenv
事件類別目錄:無
事件標識碼:1030
日期:
Date
時間:
Time
使用者:
User_Name
電腦:
Computer_Name
描述:Windows 無法查詢 群組原則 物件的清單。 描述此原因的訊息先前是由原則引擎記錄。 如需詳細資訊,請參閱 位於 https://support.microsoft.com的說明及支援中心。

一般而言,如果事件標識碼 1058 和事件標識碼 1030 發生,當計算機啟動時,用戶端計算機和成員伺服器會記錄這些標識符。 域控制器會每隔五分鐘記錄這些事件。

如果您在以 Windows 2000 為基礎的電腦上檢視應用程式登入 事件檢視器,您會看到類似下列事件的事件:

事件類型:錯誤
事件來源:Userenv

事件類別目錄:無
事件標識碼:1000
日期:
Date
時間:
Time
使用者:NT AUTHORITY\SYSTEM
電腦:
Computer_Name
描述:Windows 無法存取登錄資訊,網 域名稱.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol, (Error_Code) 。

出現在事件識別碼 1000 中 Error_Code 佔位元元中的錯誤碼可能是下列任一錯誤碼:

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

原因

如果網路上的計算機無法連線到特定的 群組原則 物件,就會發生這些問題。 具體而言,這些對象位於您網路域控制器上的 Sysvol 資料夾中。

解決方案

重要事項

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必仔細遵循這些步驟。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊,請參閱如何在 Windows 中備份及還原登錄

若要解決此問題,您必須針對網路設定進行疑難解答,以縮小問題的原因,然後更正設定。 若要針對此問題的可能原因進行疑難解答,請遵循下列步驟:

步驟 1:檢查伺服器和用戶端電腦上的 DNS 設定和網路屬性

在本機區域連線屬性中,必須在所有伺服器和用戶端計算機上啟用 Microsoft Networks 版用戶端。 所有域控制器上都必須啟用適用於 Microsoft 網路的檔案和印表機共用元件。

此外,網路上的每部計算機都必須使用 DNS 伺服器,以解析計算機所屬 Active Directory 樹系的 SRV 記錄和主機名。 一般而言,常見的設定錯誤是用戶端計算機使用屬於因特網服務提供者的 DNS 伺服器, (ISP) 。

在已記錄 Userenv 錯誤的所有電腦上,檢查 DNS 設定和網路屬性。 此外,請檢查所有域控制器上的這些設定,無論它們是否記錄 Userenv 錯誤。

若要確認網路中以 Windows XP 為基礎的電腦上的 DNS 設定和網路屬性,請遵循下列步驟:

  1. 選取 [開始],然後選取 [控制台]
  2. 如果 控制台 設為 [類別檢視],請選取 [切換至傳統檢視]
  3. 按兩下 [網络 Connections],以滑鼠右鍵按兩下 [局域連線],然後選取 [屬性]
  4. 在 [ 一般] 索引標籤上,按兩下以選取 [ Microsoft 網络的用戶端] 複選框。
  5. 取 [因特網通訊協定 (TCP/IP) ],然後選取 [ 屬性]
  6. 如果選取 [ 使用下列 DNS 伺服器位址 ],請確定慣用和替代 DNS 伺服器的 IP 位址是 DNS 伺服器的 IP 位址,可解析 Active Directory 中的 SRV 記錄和主機名。 具體而言,計算機不得使用屬於ISP的 DNS 伺服器。 如果 DNS 伺服器地址不正確,請在 [慣用 DNS 伺服器] 和 [替代 DNS 伺服器] 方塊中輸入正確 DNS 伺服器的 IP 位址。
  7. 選取 [ 進階],然後選取 [DNS] 索引 卷標。
  8. 按兩下以選取 [ 在 DNS 中註冊此連線的位址 ] 複選框,然後選取 [ 確定] 三次。
  9. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],輸入 cmd,然後選取 [ 確定]
  10. 輸入 ipconfig /flushdns,然後按 ENTER。 輸入 ipconfig /registerdns,然後按 ENTER
  11. 重新啟動電腦,讓您的變更生效。

若要確認網路中以 Windows 2000 為基礎的電腦上的 DNS 設定和網路屬性,請遵循下列步驟:

  1. 取 [開始],指向 [設定],然後選取 [控制台]

  2. 按兩下 [網络] 和 [撥號] Connections

  3. 以滑鼠右鍵按兩下 [ 區域連線],然後選取 [ 屬性]

  4. 在 [ 一般] 索引標籤上,按兩下以選取 [ Microsoft 網络的用戶端] 複選框。

  5. 如果計算機是域控制器,請按下以選取 [Microsoft 網络的檔案和印表機共用 ] 複選框。

    注意事項

    在多宿主遠端訪問伺服器和 Microsoft Internet Security and Acceleration (ISA) 伺服器型伺服器上,您可以針對連線到因特網的網路適配器停用適用於 Microsoft 網路的檔案和印表機共用元件。 不過,必須為所有伺服器的網路適配器啟用 Client for Microsoft Networks 元件。

  6. 取 [因特網通訊協定 (TCP/IP) ,然後按兩下 [ 屬性]

  7. 如果選取 [ 使用下列 DNS 伺服器位址 ],請確定慣用和替代 DNS 伺服器的 IP 位址是 DNS 伺服器的 IP 位址,可解析 Active Directory 中的 SRV 記錄和主機名。 具體而言,計算機不得使用屬於ISP的 DNS 伺服器。 如果 DNS 伺服器地址不正確,請在 [慣用 DNS 伺服器] 和 [替代 DNS 伺服器] 方塊中輸入正確 DNS 伺服器的 IP 位址。

  8. 選取 [ 進階],然後選取 [DNS] 索引 卷標。

  9. 按兩下以選取 [ 在 DNS 中註冊此連線的位址 ] 複選框,然後選取 [ 確定] 三次。

  10. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 啟] 方塊中輸入 cmd,然後選取 [ 確定]

  11. 輸入 ipconfig /flushdns,然後按 ENTER。 輸入 ipconfig /registerdns,然後按 ENTER

  12. 重新啟動電腦。

若要確認網路中以 Windows Server 2003 為基礎的電腦上的 DNS 設定和網路屬性,請遵循下列步驟:

  1. 選取 [開始],指向 [控制台],然後按兩下 [網络 Connections]

  2. 以滑鼠右鍵按兩下區域連線,然後選取 [ 屬性]

  3. 在 [ 一般] 索引標籤上,按兩下以選取 [ Microsoft 網络的用戶端] 複選框。

  4. 如果計算機是域控制器,請按下以選取 [Microsoft 網络的檔案和印表機共用 ] 複選框。

    注意事項

    在多宿主遠端存取伺服器和 ISA 伺服器型伺服器上,您可以針對連線到因特網的網路適配器停用適用於 Microsoft 網路的檔案和印表機共用元件。 不過,必須為所有伺服器的網路適配器啟用 Client for Microsoft Networks 元件。

  5. 取 [因特網通訊協定 (TCP/IP) ],然後選取 [ 屬性]

  6. 如果選取 [ 使用下列 DNS 伺服器位址 ],請確定慣用和替代 DNS 伺服器的 IP 位址是 DNS 伺服器的 IP 位址,可解析 Active Directory 中的 SRV 記錄和主機名。 具體而言,計算機不得使用屬於ISP的 DNS 伺服器。 如果 DNS 伺服器地址不正確,請在 [慣用 DNS 伺服器] 和 [替代 DNS 伺服器] 方塊中輸入正確 DNS 伺服器的 IP 位址。

  7. 選取 [ 進階],然後選取 [DNS] 索引 卷標。

  8. 按兩下以選取 [ 在 DNS 中註冊此連線的位址 ] 複選框,然後選取 [ 確定] 三次。

  9. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],輸入 cmd,然後選取 [ 確定]

  10. 輸入 ipconfig /flushdns,然後按 ENTER。 輸入 ipconfig /registerdns,然後按 ENTER

  11. 重新啟動電腦,讓您的變更生效。

如果您網路中的用戶端電腦設定為自動取得其IP位址,請確定執行 DHCP 服務的計算機會指派 DNS 伺服器的IP位址,以解析 Active Directory 中的 SRV 記錄和主機名。

若要判斷電腦用於 DNS 的 IP 位址,請遵循下列步驟:

  1. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 啟] 方塊中輸入 cmd,然後選取 [ 確定]
  2. 輸入 ipconfig /all,然後按 ENTER
  3. 請注意畫面上列出的 DNS 專案。

如果設定為自動取得IP位址的計算機未使用正確的 DNS 伺服器,請檢視 DHCP 伺服器的檔案,以取得如何設定 DNS 伺服器選項的相關信息。 此外,請確定每部計算機都可以解析網域的IP位址。 若要這樣做,請輸入 ping Your_Domain_Name 命令提示字元Your_Domain_Root,然後按 ENTER 鍵。 請改為輸入 nslookup Your_Domain_NameYour_Domain_Root,然後按 ENTER 鍵。

注意事項

此主機名應該會解析為網路上其中一個域控制器的IP位址。 如果計算機無法解析此名稱,或名稱解析為錯誤的IP位址,請確定網域的正向對應區域包含的有效 (與主機) 主機 (A) 記錄 的父資料夾相同

若要確定網域的正向對應區域包含的有效 (與 Windows 2000 計算機上主 機) ( A) 記錄的父資料夾相同,請遵循下列步驟:

  1. 在執行 DNS 的域控制器上,選取 [ 開始]、指向 [ 程式]、指向 [ 系統管理工具],然後選取 [DNS]

  2. 展開 [Your_Server_Name],展開 [ 向前對應區域],然後選取網域的正向對應區域。

  3. 尋找 與主機 (A) 記錄) 父資料夾相同的 (。

  4. 如果 (與主機 (A) 記錄) 父資料夾相同 ,請遵循下列步驟來建立一筆:

    1. 在 [ 動作] 功能表上,選取 [ 新增主機]
    2. 在 [ IP 位址] 方塊中,輸入域控制器局域網路適配器的IP位址。
    3. 按兩下以選取 [ 建立相關聯的指標 (PTR) 記錄 ] 複選框,然後選取 [ 新增主機]
    4. 當您收到下列訊息時,請選取 [ 是]

      (與父資料夾相同,) 不是有效的主機名。 您確定要新增此記錄嗎?

  5. 按兩下 與主機 (A) 紀錄) 父資料夾相同的 (。

  6. 確認IP位址方塊中已列出正確的 IP位址

  7. 如果 [IP 位址 ] 方塊中的 IP 位址無效,請在 [ IP 位址 ] 方塊中輸入正確的 IP 位址,然後選取 [ 確定]

  8. 相反地,您可以刪除 與主機) 主機 ( 包含無效IP位址的) 記錄相同的 (。 若要刪除 與父資料夾相同的 () 主機 (A) 記錄,請以滑鼠右鍵按兩下它,然後選取 [ 刪除]

  9. 如果 DNS 伺服器也是路由和遠端存取伺服器的網域控制器,請參閱 路由和遠端存取伺服器上也執行 DNS 或 WINS 的名稱解析和連線問題

  10. 在您新增、刪除或修改 DNS 記錄的所有電腦上,於命令提示字元輸入 ipconfig /flushdns ,然後按 ENTER 鍵。

若要確定網域的正向對應區域包含的有效 (與 Windows Server 2003 計算機上主機) (A) 記錄的 父資料夾相同 ,請遵循下列步驟:

  1. 在執行 DNS 的域控制器上,選取 [ 開始],指向 [ 系統管理工具],然後選取 [DNS]

  2. 展開 [Your_Server_Name],展開 [ 向前對應區域],然後選取網域的正向對應區域。

  3. 尋找 與主機 (A) 記錄) 父資料夾相同的 (。

  4. 如果 (與主機 (A) 記錄) 父資料夾相同 ,請遵循下列步驟來建立一個:

    1. 在 [ 動作] 選單上,選 取 [新增主機 (A)
    2. 在 [ IP 位址] 方塊中,輸入域控制器局域網路適配器的IP位址。
    3. 按兩下以選取 [ 建立相關聯的指標 (PTR) 記錄 ] 複選框,然後選取 [ 新增主機]
    4. 當您收到下列訊息時,請選取 [ 是]

      (與父資料夾相同,) 不是有效的主機名。 您確定要新增此記錄嗎?

  5. 按兩下 與主機 (A) 紀錄) 父資料夾相同的 (。

  6. 確認IP位址方塊中已列出正確的 IP位址

  7. 如果IP位址在 [IP 位址 ] 方塊中無效,請在 [ IP 位址 ] 方塊中輸入正確的IP位址,然後選取 [ 確定]

  8. 相反地,您可以刪除 與主機) 主機 ( 包含無效IP位址的) 記錄相同的 (。 若要刪除主機 (A) 記錄,請以滑鼠右鍵按兩下 (與父資料夾相同的) ,然後選取 [ 刪除]

  9. 如果 DNS 伺服器也是路由和遠端存取伺服器的網域控制器,請參閱 路由和遠端存取伺服器上也執行 DNS 或 WINS 的名稱解析和連線問題

  10. 在您新增、刪除或修改 DNS 記錄的所有電腦上,於命令提示字元輸入 ipconfig /flushdns ,然後按 ENTER 鍵。

步驟 2:檢查用戶端電腦和成員伺服器上的伺服器消息塊簽署設定

[伺服器消息塊 (SMB) 簽署設定會定義網路上的計算機是否以數位方式簽署通訊。 如果未正確設定 SMB 簽署設定,用戶端電腦或成員伺服器可能無法連線到域控制器。

例如,域控制器可能需要SMB簽署,但用戶端電腦上可能會停用SMB簽署。 如果發生此問題,群組原則 無法正確套用。 因此,用戶端計算機會記錄用戶環境 (Userenv) 應用程式記錄檔中的錯誤。 有時候,伺服器服務和域控制器上工作站服務的SMB簽署設定可能會彼此衝突。

例如,域控制器的工作站服務可能會停用SMB簽署,但域控制器的伺服器服務需要SMB簽署。 在此案例中,如果您登入伺服器,就無法開啟域控制器的一或多個本機檔案共用。 此外,如果您已登入伺服器,則無法開啟 群組原則 嵌入式管理單元。
如需如何在域控制器上針對此問題進行疑難解答的詳細資訊,請參閱您無法在域控制器上開啟檔案共用或 群組原則 嵌入式管理單元

如果 群組原則 錯誤只發生在用戶端計算機和成員伺服器上,或者您判斷您無法在域控制器上開啟檔案共享或 群組原則 嵌入式管理單元不適用於您的情況,請繼續針對問題進行疑難解答。

根據預設,SMB 簽署已啟用,但在執行 Windows XP、Windows 2000 或 Windows Server 2003 的用戶端電腦和成員伺服器上的客戶端通訊不需要。 建議您使用預設組態,因為用戶端計算機可以在可能時使用SMB簽署,但仍會與已停用SMB簽署的伺服器通訊。

若要設定用戶端電腦和成員伺服器,以便啟用SMB簽署,但不需要,您必須變更某些登錄專案的值。 若要在用戶端電腦上變更登錄,請遵循下列步驟:

  1. 選取 [開始],再選取 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]
  2. 展開下列登入子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. 在右窗格中,以滑鼠右鍵按兩下 [ enablesecuritysignature],然後選取 [ 修改]
  4. 在 [ 值數據] 方塊中,輸入 0,然後選取 [ 確定]
  5. 以滑鼠右鍵按兩下 [ requiresecuritysignature],然後選取 [ 修改]
  6. 在 [ 值數據] 方塊中,輸入 0,然後選取 [ 確定]
  7. 展開下列登入子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. 在右窗格中,以滑鼠右鍵按兩下 [ enablesecuritysignature],然後選取 [ 修改]
  9. 在 [ 值數據] 方塊中,輸入 1,然後選取 [ 確定]
  10. 以滑鼠右鍵按兩下 [ requiresecuritysignature],然後選取 [ 修改]
  11. 在 [ 值數據] 方塊中,輸入 0,然後選取 [ 確定]

變更登錄值之後,請重新啟動伺服器和工作站服務。 請勿重新啟動計算機,因為這可能會導致套用組策略,而且 群組原則 設定可能會再次設定衝突的值。

變更登錄值並重新啟動受影響計算機上的伺服器和工作站服務之後,請遵循下列步驟:

  1. 檢視適用於受影響電腦帳戶之 GPO 或 GPO 的 群組原則 設定。
  2. 請確定組策略不會與必要的登錄設定衝突。
  3. 使用 群組原則 物件 編輯器 來檢視下列資料夾中的原則設定:Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

在執行 Windows Server 2003 的電腦上,SMB 簽署 群組原則 設定具有下列名稱:

  • Microsoft 網路伺服器:數位簽署通訊 (一律)
  • Microsoft 網路伺服器:如果用戶端同意) ,則以數位方式簽署通訊 (
  • Microsoft 網路用戶端:數位簽署通訊 (一律)
  • Microsoft 網路用戶端:如果伺服器同意) ,則以數位方式簽署通訊 (

在執行 Windows 2000 Server 的電腦上,SMB 簽署 群組原則 設定具有下列名稱:

  • 數字簽署伺服器通訊 (一律)
  • 盡可能以數位方式簽署伺服器通訊 ()
  • 以數位方式簽署客戶端通訊 (一律)
  • 盡可能以數位方式簽署客戶端通訊 ()

一般而言,SMB 簽署 群組原則 設定會設定為「未定義」。 如果您定義 SMB 簽署 群組原則 設定,請確定您瞭解設定可能會如何影響網路連線。
如需SMB簽署設定的詳細資訊,請參閱 如果您變更安全性設定和用戶權力指派,可能會發生客戶端、服務和程序問題

如果您在執行 Windows 2000 Server 的域控制器上變更 GPO 設定,請遵循下列步驟:

  1. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 啟] 方塊中輸入 cmd,然後選取 [ 確定]
  2. 輸入 secedit /refreshpolicy machine_policy /enforce,然後按 ENTER 鍵。
  3. 重新啟動受影響的用戶端電腦。
  4. 重新檢查用戶端電腦上登錄中的SMB簽署值,以確定它們未意外變更。

如果您在執行 Windows Server 2003 的域控制器上變更 GPO 設定,請遵循下列步驟:

  1. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 啟] 方塊中輸入 cmd,然後選取 [ 確定]
  2. 輸入 gpupdate /force,然後按 ENTER
  3. 重新啟動受影響的用戶端電腦。
  4. 重新檢查用戶端電腦上登錄中的SMB簽署值,以確定它們未意外變更。

如果登錄中的SMB簽署值在您重新啟動用戶端電腦之後意外變更,請使用下列其中一種方法來檢視套用至用戶端電腦的套用原則設定:

  • 在 Windows XP 型電腦上,使用原則 MMC 結果集嵌入式管理單元 (Rsop.msc) 。 如需原則結果集的詳細資訊,請參閱原則 的結果集

  • 在 Windows 2000 上,使用 Gpresult.exe 命令行工具來檢查 群組原則 結果。 如果要執行這項操作,請依照下列步驟執行:

    1. 從 Windows 2000 資源套件安裝 Gpresult.exe。

    2. 在命令提示字元中,輸入 gpresult /scope 計算機,然後按 ENTER

    3. 在輸出的 [套用 群組原則 物件] 區段中,記下 群組原則 套用至計算機帳戶的物件。

    4. 針對這些 群組原則 對象,比較套用至在域控制器上具有SMB簽署原則設定之電腦帳戶的 群組原則物件。

步驟 3:確定 TCP/IP NetBIOS 協助程式服務已在所有計算機上啟動

網路上的所有計算機都必須執行 TCP/IP NetBIOS 協助程式服務。

若要確認 TCP/IP NetBIOS 協助程式服務正在 Windows XP 型電腦上執行,請遵循下列步驟:

  1. 選取 [開始],然後選取 [控制台]
  2. 如果 控制台 在 [類別檢視] 中,請選取 [切換至傳統檢視]
  3. 按兩下 [ 系統管理工具]
  4. 按兩下 [服務]
  5. 在 [ 服務] 清單中,選取 [TCP/IP NetBIOS 協助程式]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按兩下 [TCP/IP NetBIOS 協助程式],然後選取 [ 屬性]
    2. 在 [ 啟動類型] 列表中,選取 [ 自動]
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]
    4. 選取 [確定]

若要確認 TCP/IP NetBIOS 協助程式服務正在以 Windows Server 2003 為基礎的電腦上執行,請遵循下列步驟:

  1. 取 [開始],指向 [ 系統管理工具],然後選取 [ 服務]
  2. 在 [ 服務] 清單中,選取 [TCP/IP NetBIOS 協助程式]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按兩下 [TCP/IP NetBIOS 協助程式],然後選取 [ 屬性]
    2. 在 [ 啟動類型] 列表中,選取 [ 自動]
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]
    4. 選取 [確定]

若要確認 TCP/IP NetBIOS 協助程式服務正在以 Windows 2000 為基礎的電腦上執行,請遵循下列步驟:

  1. 取 [開始],指向 [ 程式],指向 [ 系統管理工具],然後選取 [ 服務]
  2. 在 [ 服務] 清單中,選取 [TCP/IP NetBIOS 協助程序服務]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按兩下 [TCP/IP NetBIOS 協助程式服務],然後選取 [ 屬性]
    2. 在 [ 啟動類型] 列表中,選取 [ 自動]
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]
    4. 選取 [確定]

此外,請確定您尚未使用 群組原則 物件停用一或多個必要的系統服務。 使用資料夾中的 群組原則 Object 編輯器 Computer Configuration/Windows Settings/Security Settings/System Services 來檢視這些原則設定。

在 Windows Server 2003 和 Windows XP 上,您可以使用原則 MMC 結果集嵌入式管理單元 (Rsop.msc) 來檢查所有套用至計算機的原則設定。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 啟] 方塊中輸入 rsop.msc,然後選取 [ 確定]

在 Windows 2000 上,使用 Gpresult.exe 命令行工具來檢查 群組原則 結果。 如果要執行這項操作,請依照下列步驟執行:

  1. 從 Windows 2000 資源套件安裝 Gpresult.exe。
  2. 在命令提示字元中,輸入 gpresult /scope 計算機,然後按 ENTER
  3. 在輸出的 [套用 群組原則 物件] 區段中,記下套用至計算機帳戶的 群組原則 物件。
  4. 比較套用至計算機帳戶的 群組原則 物件,以及這些 群組原則 物件域控制器上的 SMB 簽署原則設定。

注意事項

如果在許多桌面電腦上停用 TCP/IP NetBIOS 協助程式服務,您可以使用下列範例 Microsoft Visual Basic 腳本,同時在組織單位 (OU) 中的所有計算機上啟動 TCP/IP NetBIOS 協助程式服務。

Microsoft 提供的程式設計範例僅供說明之用,並不具任何明示或暗示的責任擔保。 這包括 (但不限於) 任何目的之適售性及適用性的暗示責任擔保。 本文假設您熟悉示範的程式設計語言,也熟悉用以建立和偵錯程序的工具。 Microsoft 支援工程師可以協助說明特定程式的功能,但不會修改這些範例來提供額外的功能或建構程式,以符合您的特定需求。

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

步驟 4:確定已在所有計算機上啟用分散式文件系統 (DFS)

所有域控制器都必須執行分散式文件系統服務,因為 Sysvol 共用是 DFS 磁碟區。 此外,必須在所有計算機的登錄中啟用 DFS 用戶端。

若要確定分散式文件系統服務正在以 Windows Server 2003 為基礎的域控制器上執行,請遵循下列步驟:

  1. 取 [開始],指向 [ 系統管理工具],然後選取 [ 服務]
  2. 在 [ 服務] 清單中,選取 [分散式檔案系統 服務]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按兩下 [分散式文件系統],然後選取 [ 屬性]
    2. 在 [ 啟動類型] 列表中,選取 [ 自動]
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]
    4. 選取 [確定]

若要確定 分散式文件系統 服務正在 Windows 2000 伺服器型域控制器上執行,請遵循下列步驟:

  1. 取 [開始],指向 [ 程式],指向 [ 系統管理工具],然後選取 [ 服務]
  2. 在 [ 服務] 清單中,選取 [分散式檔案系統 服務]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按兩下 [分散式文件系統],然後選取 [ 屬性]
    2. 在 [ 啟動類型] 列表中,選取 [ 自動]
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]
    4. 選取 [確定]

若要確定已在所有用戶端電腦上啟用分散式檔案系統用戶端,請遵循下列步驟:

  1. 選取 [開始],再選取 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]
  2. 展開下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. 選取 [Mup],然後在右窗格中搜尋名為 DisableDFS 的 DWORD 值專案。
  4. 如果 DisableDFS 專案存在,且值數據為 1,請按兩下 [DisableDFS]。 在 [ 值數據] 方塊中,輸入 0,然後選取 [ 確定]。 如果 DisableDFS 值數據已經是 0,或 DisableDFS 專案不存在,請勿進行任何變更。
  5. 結束登錄編輯程式。
  6. 如果您變更 DisableDFS 值數據,請重新啟動電腦。

步驟 5:檢查 Sysvol 資料夾的內容和許可權

根據預設,Sysvol 資料夾位於資料夾中 %systemroot% 。 Sysvol 資料夾包含網域的 群組原則 物件、Sysvol 和 Netlogon 共用,以及檔案復寫服務 (FRS) 暫存資料夾。

如果 Sysvol 資料夾或 Sysvol 共用的許可權太嚴格,則無法正確套用組策略,並導致用戶環境 (Userenv) 錯誤。 此外,如果遺漏 Sysvol 共用或 群組原則 物件,可能會發生 Userenv 錯誤。
若要確定 Sysvol 共用可供使用,請在每個域控制器的命令提示字元中執行 net share 命令。 如果要執行這項操作,請依照下列步驟執行:

  1. 取 [開始],選取 [ 執行],在 [ 啟] 方塊中輸入 cmd,然後選取 [ 確定]
  2. 輸入 net share,然後按 ENTER
  3. 在資料夾清單中找出 SVOLNETLOGON

如果一或多個域控制器遺漏 Sysvol 或 Netlogon 共用,您必須針對問題原因進行疑難解答。
如需如何針對 Windows 2000 Server 中遺失的 Sysvol 和 Netlogon 共用進行疑難解答的詳細資訊,請參閱 針對 Windows 域控制器上遺失的 SYSVOL 和 NETLOGON 共用進行疑難解答

如需如何在 Windows Server 2003 中重建 Sysvol 共用的詳細資訊,請參閱 如何在網域中重建 SYSVOL 樹狀結構及其內容

確定 Sysvol 共用可供使用之後,請確定 Sysvol 資料夾、Sysvol 共用,以及包含 Sysvol 資料夾之磁碟區的根資料夾已設定正確的許可權。

此外,在 Windows 2000 Server 上,Everyone 群組必須獲得包含 Sysvol 資料夾之磁碟區根資料夾的[完全控制] 許可權。 在 Windows Server 2003 上,Everyone 群組必須被授與「只讀 & 執行」特殊許可權給「僅限此資料夾」,且網域\使用者群組必須被授與下列標準許可權:

  • 讀 & 執行
  • 列出資料夾內容
  • 讀取

此外,在 Windows Server 2003 上,domain\Users 群組必須具有下列特殊許可權:

  • 讀 &[執行] 許可權至「此資料夾、子資料夾和檔案」。
  • 建立資料夾/將資料限附加至「此資料夾和子資料夾」。
  • [僅限子資料夾] 的 [建立檔案/ 寫入數據] 權限。

確認 Sysvol 許可權之後,請確定 Sysvol 資料夾包含必要的 群組原則 物件。 若要尋找必要的 群組原則 物件,請使用 Windows 2000 或 Windows Server 2003 Resource Kit 中的 Gpotool.exe 程式。

如果您執行 Gpotool.exe 程式,但沒有任何選項,它會掃描網域中所有域控制器上的所有 群組原則 物件。 如果您包含 /checkacl 參數,此工具也會掃描 ACL) (Sysvol 存取控制清單。 如需執行 Gpotool.exe 程式時的詳細輸出,請使用 /verbose 參數。

相反地,您可以手動驗證 SYSVOL 資料夾中的個別 GPO。 例如,如果 Userenv 1058 事件中的描述列出 GPO 的名稱,您可以手動驗證 SYSVOL 資料夾中的個別 GPO。 您可以這樣做,以確保它包含 USER 資料夾、MACHINE 資料夾和 Gpt.ini 檔。 若要手動驗證 SYSVOL 資料夾中的個別 GPO,請遵循下列步驟:

  1. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 啟] 方塊中輸入 cmd,然後選取 [ 確定]
  2. 輸入 Time/interactive/next:cmd.exe,然後按 ENTER 鍵,其中 Time 比目前時間晚 1 或 2 分鐘,並以 24 小時的時間格式撰寫。 例如,下午 1:00 之後的 3 分鐘會是 24 小時制格式的 13:03。
  3. 當您在上一個命令中指定時,會開啟新的命令提示字元視窗。 Type net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID}, and then press ENTER, where GUID is the GUID of the GPO that is in the Userenv event description. 例如,如果 Userenv 1058 事件描述顯示, 「檔案必須存在於位置 <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C0 4FB984 F9}\gpt.ini>」,您在命令中使用的 GUID 為 31B2F340-016D-11D2-945F-00C04FB984F9。
  4. 輸入 dir j:\*.*,然後按 ENTER
  5. 確認 I 磁碟驅動器的資料夾清單中已列出 USER 資料夾、MACHINE 資料夾和 Gpt.ini 檔案。 如果遺漏其中任何一個資料夾和檔案,網路上的電腦可能會在應用程式記錄檔中記錄 Userenv 錯誤。

如果 Sysvol 資料夾中遺漏一或多個 群組原則 物件,請執行 Windows Server 2003 預設 群組原則 還原公用程式 (Dcgpofix.exe) 或 Windows 2000 預設 群組原則 還原工具 (Recreatedefpol.exe) ,以重新建立預設 群組原則 物件。

windows Server 2003 隨附 Dcgpofix.exe 程式。 如需 Dcgpofix.exe 程式的其他資訊,請 dcgpofix /? 在命令提示字元中執行 命令。

當您使用防病毒軟體掃描 Sysvol 磁碟驅動器時,請務必設定建議的排除專案。 使用防病毒軟體掃描可能會封鎖對必要檔案的存取,例如 Gpt.ini 檔案。 您必須為所有即時、排程和手動防病毒軟體掃描設定這些排除專案。

步驟 6:確定已將略過周遊檢查許可權授與必要的群組

略過周遊檢查許可權必須授與域控制器上的下列群組:

  • 系統管理員
  • 已驗證的使用者
  • 所有人
  • Windows 2000 之前相容存取

若要確認 Windows Server 2003 型域控制器上已授與略過周遊檢查許可權,請遵循下列步驟:

  1. 取 [開始],指向 [ 系統管理工具],然後選取 [域控制器安全策略]
  2. 展開 [ 本機原則],然後選取 [ 用戶權力指派]
  3. 按兩下 [ 略過周遊檢查]
  4. 按兩下以選取 [ 定義這些原則設定] 複選 框。
  5. 確認已針對此原則設定列出 [系統管理員]、[已驗證的使用者]、[所有人] 和 [Windows 2000 之前相容存取] 群組。 如果遺漏其中任何一個群組,請遵循下列步驟:
    1. 取 [新增使用者] 或 [群組]
    2. 在 [ 使用者和組名] 方塊中,輸入遺漏群組的名稱,然後選取 [ 確定]
  6. 選取 [確定 ] 以關閉原則設定。
  7. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 啟] 方塊中輸入 cmd,然後選取 [ 確定]
  8. 輸入 gpupdate /force,然後按 ENTER

若要確認已在 Windows 2000 伺服器型域控制器上授與略過周遊檢查許可權,請遵循下列步驟:

  1. 取 [開始],指向 [程式],指向 [ 系統管理工具],然後選取 [域控制器安全策略]
  2. 依序展開 [安全性設定] 和 [ 本機原則],然後選取 [ 用戶權力指派]
  3. 按兩下 [ 略過周遊檢查]
  4. 按兩下以選取 [ 定義這些原則設定] 複選 框。
  5. 確認已針對此原則設定列出 [系統管理員]、[已驗證的使用者]、[所有人] 和 [Windows 2000 之前相容存取] 群組。 如果遺漏其中任何一個群組,請遵循下列步驟:
    1. 選取 新增
    2. 在 [ 使用者和組名] 方塊中,輸入遺漏群組的名稱,然後選取 [ 確定]
  6. 選取 [確定 ] 以關閉原則設定。
  7. 啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 啟] 方塊中輸入 cmd,然後選取 [ 確定]
  8. 輸入 secedit /refreshpolicy machine_policy /enforce,然後按 select 鍵。

步驟 7:確定域控制器不是處於日誌包裝狀態

若要查看域控制器是否處於日誌包裝狀態,請檢視 事件檢視器 中的檔案複寫服務記錄,並搜尋 NTFRS 事件識別碼 13568。 事件識別碼 13568 類似於下列事件識別碼:
如果在域控制器上記錄NTFRS事件標識碼 13568,如需如何針對日誌包裝錯誤進行疑難解答的詳細資訊,請參閱 如何針對Sysvol和 DFS 複本集的journal_wrap錯誤進行疑難解答

步驟 8:執行 Dfsutil /PurgeMupCache 命令

使用 參數執行 Dfsutil.exe 程式 /PurgeMupCache ,以排清本機 DFS/MUP 快取資訊。 Dfsutil.exe 程式包含在 Windows 2000 Server 支援工具和 Windows Server 2003 支援工具中。