Naplánované úlohy, které běží pod konkrétní účet nelze získat přístup k sdíleným síťovým prostředkům v systému Windows XP

Příznaky

V počítači se systémem Microsoft Windows XP úloha je spuštěna pod účtem určitého nemá přístup k sdílenému síťovému prostředku. Tento příznak nastane, pokud jsou splněny následující podmínky:
  • Zvláštní účet má interaktivní relaci, která byla otevřena pomocí karty smart card. Konkrétně uživatel používá osobní identifikační číslo (PIN) namísto hesla Chcete-li spustit interaktivní relaci.
  • Vypršela platnost lístku protokolu Kerberos (TGT).
Po naplánovanou úlohu nelze získat přístup k sdílenému síťovému prostředku, může být v protokolu událostí aplikací zaznamenána událost podobná následující:
Typ události: upozornění
Zdroj události: LSASRV
Kategorie události: SPNEGO (Vyjednávač)
ID události: 40960
Datum: 5/19/2004
Čas: 9:25:51 dop.
Uživatel: N/A
Počítač: DEVXPVMWARE

Popis:
Systém zabezpečení zjistil pokus o downgrade útoku pro server cifs/secur012. SECURDOM2.com. kód chyby z ověřovacího protokolu Kerberos bylo "Žádný nebyl předložen kód PIN karty smart card (0xc0000382)".

Příčina

Když služba Plánovač úloh spouští úlohy pomocí konkrétní účet, služba Plánovač úloh se pokusí zjistit, zda tento účet je také účet aktuálního uživatele přihlášeného. Pokud je účet že aktuálního uživatele přihlášeného kontext zabezpečení úlohy mapována v kontextu zabezpečení daného uživatele. Tento proces směruje naplánované úlohy plochu daného uživatele.

Navíc pokud naplánovaná úloha uživatelský účet na účet aktuálního uživatele přihlášeného a tento uživatel používá karty smart card k přihlášení, pokus o přístup sítě pomocí naplánované úlohy může selhat. Pokud vypršela platnost lístku TGT dojde k selhání síťového přístupu. V tomto scénáři se nezdaří proces aktualizace TGT. Protože aktualizace lístku TGT comers kontextu zabezpečení prostřednictvím přihlášení pomocí karty smart card, proces vyžaduje, aby uživatel poskytl PIN. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
Při přihlášení pomocí karty smart card dlouhou dobu platnosti tokenu uživatele 323931

Poznámka: Předpokládejme, že proces aktualizace TGT nezdaří, protože uživatel nezadali kód PIN. V tomto scénáři není použit ověřovací protokol NTLM, i když je použit balíček zabezpečení jednoduché a Protected GSS-API vyjednávání (SPNEGO). Další informace o SPNEGO naleznete na následujícím webu sdružení IETF:.

Řešení

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.

Předpoklady

Neexistují žádné požadavky.

Požadavek na restartování

Po instalaci této opravy hotfix po restartování počítače.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje žádné další opravy hotfix.

Informace o souborech

Anglická verze této opravy hotfix má atributy (nebo pozdější atributy souborů) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Rozdíl mezi časem UTC a místním časem, naleznete na kartě časové pásmo na panelu Datum a čas v okně Ovládací panely.
Systém Windows XP Service Pack 1 (SP1)
   Date         Time   Version            Size    File name
--------------------------------------------------------------
30-Apr-2005 01:43 5.1.2600.1677 258,560 Mstask.dll
29-Apr-2005 23:40 5.1.2600.1677 10,752 Mstinit.exe
30-Apr-2005 01:43 5.1.2600.1677 173,568 Schedsvc.dll
29-Apr-2005 23:47 5.1.2600.1677 594,432 Xpsp2res.dll

Systém Windows XP Service Pack 2 (SP2)
   Date         Time   Version            Size    File name
--------------------------------------------------------------
30-Apr-2005 01:07 5.1.2600.2667 192,000 Schedsvc.dll

Tato oprava hotfix vytvoří následující podklíč registru:
HKEY_LOCAL_MACHINE\Software\Microsoft\SchedulingAgent\DisableUSeOfTokenFromSession
Tento podklíč umožňuje zakázat korelace mezi následující dvě položky:
  • Kontext zabezpečení služby Plánovač úloh, kde je zaregistrovaný objekt zabezpečení určené heslo
  • Kontext zabezpečení vztahující se k existující relaci uživatele, kde je určena zaregistrovaný objekt zabezpečení čipové karty a PIN
Chcete-li povolit opravu hotfix, nastavte hodnotu položky registru DisableUSeOfTokenFromSession
1.
Poznámka: Nové položky registru UseOfSessionTokenDisabled a možnost Spustit pouze pokud jste přihlášeni do systému Windows XP Service Pack 2 (SP2) se vzájemně vylučují a by neměly být použity ve stejnou dobu.

Stav

Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".
Vlastnosti

ID článku: 887572 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor