Teď jste offline a čekáte, až se znova připojí internet.

Na serveru se systémem Windows Server 2008 nemusí být možné spustit Terminálovou službu

Příznaky
Na serveru se systémem Windows Server 2008 nemusí být možné spustit Terminálovou službu.

K tomuto chování dochází obvykle po upgradu starší verze operačního systému Windows na systém Windows Server 2008. K tomuto chování může dojít například po upgradu systému Windows Server 2003 na systém Windows Server 2008.

Pokud dochází k tomuto chování, mohou být do systémového protokolu zaznamenány události podobné následujícím:

Název protokolu: Systém
Zdroj: Microsoft-Windows-DistributedCOM
Datum: datum čas
ID události: 10005
Kategorie úlohy: Žádná
Úroveň: Chyba
Klíčová slova: Klasické
Uživatel: Není k dispozici
Počítač: Název_počítače
Popis: Služba DCOM zjistila chybu 1297 při pokusu o spuštění služby TermService s argumenty za účelem spuštění serveru: {F9A874B6-F8A8-4D73-B5A8-AB610816828B}

Název protokolu: Systém
Zdroj: LSM
Datum: datum čas
ID události: 1048
Kategorie úlohy: Žádná
Úroveň: Chyba
Klíčová slova: Klasické
Uživatel: Není k dispozici
Počítač: Název_počítače
Popis: Spuštění Terminálové služby se nezdařilo. Příslušný kód stavu je %1. Oprávnění, které tato služba vyžaduje, aby správně fungovala, v konfiguraci účtu služby neexistuje.

Pomocí modulů snap-in Services.msc a Secpol.msc, které jsou součástí konzoly MMC (Microsoft Management Console), můžete zobrazit konfiguraci služby a účtu.

Příčina
K tomuto chování dochází, protože účtu NETWORK SERVICE nejsou přiřazena následující uživatelská práva:
  • Upravit příděly paměti pro proces (SeIncreaseQuotaPrivilege)
  • Generovat audity zabezpečení (SeAuditPrivilege)
  • Nahradit token úrovně procesu (SeAssignPrimaryTokenPrivilege)
Poznámka: Stejné příznaky se mohou vyskytnout u kterékoli služby, která je nakonfigurovaná ke spouštění pomocí účtu NETWORK SERVICE.
Řešení
Chcete-li toto chování vyřešit, udělte účtu NETWORK SERVICE uživatelská práva popsaná v části Příčina.

Poznámka: Platná uživatelská práva v počítači můžete zobrazit pomocí modulu snap-in Secpol.msc konzoly MMC.

Pokud server není doménovým řadičem, použijte metodu 1 nebo metodu 2. Pokud server doménovým řadičem je, použijte metodu 3 nebo metodu 4.

Metoda 1: Udělení uživatelských práv v nastavení Místních zásad zabezpečení

Postupujte takto:
  1. Klepněte na tlačítko Start a pak na příkaz Spustit, zadejte příkaz Secpol.msc a klepněte na tlačítko OK.
  2. V konzole Místní zásady zabezpečení rozbalte položku Místní zásady a pak klepněte na položku Přiřazení uživatelských práv.
  3. Poklepejte na uživatelské právo Upravit příděly paměti pro proces.
  4. V dialogovém okně Vlastnosti klepněte na tlačítko Přidat uživatele nebo skupinu.
  5. V dialogovém okně Vyberte uživatele, počítače nebo skupiny zadejte do pole Zadejte názvy objektů k výběru text NETWORK SERVICE a pak klepněte na tlačítko OK.
  6. V dialogovém okně Vlastnosti klepněte na tlačítko OK.
  7. Opakujte kroky 3 až 6 pro uživatelská práva Generovat audity zabezpečení a Nahradit token úrovně procesu.
  8. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpupdate a pak klepněte na tlačítko OK.

Metoda 2: Udělení uživatelských práv v objektu zásad skupiny, který se vztahuje na členské servery

Postupujte takto:
  1. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpmc.msc a pak klepněte na tlačítko OK.
  2. V konzole Správa zásad skupiny rozbalte položky Doménová struktura: Název_domény, Domény, Název_domény a Objekty zásad skupiny, klepněte pravým tlačítkem myši na objekt zásad skupiny použitý na členské servery a pak klepněte na příkaz Upravit.
  3. V konzole Editor pro správu zásad skupiny rozbalte položky Konfigurace počítače, Zásady, Nastavení systému Windows, Nastavení zabezpečení, Místní zásady a pak klepněte na položku Přiřazení uživatelských práv.
  4. Poklepejte na uživatelské právo Upravit příděly paměti pro proces.
  5. V dialogovém okně Vlastnosti klepněte na tlačítko Přidat uživatele nebo skupinu.
  6. V dialogovém okně Přidat uživatele nebo skupinu zadejte do pole Jména uživatelů a názvy skupin text NETWORK SERVICE a pak klepněte na tlačítko OK.
  7. V dialogovém okně Vlastnosti klepněte na tlačítko OK.
  8. Opakováním kroků 4 až 7 přidejte účet NETWORK SERVICE k uživatelským právům Generovat audity zabezpečení a Nahradit token úrovně procesu.
  9. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpupdate a pak klepněte na tlačítko OK.

Metoda 3: Udělení uživatelských práv v nastavení Zásady skupiny

Postupujte takto:
  1. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpmc.msc a pak klepněte na tlačítko OK.
  2. V konzole Správa zásad skupiny rozbalte položky Doménová struktura: Název_domény, Domény, Název_domény a Objekty zásad skupiny, klepněte pravým tlačítkem myši na položku Výchozí zásada řadičů domény a pak klepněte na příkaz Upravit.
  3. V konzole Editor pro správu zásad skupiny rozbalte položky Konfigurace počítače, Zásady, Nastavení systému Windows, Nastavení zabezpečení, Místní zásady a pak klepněte na položku Přiřazení uživatelských práv.
  4. Poklepejte na uživatelské právo Upravit příděly paměti pro proces.
  5. V dialogovém okně Vlastnosti klepněte na tlačítko Přidat uživatele nebo skupinu.
  6. V dialogovém okně Přidat uživatele nebo skupinu zadejte do pole Jména uživatelů a názvy skupin text NETWORK SERVICE a pak klepněte na tlačítko OK.
  7. V dialogovém okně Vlastnosti klepněte na tlačítko OK.
  8. Opakováním kroků 4 až 7 přidejte účet NETWORK SERVICE k uživatelským právům Generovat audity zabezpečení a Nahradit token úrovně procesu.
  9. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpupdate a pak klepněte na tlačítko OK.

Metoda 4: Aktualizace souboru GptTmpl.inf

Postupujte takto:
  1. V libovolném textovém editoru, například v programu Poznámkový blok, otevřete soubor GptTmpl.inf.

    Poznámka: Soubor GptTmpl.inf se nachází v následující složce:
    %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
  2. Aktualizujte uživatelská práva na následující výchozí nastavení:
    SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
    SeAuditPrivilege = *S-1-5-19,*S-1-5-20
    SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
  3. Klepněte na tlačítko Start a na příkaz Spustit, zadejte příkaz Gpupdate a pak klepněte na tlačítko OK.
Prohlášení
Toto chování je záměrné.
Další informace
Ve výchozím nastavení se v systémech Windows 2000 Server a Windows Server 2003 spustí Terminálová služba pomocí účtu Místní systém. V systému Windows Server 2008 se Terminálová služba spustí pomocí účtu NETWORK SERVICE. Důvodem je zvýšení zabezpečení. Pokud účtu NETWORK SERVICE neudělíte uživatelská práva popsaná v části Příčina, nemůže se Terminálová služba spustit.

Pokud ve výchozích zásadách řadičů domény tato uživatelská práva účtu NETWORK SERVICE odeberete, nelze Terminálovou službu spustit v řadičích domény se systémem Windows Server 2008. Lze ji ale spustit v řadičích domény se systémy Windows 2000 Server nebo Windows Server 2003.

Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
245207 Jak určit názvy a významy práv NTRIGHTS (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
243330 Známé identifikátory zabezpečení v operačních systémech Windows (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Vlastnosti

ID článku: 946399 - Poslední kontrola: 03/19/2008 23:19:42 - Revize: 2.0

  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • kbtermserv kbexpertiseadvanced kbtshoot kbprb KB946399
Váš názor