No puede abrir recursos compartidos de archivos o complementos de directiva de grupo en un controlador de dominio

Resumen

No puede abrir recursos compartidos de archivos o la directiva de grupo complementos en un controlador de dominio de Windows Server 2003 o en un controlador de dominio de Windows 2000 Server. Cuando inicie sesión en el controlador de dominio local y vuelva a intentar abrir recursos compartidos en el controlador de dominio, recibirá mensajes de contraseña repetida y no puede abrir los recursos compartidos. Puede resolver este problema modificando el registro.


Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.

Síntomas

Escenario 1: bloque de mensajes del servidor (SMB) firma está deshabilitado para el servicio de estación de trabajo en un controlador de dominio, pero la firma SMB es necesaria para el servicio servidor en el mismo controlador de dominio

Windows Server 2003

Cuando intenta abrir el complemento Directiva de grupo en el controlador de dominio, recibirá un mensaje de error similar al siguiente:
No tiene permiso para realizar esta operación. Acceso denegado.
El controlador de dominio registra los sucesos siguientes en el registro de sucesos de aplicación cada cinco minutos:


Windows 2000 Server

Cuando intenta abrir el complemento Directiva de grupo en el controlador de dominio, recibirá un mensaje de error similar al siguiente:
No tiene permiso para realizar esta operación.


Acceso denegado.
El controlador de dominio registra el siguiente suceso en el registro de sucesos de aplicación:

Cuando inicie sesión en el controlador de dominio local y vuelva a intentar abrir recursos compartidos en el controlador de dominio, recibirá mensajes de contraseña repetida y no puede abrir los recursos compartidos.
Escenario 2: firma de SMB se deshabilita para el servicio de servidor en un controlador de dominio, pero la firma de SMB se requiere para el servicio de estación de trabajo en el mismo controlador de dominio

Windows Server 2003



No se pudo abrir el objeto de directiva de grupo. No tenga los derechos adecuados.


La cuenta no está autorizada a iniciar sesión desde esta estación.
En una traza de red, si la firma SMB está habilitada y es necesaria en el cliente y está deshabilitada en el servidor, la conexión con la sesión TCP se cerrará correctamente después la negociación del dialecto, y el cliente recibe el error siguiente:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
El controlador de dominio registra los sucesos siguientes en el registro de sucesos de aplicación cada cinco minutos:
Cuando inicie sesión en el controlador de dominio local y vuelva a intentar abrir recursos compartidos de archivos en el controlador de dominio, recibirá un mensaje de error que resmbles lo siguiente:
\\Nombre_servidor\nombreDeRecursoCompartido no es accesible. Puede que no tenga permiso para utilizar este recurso de red. Póngase en contacto con el Administrador de este servidor para averiguar si tiene permisos de acceso.

La cuenta no está autorizada a iniciar sesión desde esta estación.

Nota: En una traza de red, si la firma SMB está habilitada y si la firma SMB es necesaria en el cliente y está deshabilitada en el servidor, la conexión con la sesión TCP se cierra rápidamente después de la negociación del dialecto. Además, el cliente recibe el mensaje de error siguiente:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)


Windows 2000 Server

Cuando intenta abrir el complemento Directiva de grupo en el controlador de dominio, recibirá un mensaje de error similar al siguiente:
No se pudo abrir el objeto de directiva de grupo. No tenga los derechos adecuados.


La cuenta no está autorizada a iniciar sesión desde esta estación.
El controlador de dominio registra el siguiente suceso en el registro de sucesos de aplicación:
Cuando inicie sesión en el controlador de dominio local y vuelva a intentar abrir recursos compartidos de archivos en el controlador de dominio, recibirá un mensaje de error similar al siguiente:
\\Nombre_servidor\nombreDeRecursoCompartido no es accesible.


La cuenta no está autorizada a iniciar sesión desde esta estación.


Nota en una traza de red, si la firma SMB está habilitada y si la firma SMB es necesaria en el cliente y está deshabilitada en el servidor, la conexión con la sesión TCP se cerrará correctamente después la negociación del dialecto. Además, el cliente recibe el mensaje de error siguiente:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Solución

Para resolver este comportamiento, siga estos pasos:


IMPORTANTE esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, vea cómo hacer copia de seguridad y restaurar el registro en Windows XP.


Paso 1: cambiar el registro

Cambie el valor de la entrada de registro enablesecuritysignature. Para ello, siga estos pasos:

  1. En el controlador de dominio, haga clic en Inicioy, a continuación, haga clic en ejecutar.
  2. Copia y, a continuación, pegar (o tipo) el siguiente comando en el cuadro Abrir y, a continuación, presione ENTRAR.
    Regedit

  3. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  4. En el panel derecho, haga doble clic en enablesecuritysignature, escriba 1 en el cuadro información del valor y, a continuación, haga clic en Aceptar.
  5. Haga doble clic en requiresecuritysignature, escriba 1 en el cuadro información del valor y, a continuación, haga clic en Aceptar.
  6. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  7. En el panel derecho, haga doble clic en enablesecuritysignature, escriba 1 en el cuadro información del valor y, a continuación, haga clic en Aceptar.
  8. Haga doble clic en requiresecuritysignature, escriba 0 en el cuadro información del valor y, a continuación, haga clic en Aceptar.


Paso 2: reiniciar el servicio de servidor y el servicio de estación de trabajo
Después de cambiar los valores del registro, reinicie el servicio del servidor y el servicio de estación de trabajo.

IMPORTANTE No reinicie el controlador de dominio, ya que esta acción puede producir la directiva de grupo para cambiar los valores del registro a los valores anteriores.


Para reiniciar el servicio del servidor y el servicio de estación de trabajo, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Servicios.
  2. Haga clic en servidory, a continuación, haga clic en reiniciar.

  3. (Ratón) en la estación de trabajoy, a continuación, haga clic en reiniciar.


    Nota: Si se le pide reiniciar otros servicios, haga clic en Sí.


Paso 3: actualizar el recurso compartido Sysvol

Actualizar el recurso compartido Sysvol del controlador de dominio. Para ello, siga estos pasos:
  1. Abra el recurso compartido Sysvol del controlador de dominio. Para ello, haga clic en Inicio, haga clic en Ejecutar, tipo \\ \SysvolnombreDeServidor en el cuadro Abrir y, a continuación, presione ENTRAR.
  2. Si el recurso compartido Sysvol no se abre, repita el paso 1: cambiar el registro y paso 2 - reinicie los servicios servidor y estación de trabajo.
  3. Repita el paso 1: cambiar el registro y paso 2 - reinicie los servicios servidor y estación de trabajo en cada controlador de dominio afectado para asegurarse de que cada controlador de dominio puede tener acceso a su propio recurso compartido de Sysvol.


Paso 4: configurar las opciones de directiva SMB

Después de conectar con el recurso compartido Sysvol de cada controlador de dominio, abra el complemento Directiva de seguridad controlador de dominio y, a continuación, configure la configuración de la directiva de firma de SMB. Para ello, siga estos pasos:
  1. Haga clic en Inicio, seleccione programas, seleccione Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad controlador de dominio.
  2. En el panel izquierdo, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  3. En el panel derecho, haga doble clic en servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre).

    Nota: En Windows 2000 Server, la configuración de directiva equivalente es firmar digitalmente las comunicaciones del servidor (siempre).


    Importante: Si tiene equipos cliente en la red que no admiten la firma SMB, no debe habilitar el servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) configuración de directiva. Si habilita a esta configuración, debe tener la firma SMB para todas las comunicaciones de cliente y los equipos cliente que no admiten la firma SMB no podrá conectarse a otros equipos. Por ejemplo, los clientes que se ejecutan en Apple Macintosh OS X o Microsoft Windows 95 no admiten la firma SMB. Si la red contiene a clientes que no admiten la firma SMB, establezca esta directiva en deshabilitado.
  4. Haga clic para seleccionar la casilla de verificación Definir esta configuración de directiva , haga clic en habilitaday, a continuación, haga clic en Aceptar.

  5. Haga doble clic en servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite).


    Nota: Para Windows 2000 Server, la configuración de directiva equivalente es firmar digitalmente las comunicaciones del servidor (cuando sea posible).
  6. Haga clic para activar la casilla de verificación Definir esta configuración de directiva y, a continuación, haga clic en habilitada.
  7. Haga clic en Aceptar.
  8. Haga doble clic en cliente de red Microsoft: firmar digitalmente las comunicaciones (siempre).
  9. Haga clic para desactivar la casilla de verificación Definir esta configuración de directiva y, a continuación, haga clic en Aceptar.

  10. Haga doble clic en cliente de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite).
  11. Haga clic para desactivar la casilla de verificación Definir esta configuración de directiva y, a continuación, haga clic en Aceptar.


Paso 5: ejecutar la utilidad de actualización de directiva de grupo

Ejecute la utilidad de actualización de directiva de grupo (Gpupdate.exe) con el modificador Forzar . Para ello, siga estos pasos:
  1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar.
  2. Copiar y pegar (o tipo) el siguiente comando en el cuadro Abrir y, a continuación, presione ENTRAR.
    cmd

  3. En el símbolo del sistema, escriba gpupdate /forcey, a continuación, presione ENTRAR.
Para obtener más información acerca de la utilidad de actualización de directiva de grupo, consulte una descripción de la utilidad de actualización de directiva de grupo.

Nota: La utilidad de actualización de directiva de grupo no existe en Windows 2000 Server. En Windows 2000 Server, el comando equivalente es secedit /refreshpolicy machine_policy / enforce.


Para obtener más información acerca de cómo utilizar el comando Secedit en Windows 2000 Server, consulte utilizar SECEDIT para forzar una directiva de grupo se actualice inmediatamente.


Paso 6: Compruebe el registro de sucesos de aplicación

Después de ejecutar la utilidad de actualización de directiva de grupo, compruebe el registro de sucesos de aplicación para asegurarse de que la configuración de directiva de grupo se han actualizado correctamente. Después de una actualización de directiva de grupo correcta, el controlador de dominio registra el identificador de suceso 1704. Para abrir el registro de aplicación en Visor de sucesos, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Visor de sucesos.
  2. En el panel izquierdo, haga clic en aplicación.

  3. Haga doble clic en el evento ID 1704 y confirmar que la configuración de directiva de grupo se ha aplicado correctamente.


    Nota: El origen del evento es SceCli.




Paso 7: comprobar los valores del registro

Compruebe los valores del registro que cambió en el paso 1: cambiar el registro para asegurarse de que no han cambiado los valores del registro.


Nota: Este paso asegura que una configuración conflictiva de directiva no se aplica en otro nivel de unidad organizativa o grupo (OU). Por ejemplo, si la cliente de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) directiva está configurada como "No definido" en directiva de seguridad controlador de dominio, pero esta misma directiva se configura como deshabilitado en la directiva de seguridad de dominio, la firma de SMB se deshabilita para el servicio de estación de trabajo.


Paso 8: comprobar el SMB de configuración de la directiva de firma utilizando el complemento conjunto resultante de directivas (RSoP)

Si los valores del registro han cambiado después de ejecutar la utilidad de actualización de directiva de grupo, compruebe el SMB de configuración de la directiva de firma utilizando el complemento de RSoP en Windows Server 2003. Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba rsop.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. En el complemento RSoP, los valores de firma de SMB se encuentran en la siguiente ruta:
    Equipo Configuración de Windows Configuración de seguridad Local/configuración directivas/Opciones de seguridad
    Nota: Si está ejecutando Windows 2000 Server, instale la utilidad de actualización de directiva de grupo desde el Kit de recursos de Windows 2000 Server y, a continuación, escriba lo siguiente en el símbolo del sistema:
    gpresult /scope computer /v
  3. Después de ejecutar este comando, aparece la lista de Objetos de directiva de grupo aplicada . Esta lista muestra todos los objetos de directiva de grupo que se aplican a la cuenta de equipo. Compruebe la configuración de directiva para todos estos objetos de directiva de grupo la firma de SMB.

Recursos adicionales

Este comportamiento se produce si la configuración de firma SMB para el servicio de estación de trabajo y para el servicio servidor contradice entre sí. Al configurar el controlador de dominio de esta manera, el servicio de estación de trabajo en el controlador de dominio no puede conectarse al recurso compartido de Sysvol del controlador de dominio. Por lo tanto, no se puede iniciar el complemento Directiva de grupo. Asimismo, si se establecen directivas de firma SMB por la directiva de seguridad del controlador de dominio predeterminado, el problema afecta a todos los controladores de dominio en la red. Por lo tanto, se producirá un error en la replicación de la directiva de grupo en el servicio de directorio de Active Directory y no podrá modificar la directiva de grupo para deshacer esta configuración.


Escenario 1: si ejecuta la herramienta de diagnóstico de controlador de dominio (DcDiag.exe), recibirá errores similares a los siguientes para Windows 2000 Server y Windows Server 2003:

Starting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 5: Access is denied.
Could not get NetBIOSDomainName
Failed cannot test for HOST SPN
Failed cannot test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test systemlog

Escenario 2: si ejecuta la herramienta de diagnóstico de controlador de dominio, recibirá errores similares al siguiente en Windows 2000 Server y de Windows Server 2003:

Testing server: Default-First-Site-Name\SERVERNAMEStarting test: Replications
......................... SERVERNAME passed test Replications
Starting test: NCSecDesc
......................... SERVERNAME passed test NCSecDesc
Starting test: NetLogons
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test NetLogons
Starting test: Advertising
......................... SERVERNAME passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVERNAME passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVERNAME passed test RidManager
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
Could not get NetBIOSDomainName
Failed cannot test for HOST SPN
Failed cannot test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog

Propiedades

Id. de artículo: 839499 - Última revisión: 17 ene. 2017 - Revisión: 1

Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

Comentarios