Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

No se puede abrir recursos compartidos de archivos o complementos de directiva de grupo en un controlador de dominio

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 839499
Resumen
No se puede abrir recursos compartidos de archivos o los directiva de grupo de complementos en un controlador de dominio de Windows Server 2003 o en un controlador de dominio de Windows 2000 Server. Cuando inicie sesión en el controlador de dominio local y, a continuación, intente abrir los recursos compartidos en el controlador de dominio, se le pedirá la contraseña repetida y no se puede abrir los recursos compartidos. Para resolver este problema cambiando el registro.


Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que se puedan resolver estos problemas. Modifique el registro bajo su responsabilidad.

Síntomas
Escenario 1: bloque de mensajes de servidor (SMB) de firma está deshabilitado para el servicio de estación de trabajo en un controlador de dominio, pero la firma de SMB se requiere para el servicio de servidor en el mismo controlador de dominio

Windows Server 2003
Cuando intenta abrir complementos Directiva de grupo en el controlador de dominio, recibirá un mensaje de error similar al siguiente:
No tiene permiso para realizar esta operación.Acceso denegado.
El controlador de dominio registra los sucesos siguientes en el registro de sucesos de aplicación cada cinco minutos:

Tipo de suceso: Error
Origen de eventos: Userenv
Categoría de sucesos: ninguno
ID. de suceso: 1058
Usuario: NT AUTHORITY\SYSTEM
Descripción:
Windows no puede obtener acceso al archivo gpt.ini para GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =nombreDeDominio, DC = com. El archivo debe estar presente en la ubicación <> </> nombre_dominio.com\sysvol\nombre_dominio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Acceso denegado) Se anuló el procesamiento de directiva de grupo.

Tipo de suceso: Error
Origen de eventos: Userenv
Categoría de sucesos: ninguno
ID. de suceso: 1030
Usuario: NT AUTHORITY\SYSTEM
Descripción:
Windows no puede consultar la lista de objetos de directiva de grupo. Compruebe el registro de sucesos para posibles mensajes registrados previamente por el motor de directiva que describe la razón de esto.

Cuando inicie sesión en el controlador de dominio local y, a continuación, intente abrir los recursos compartidos en el controlador de dominio, se le pedirá la contraseña repetida y no se puede abrir los recursos compartidos.



Windows 2000 Server
Cuando intenta abrir complementos Directiva de grupo en el controlador de dominio, recibirá un mensaje de error similar al siguiente:
No tiene permiso para realizar esta operación.

Acceso denegado.
El controlador de dominio registra el suceso siguiente en el registro de sucesos de aplicación:

Tipo de suceso: Error
Origen de eventos: Userenv
Categoría de sucesos: ninguno
Br / > usuario: NT AUTHORITY\SYSTEM
Descripción:
Windows no puede tener acceso a la información del registro en \\nombre_dominio.com\sysvol\nombre_dominio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol con (5).



Cuando inicie sesión en el controlador de dominio local y, a continuación, intente abrir los recursos compartidos en el controlador de dominio, se le pedirá la contraseña repetida y no se puede abrir los recursos compartidos.
Escenario 2: la firma SMB está deshabilitada para el servicio de servidor en un controlador de dominio, pero la firma de SMB se requiere para el servicio de estación de trabajo en el mismo controlador de dominio

Windows Server 2003
No se pudo abrir el objeto de directiva de grupo. No puede tener los derechos adecuados.

La cuenta no está autorizada para iniciar sesión desde esta estación.
En una traza de red, si la firma SMB está habilitada y es necesaria en el cliente y está deshabilitada en el servidor, la conexión a la sesión TCP está correctamente cerrada después de la negociación del dialecto, y el cliente recibe el siguiente error:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
El controlador de dominio registra los sucesos siguientes en el registro de sucesos de aplicación cada cinco minutos:

Tipo de suceso: Error
Origen de eventos: Userenv
Categoría de sucesos: ninguno
ID. de suceso: 1058
Usuario: NT AUTHORITY\SYSTEM
Descripción:
Windows no puede obtener acceso al archivo gpt.ini para GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =nombreDeDominio, DC = com. El archivo debe estar presente en la ubicación <> </> nombre_dominio.com\sysvol\nombre_dominio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Acceso denegado) Se anuló el procesamiento de directiva de grupo.

Tipo de suceso: Error
Origen de eventos: Userenv
Categoría de sucesos: ninguno
ID. de suceso: 1030
Usuario: NT AUTHORITY\SYSTEM
Descripción:
Windows no puede consultar la lista de objetos de directiva de grupo. Compruebe el registro de sucesos para posibles mensajes registrados previamente por el motor de directiva que describe la razón de esto.

Cuando inicie sesión en el controlador de dominio local y, a continuación, intente abrir recursos compartidos de archivos del controlador de dominio, recibirá un mensaje de error que resmbles lo siguiente:
\\Nombre_servidor\nombreDeRecursoCompartido no es accesible. Puede que no tenga permiso para utilizar este recurso de red. Póngase en contacto con el Administrador de este servidor para averiguar si tiene permisos de acceso.

La cuenta no está autorizada para iniciar sesión desde esta estación.

Nota En una traza de red, si la firma SMB está habilitada y si la firma de SMB se requiere en el cliente y está deshabilitada en el servidor, la conexión a la sesión TCP está correctamente cerrada después de la negociación del dialecto. Además, el cliente recibe el mensaje de error siguiente:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)


Windows 2000 Server
Cuando intenta abrir complementos Directiva de grupo en el controlador de dominio, recibirá un mensaje de error similar al siguiente:
No se pudo abrir el objeto de directiva de grupo. No puede tener los derechos adecuados.

La cuenta no está autorizada para iniciar sesión desde esta estación.
El controlador de dominio registra el suceso siguiente en el registro de sucesos de aplicación:

Tipo de suceso: Error
Origen de eventos: Userenv
Categoría de sucesos: ninguno
ID. de suceso: 1000
Br / > usuario: NT AUTHORITY\SYSTEM
Descripción:
Windows no puede tener acceso a la información del registro en \\nombre_dominio.com\sysvol\nombre_dominio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol con (1240).

Cuando inicie sesión en el controlador de dominio local y, a continuación, intente abrir recursos compartidos de archivos del controlador de dominio, recibirá un mensaje de error similar al siguiente:
\\Nombre_servidor\nombreDeRecursoCompartido no es accesible.

La cuenta no está autorizada para iniciar sesión desde esta estación.


Nota
en una traza de red, si la firma SMB está habilitada y si la firma de SMB se requiere en el cliente y está deshabilitada en el servidor, la conexión a la sesión TCP se cierra después de la negociación del dialecto. Además, el cliente recibe el mensaje de error siguiente:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Solución
Para resolver este comportamiento, siga estos pasos:

Importante Esta sección, el método o la tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, consulte Cómo hacer copia de seguridad y restaurar el registro en Windows XP.

Paso 1: cambiar el registro
Cambiar el valor de la entrada de registro enablesecuritysignature. Para ello, siga estos pasos:
  1. En el controlador de dominio, haga clic en Inicioy, a continuación, haga clic enEjecute.
  2. Copia y, a continuación, pegar (o tipo) el siguiente comando en el cuadro Abrir y, a continuación, presione ENTRAR.
    Regedit

  3. Busque y, a continuación, haga clic en la siguiente subclave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  4. En el panel derecho, haga doble clic en EnableSecuritySignature, tipo 1 en el Datos de valor cuadro y, a continuación, haga clic en ACEPTAR.
  5. Haga doble clic en RequireSecuritySignature, tipo 1 en el Datos de valor cuadro y, a continuación, haga clic en ACEPTAR.
  6. Busque y, a continuación, haga clic en la siguiente subclave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  7. En el panel derecho, haga doble clic en EnableSecuritySignature, tipo 1 en el Datos de valor cuadro y, a continuación, haga clic en ACEPTAR.
  8. Haga doble clic en RequireSecuritySignature, tipo 0 en el Datos de valor cuadro y, a continuación, haga clic en ACEPTAR.


Paso 2: reiniciar el servicio de servidor y el servicio de estación de trabajo
Después de cambiar los valores del registro, reinicie el servicio de servidor y el servicio de estación de trabajo.

Importante No reinicie el controlador de dominio, ya que esta acción puede provocar la directiva de grupo cambiar los valores del registro a los valores anteriores.

Para reiniciar el servicio de servidor y el servicio de estación de trabajo, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Servicios.
  2. Con el botón secundario Servidory, a continuación, haga clic en Reiniciar.
  3. Con el botón secundario Estación de trabajoy, a continuación, haga clic en Reiniciar.

    Nota Si se le pida reiniciar otros servicios, haga clic en Sí.


Paso 3: actualizar el recurso compartido Sysvol
Actualizar el recurso compartido Sysvol del controlador de dominio. Para ello, siga estos pasos:
  1. Abrir el recurso compartido Sysvol del controlador de dominio. Para ello, haga clic en Inicio, haga clic en Ejecutar, tipo \\NombreDeServidor\Sysvol en el Abierto cuadro y, a continuación, presione ENTRAR.
  2. Si no se abre el recurso compartido Sysvol, repita el paso 1: cambiar el registro y el paso 2 - Reinicie los servicios servidor y estación de trabajo.
  3. Repita el paso 1: cambiar el registro y el paso 2 - Reinicie los servicios servidor y estación de trabajo en cada controlador de dominio afectado para asegurarse de que cada controlador de dominio puede tener acceso a su propio recurso compartido Sysvol.


Paso 4: configurar las opciones de directiva SMB
Después de conectarse al recurso compartido Sysvol en cada controlador de dominio, abra el complemento Directiva de seguridad de controlador de dominio y, a continuación, establecer la configuración de directiva de firma de SMB. Para ello, siga estos pasos:
  1. Haga clic en Inicio, seleccione Programas, seleccione Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad de controlador de dominio.
  2. En el panel izquierdo, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  3. En el panel derecho, haga doble clic en Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre).

    NotaEn Windows 2000 Server, es la configuración de directiva equivalente Firmar digitalmente las comunicaciones del servidor (siempre).

    Importante Si tiene equipos cliente en la red que no admiten la firma SMB, no debe habilitar el Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)configuración de directiva. Si habilita a esta configuración, debe tener la firma SMB para todas las comunicaciones de cliente y los equipos cliente que no admiten la firma de SMB no podrá conectarse a otros equipos. Por ejemplo, los clientes que ejecutan Apple Macintosh OS X o Microsoft Windows 95 no admiten la firma de SMB. Si la red contiene a clientes que no admiten la firma SMB, establezca esta directiva en deshabilitado.
  4. Haga clic para seleccionar la Definir esta configuración de directiva casilla de verificación, haga clic en Habilitadoy, a continuación, haga clic en ACEPTAR.
  5. Haga doble clic en Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite).

    Nota Para Windows 2000 Server, es la configuración de directiva equivalente Firmar digitalmente las comunicaciones del servidor (cuando sea posible).
  6. Haga clic para seleccionar la Definir esta configuración de directiva casilla de verificación y, a continuación, haga clic en Habilitado.
  7. Haga clic en ACEPTAR.
  8. Haga doble clic en Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre).
  9. Haga clic para desactivar la Definir esta configuración de directiva casilla de verificación y, a continuación, haga clic en ACEPTAR.
  10. Haga doble clic en Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite).
  11. Haga clic para desactivar la Definir esta configuración de directiva casilla de verificación y, a continuación, haga clic en ACEPTAR.


Paso 5: ejecutar la utilidad de actualización de directiva de grupo
Ejecute la utilidad de actualización de directiva de grupo (Gpupdate.exe) con el modificador de fuerza . Para ello, siga estos pasos:
  1. Haga clic en Inicioy, a continuación, haga clic enEjecutar.
  2. Copiar y pegar (o tipo) el siguiente comando en el cuadro Abrir y, a continuación, presione ENTRAR.
    cmd

  3. En el símbolo del sistema, escriba gpupdate /force, y, a continuación, presione ENTRAR.
Para obtener más información acerca de la utilidad de actualización de directiva de grupo, consulte Una descripción de la utilidad de actualización de directiva de grupo.

Nota La utilidad de actualización de directiva de grupo no existe en Windows 2000 Server. En Windows 2000 Server, el comando equivalente es secedit /refreshpolicy machine_policy /enforce.

Para obtener más información acerca de cómo utilizar el comando Secedit en Windows 2000 Server, consulteUtilizar SECEDIT para forzar una actualización de la directiva de grupo inmediatamente.

Paso 6: Compruebe el registro de sucesos de aplicación
Después de ejecutar la utilidad de actualización de directiva de grupo, compruebe el registro de sucesos de aplicación para asegurarse de que la configuración de directiva de grupo se han actualizado correctamente. Después de la actualización de directiva de grupo, el controlador de dominio registra con ID de evento. Para abrir el registro de aplicación en el Visor de sucesos, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Visor de sucesos.
  2. En el panel izquierdo, haga clic en Aplicación.
  3. Haga doble clic en el suceso con ID y confirmar que la configuración de directiva de grupo se ha aplicado correctamente.

    Nota El origen del evento es SceCli.


Paso 7: comprobar los valores del registro
Compruebe los valores del registro que cambió en el paso 1: cambiar el registro para asegurarse de que no han cambiado los valores del registro.

Nota Este paso asegura que una configuración conflictiva de directiva no se aplica a otro nivel de unidad organizativa o grupo (OU). Por ejemplo, si la cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) está configurada como "No definido" en Directiva de seguridad de controlador de dominio, pero esta misma directiva se configura como deshabilitado en la directiva de seguridad de dominio, la firma de SMB se deshabilitará el servicio de estación de trabajo.

Paso 8: Compruebe la configuración de directiva de firma utilizando el complemento conjunto resultante de directivas (RSoP) de SMB
Si los valores del registro han cambiado después de ejecutar la utilidad de actualización de directiva de grupo, compruebe la configuración de directiva de firma utilizando el complemento RSoP en Windows Server 2003 de SMB. Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo RSoP.msc en el Abierto cuadro y, a continuación, haga clic en ACEPTAR.
  2. En el complemento RSoP, la configuración de firma de SMB se encuentra en la siguiente ruta:
    Opciones de directivas de seguridad de equipo Configuración de Windows Configuración de seguridad Local/configuración
    Nota Si está ejecutando Windows 2000 Server, instalar la utilidad de actualización de directiva de grupo desde el Kit de recursos de Windows 2000 Server y, a continuación, escriba lo siguiente en el símbolo del sistema:
    gpresult /scope equipo /v
  3. Después de ejecutar este comando, el Objetos de directiva de grupo aplicadosaparece en la lista. Esta lista muestra todos los objetos de directiva de grupo que se aplican a la cuenta de equipo. Compruebe la configuración de directiva para todos estos objetos de directiva de grupo de firma de SMB.
Recursos adicionales
Este comportamiento se produce si la configuración de firma de SMB para el servicio de estación de trabajo y para el servicio de servidor contradice entre sí. Al configurar el controlador de dominio de este modo, el servicio de estación de trabajo en el controlador de dominio no se puede conectar al recurso compartido de Sysvol del controlador de dominio. Por lo tanto, no se puede iniciar complementos de directiva de grupo. Asimismo, si las directivas de firmas de SMB se establecen mediante la directiva de seguridad de controlador de dominio predeterminada, el problema afecta a todos los controladores de dominio en la red. Por lo tanto, se producirá un error de replicación de directiva de grupo en el servicio de directorio de Active Directory y no podrá modificar la directiva de grupo para anular esta configuración.

Escenario 1: si ejecuta la herramienta de diagnóstico de controlador de dominio (DcDiag.exe), recibirá errores similares al siguiente servidor de Windows 2000 y Windows Server 2003:

Starting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 5: Access is denied.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicated Starting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied........................... SERVERNAME failed test frssysvolStarting test: frsevent ......................... SERVERNAME failed test frsevent Starting test: kcceventFailed to enumerate event log records, error Access is denied. ......................... SERVERNAME failed test kccevent Starting test: systemlogFailed to enumerate event log records, error Access is denied.......................... SERVERNAME failed test systemlog
Escenario 2: si ejecuta la herramienta de diagnóstico de controlador de dominio, recibirá errores similares al siguiente para Windows 2000 Server y Windows Server 2003:

Testing server: Default-First-Site-Name\SERVERNAMEStarting test: Replications......................... SERVERNAME passed test ReplicationsStarting test: NCSecDesc......................... SERVERNAME passed test NCSecDescStarting test: NetLogons[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test NetLogonsStarting test: Advertising......................... SERVERNAME passed test AdvertisingStarting test: KnowsOfRoleHolders......................... SERVERNAME passed test KnowsOfRoleHoldersStarting test: RidManager......................... SERVERNAME passed test RidManagerStarting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicatedStarting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test frssysvolStarting test: frsevent......................... SERVERNAME failed test frseventStarting test: kcceventFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kcceventStarting test: systemlogFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog

Warning: This article has been translated automatically

Propiedades

Id. de artículo: 839499 - Última revisión: 07/12/2013 09:19:00 - Revisión: 3.1

Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbsmbportal kbmt KB839499 KbMtes
Comentarios
ld(m);