Des événements et des erreurs Userenv sont consignés après l’application de la stratégie de groupe à des ordinateurs Windows Server 2003, Windows XP ou Windows 2000

S’applique à : Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

Résumé


Vous pouvez rencontrer un ou plusieurs erreurs et événements si la stratégie de groupe est appliquée aux ordinateurs présents sur votre réseau. Pour déterminer l’origine du problème, vous devez dépanner la configuration des ordinateurs présents sur votre réseau. Procédez comme suit pour dépanner l’origine du problème :
  1. Vérifiez les paramètres DNS et les propriétés de réseau sur les serveurs et les ordinateurs clients.
  2. Vérifiez les paramètres de signature SMB sur les ordinateurs clients.
  3. Assurez-vous que le service d’assistance TCP/IP NetBIOS, le service Net Logon et le service d’appel de procédure distante (RPC) sont démarrés sur tous les ordinateurs.
  4. Assurez-vous que le système de fichiers DFS est activé sur tous les ordinateurs.
  5. Vérifiez le contenu et les autorisations du dossier Sysvol.
  6. Assurez-vous que le droit Contourner la vérification de parcours est accordé aux groupes requis.
  7. Assurez-vous que les contrôleurs de domaine ne sont pas dans un état de dépassement de taille du journal.
  8. Exécutez la commande dfsutil /purgemupcache.

Symptômes


Vous rencontrez un ou plusieurs des symptômes suivants sur un ordinateur Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000 :
  • Les paramètres de stratégie de groupe ne sont pas appliqués aux ordinateurs.
  • La réplication de la stratégie de groupe n’est pas effectuée entre les contrôleurs de domaine sur le réseau.
  • Vous ne pouvez pas ouvrir les composants logiciels enfichables Stratégie de groupe. Par exemple, vous ne pouvez pas ouvrir le composant logiciel enfichable Stratégie de sécurité du contrôleur de domaine ou Stratégie de sécurité du domaine.
  • Si vous essayez d’ouvrir un composant logiciel enfichable Stratégie de groupe, l’un des messages d’erreur suivants s’affiche :
    Impossible d’ouvrir l’objet Stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.
    Détails : Le compte n’est pas autorisé à se connecter depuis cette station.
    Vous n’êtes pas autorisé à effectuer cette opération.

    Détails : Accès refusé.
    Impossible d’ouvrir l’objet Stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.
    Détails : Le chemin d’accès spécifié est introuvable.
  • Si vous essayez d’accéder aux fichiers partagés sur n’importe quel contrôleur de domaine, un message d’erreur s’affiche. Ce symptôme se produit même si vous avez ouvert une session sur le serveur et si vous essayez d’accéder à un partage local. Plus précisément, ce symptôme peut affecter l’accès au partage Sysvol d’un contrôleur de domaine.
  • Si vous essayez d’accéder à un partage de fichiers, vous êtes invité à plusieurs reprises à entrer un mot de passe.
  • Si vous essayez d’accéder à un partage de fichiers, un message d’erreur semblable à l’un des messages d’erreur suivants s’affiche :
    \\Nom_serveur\Nom_partage n’est pas accessible. Vous ne disposez peut-être pas des autorisations nécessaires pour utiliser cette ressource réseau. Contactez l’administrateur de ce serveur pour savoir si vous disposez des autorisations d’accès.
    Le compte n’est pas autorisé à se connecter depuis cette station.
    \\Nom_serveur\Nom_partage n’est pas accessible.
    Le compte n’est pas autorisé à se connecter depuis cette station.
    Le chemin réseau n’a pas été trouvé.
Si vous affichez le journal des applications dans l’Observateur d’événements sous Windows XP ou Windows Server 2003, des événements semblables aux événements suivants s’afficheront :
Type d’événement : Erreur

Source de l’événement : Userenv
Catégorie de l’événement : Aucune
ID d’événement : 1058

Date : Date
Heure :
Heure
Utilisateur :
Nom_utilisateur
Ordinateur :
Nom_ordinateur
Description : Windows ne peut pas accéder au fichier gpt.ini pour l’objet Stratégie de groupes CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=nom_domaine,DC=com. Le fichier doit être présent à l’emplacement <\\nom_domaine.com\sysvol\nom_domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Message_erreur). Le traitement de la stratégie de groupe est interrompu. Pour plus d’informations, consultez le centre Aide et support à l’adresse http://support.microsoft.com.
Le message d’erreur qui s’affiche dans l’espace réservé
Message_erreur pour l’ID d’événement 1058 peut être l’un des suivants :
  • Le chemin réseau n’a pas été trouvé.
  • Accès refusé.
  • Les informations de configuration n’ont pas pu être lues sur le contrôleur de domaine car l’ordinateur n’est pas disponible ou l’accès a été refusé.
Type d’événement : Erreur
Source de l’événement : Userenv
Catégorie de l’événement : Aucune
ID d’événement : 1030
Date :
Date
Heure :
Heure
Utilisateur :
Nom_utilisateur
Ordinateur :
Nom_ordinateur
Description : Windows ne peut pas accéder à la liste des objets de stratégie de groupe. Recherchez dans le journal d’événements des éventuels messages consignés par le moteur de stratégies et donnant des raisons pour cette erreur. Pour plus d’informations, consultez le centre Aide et support à l’adresse http://support.microsoft.com.
En général, si les ID d’événement 1058 et 1030 se produisent, ils sont enregistrés par les ordinateurs clients et les serveurs membres lors du démarrage de l’ordinateur. Les contrôleurs de domaine enregistrent ces événements toutes les cinq minutes.

Si vous affichez le journal des applications dans l’Observateur d’événements sur un ordinateur Windows 2000, vous voyez des événements qui sont semblables aux événements suivants :
Type d’événement : Erreur
Source de l’événement : Userenv

Catégorie de l’événement : Aucune
ID d’événement : 1000
Date :
Date
Heure :
Heure
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur :
Nom_ordinateur
Description : Windows ne peut pas accéder aux informations du Registre sur \\nom_domaine.com\sysvol\nom_domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol avec (code_erreur).
Le code d’erreur qui s’affiche dans l’espace réservé
code_erreur pour l’ID d’événement 1000 peut être l’un des suivants :
  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Cause


Ces problèmes se produisent si les ordinateurs qui sont présents sur votre réseau ne peuvent pas se connecter à certains objets de stratégie de groupe. Plus précisément, ces objets se trouvent dans les dossiers Sysvol sur les contrôleurs de domaine de votre réseau.

Résolution


Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows


Pour résoudre ce problème, vous devez dépanner la configuration de votre réseau pour limiter la cause du problème, puis corriger la configuration. Pour dépanner la cause possible de ce problème, procédez comme suit :

Étape 1 : Vérifier les paramètres DNS et les propriétés de réseau sur les serveurs et les ordinateurs clients

Dans les propriétés de la connexion au réseau local, le composant Client pour les réseaux Microsoft doit être activé sur tous les serveurs et ordinateurs clients. Le composant Partage de fichiers et d’imprimantes pour les réseaux Microsoft doit être activé sur tous les contrôleurs de domaine.

En outre, chaque ordinateur présent sur le réseau doit utiliser des serveurs DNS qui peuvent résoudre des enregistrements SRV et des noms d’hôte de la forêt Active Directory dont l’ordinateur est un membre. En général, une erreur de configuration courante des ordinateurs clients consiste à utiliser les serveurs DNS qui appartiennent à votre fournisseur de services Internet (ISP).

Sur tous les ordinateurs qui ont enregistré les erreurs Userenv, vérifiez les paramètres DNS et les propriétés de réseau. De plus, vérifiez ces paramètres sur tous les contrôleurs de domaine qu’ils aient enregistré des erreurs Userenv ou non.

Pour vérifier les paramètres DNS et les propriétés de réseau sur les ordinateurs Windows XP de votre réseau, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur
    Panneau de configuration.
  2. Si le Panneau de configuration est affiché en mode Catégorie, cliquez sur
    Basculer vers l’affichage classique.
  3. Double-cliquez sur Connexions réseau, cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur
    Propriétés.
  4. Sous l’onglet Général, activez la case à cocher
    Client pour les réseaux Microsoft.
  5. Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
  6. Si l’option Utiliser l’adresse de serveur DNS suivante est sélectionnée, assurez-vous que les adresses IP des serveurs DNS préférés et auxiliaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d’hôte dans Active Directory. Plus précisément, l’ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre fournisseur de services Internet. Si les adresses des serveurs DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS corrects dans les zones
    Serveur DNS préféré et Serveur DNS auxiliaire.
  7. Cliquez sur Avancé, puis sur l’onglet
    DNS.
  8. Activez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS, puis cliquez trois fois sur OK.
  9. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd, puis cliquez sur OK.
  10. Tapez ipconfig /flushdns, puis appuyez sur ENTRÉE. Tapez ipconfig /registerdns, puis appuyez sur ENTRÉE.
  11. Redémarrez l’ordinateur pour que vos modifications soient prises en compte.
Pour vérifier les paramètres DNS et les propriétés de réseau sur les ordinateurs Windows 2000 de votre réseau, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur
    Paramètres, puis cliquez sur Panneau de configuration.
  2. Double-cliquez sur Connexions réseau et accès à distance.
  3. Cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.
  4. Sous l’onglet Général, activez la case à cocher
    Client pour les réseaux Microsoft.
  5. Si l’ordinateur est un contrôleur de domaine, activez la case à cocher
    Partage de fichiers et d’imprimantes pour les réseaux Microsoft.


    Remarque Sur les serveurs d’accès distant multirésidents et sur les serveurs Microsoft Internet Security and Acceleration (ISA), vous pouvez désactiver le composant Partage de fichiers et d’imprimantes pour les réseaux Microsoft de la carte réseau qui est connectée à Internet. Toutefois, le composant Client pour les réseaux Microsoft doit être activé pour toutes les cartes réseau du serveur.
  6. Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
  7. Si l’option Utiliser l’adresse de serveur DNS suivante est sélectionnée, assurez-vous que les adresses IP des serveurs DNS préférés et auxiliaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d’hôte dans Active Directory. Plus précisément, l’ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre fournisseur de services Internet. Si les adresses des serveurs DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS corrects dans les zones
    Serveur DNS préféré et Serveur DNS auxiliaire.
  8. Cliquez sur Avancé, puis sur l’onglet
    DNS.
  9. Activez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS, puis cliquez trois fois sur OK.
  10. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd dans la zone Ouvrir, puis cliquez sur
    OK.
  11. Tapez ipconfig /flushdns, puis appuyez sur ENTRÉE. Tapez ipconfig /registerdns, puis appuyez sur ENTRÉE.
  12. Redémarrez l’ordinateur.
Pour vérifier les paramètres DNS et les propriétés de réseau sur les ordinateurs Windows Server 2003 de votre réseau, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis double-cliquez sur Connexions réseau.
  2. Cliquez avec le bouton droit sur la connexion au réseau local, puis cliquez sur
    Propriétés.
  3. Sous l’onglet Général, activez la case à cocher
    Client pour les réseaux Microsoft.
  4. Si l’ordinateur est un contrôleur de domaine, activez la case à cocher
    Partage de fichiers et d’imprimantes pour les réseaux Microsoft.


    Remarque Sur les serveurs d’accès distant multirésidents et sur les serveurs ISA, vous pouvez désactiver le composant Partage de fichiers et d’imprimantes pour les réseaux Microsoft de la carte réseau qui est connectée à Internet. Toutefois, le composant Client pour les réseaux Microsoft doit être activé pour toutes les cartes réseau du serveur.
  5. Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
  6. Si l’option Utiliser l’adresse de serveur DNS suivante est sélectionnée, assurez-vous que les adresses IP des serveurs DNS préférés et auxiliaires sont les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d’hôte dans Active Directory. Plus précisément, l’ordinateur ne doit pas utiliser les serveurs DNS qui appartiennent à votre fournisseur de services Internet. Si les adresses des serveurs DNS ne sont pas correctes, tapez les adresses IP des serveurs DNS corrects dans les zones
    Serveur DNS préféré et Serveur DNS auxiliaire.
  7. Cliquez sur Avancé, puis sur l’onglet
    DNS.
  8. Activez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS, puis cliquez trois fois sur OK.
  9. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd, puis cliquez sur OK.
  10. Tapez ipconfig /flushdns, puis appuyez sur ENTRÉE. Tapez ipconfig /registerdns, puis appuyez sur ENTRÉE.
  11. Redémarrez l’ordinateur pour que vos modifications soient prises en compte.
Si les ordinateurs clients présents sur votre réseau sont configurés pour obtenir automatiquement leurs adresses IP, assurez-vous que l’ordinateur qui exécute le service DHCP assigne les adresses IP des serveurs DNS qui peuvent résoudre les enregistrements SRV et les noms d’hôte dans Active Directory.

Pour définir les adresses IP qu’un ordinateur utilise pour le serveur DNS, procédez comme suit :
  1. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd dans la zone Ouvrir, puis cliquez sur
    OK.
  2. Tapez ipconfig /all, puis appuyez sur ENTRÉE.
  3. Notez les entrées DNS qui sont répertoriées à l’écran.
Si les ordinateurs qui sont configurés pour obtenir automatiquement des adresses IP n’utilisent pas les serveurs DNS corrects, reportez-vous à la documentation de votre serveur DHCP pour obtenir plus d’informations sur la configuration de l’option des serveurs DNS. En outre, assurez-vous que chaque ordinateur peut résoudre l’adresse IP du domaine. Pour cela, tapez ping
Nom_domaine.Racine_domaine
dans une invite de commandes, puis appuyez sur ENTRÉE. Vous pouvez également taper nslookup
Nom_domaine.Racine_domaine
puis appuyer sur ENTRÉE.

Remarque Ce nom d’hôte devrait résoudre l’adresse IP de l’un des contrôleurs de domaine sur le réseau. Si l’ordinateur ne peut pas résoudre ce nom ou si le nom résout l’adresse IP incorrecte, assurez-vous que la zone de recherche directe du domaine contient des enregistrements de l’hôte (A) (identique au dossier parent) valides.

Pour vous assurer que la zone de recherche directe du domaine contient des enregistrements de l’hôte (A) (identique au dossier parent) valides sur un ordinateur Windows 2000, procédez comme suit :
  1. Sur un contrôle de domaine qui exécute DNS, cliquez sur
    Démarrer, pointez sur Programmes, sur
    Outils d’administration, puis cliquez sur DNS.
  2. Développez
    Nom_serveur, développez
    Zones de recherche directe, puis cliquez sur la zone de recherche directe correspondant à votre domaine.
  3. Recherchez les enregistrements de l’hôte (A) (identique au dossier parent).
  4. Si aucun enregistrement de l’hôte (A) (identique au dossier parent) n’existe, procédez comme suit pour en créer un :
    1. Dans le menu Action, cliquez sur Nouvel hôte.
    2. Dans la zone Adresse IP, tapez l’adresse IP de la carte réseau local du contrôleur de domaine.
    3. Activez la case à cocher Créer un pointeur d’enregistrement PTR associé, puis cliquez sur Ajouter un hôte.
    4. Lorsque le message suivant s’affiche, cliquez sur
      Oui :
      (identique au dossier parent) n’est pas un nom d’hôte valide. Voulez-vous vraiment ajouter cet enregistrement ?
  5. Double-cliquez sur l’enregistrement de l’hôte (A) (identique au dossier parent).
  6. Vérifiez que l’adresse IP correcte est répertoriée dans la zone
    Adresse IP.
  7. Si l’adresse IP de la zone Adresse IP n’est pas valide, tapez l’adresse IP correcte dans la zone Adresse IP, puis cliquez sur OK.
  8. Vous pouvez également supprimer l’enregistrement de l’hôte (A) (identique au dossier parent) qui contient l’adresse IP qui n’est pas valide. Pour supprimer l’enregistrement de l’hôte (A) (identique au dossier parent), cliquez dessus avec le bouton droit, puis cliquez sur Supprimer.
  9. Si le serveur DNS est un contrôleur de domaine qui est également un serveur de routage et d’accès à distance, reportez-vous à l’article suivant de la Base de connaissances Microsoft :
    292822 Problèmes de résolution de nom et de connectivité sur un serveur de routage et d’accès à distance qui exécute également le service DNS ou WINS

  10. Sur tous les ordinateurs où vous ajoutez, supprimez ou modifiez des enregistrements DNS, tapez ipconfig /flushdns à une invite de commandes, puis appuyez sur ENTRÉE.
Pour vous assurer que la zone de recherche directe du domaine contient des enregistrements de l’hôte (A) (identique au dossier parent) valides sur un ordinateur Windows Server 2003, procédez comme suit :
  1. Sur un contrôle de domaine qui exécute DNS, cliquez sur
    Démarrer, pointez sur Outils d’administration, puis cliquez sur DNS.
  2. Développez
    Nom_serveur, développez
    Zones de recherche directe, puis cliquez sur la zone de recherche directe correspondant à votre domaine.
  3. Recherchez l’enregistrement de l’hôte (A) (identique au dossier parent).
  4. Si l’enregistrement de l’hôte (A) (identique au dossier parent) n’existe pas, procédez comme suit pour en créer un :
    1. Dans le menu Action, cliquez sur Nouvel hôte (A).
    2. Dans la zone Adresse IP, tapez l’adresse IP de la carte réseau local du contrôleur de domaine.
    3. Activez la case à cocher Créer un pointeur d’enregistrement PTR associé, puis cliquez sur Ajouter un hôte.
    4. Lorsque le message suivant s’affiche, cliquez sur
      Oui :
      (identique au dossier parent) n’est pas un nom d’hôte valide. Voulez-vous vraiment ajouter cet enregistrement ?
  5. Double-cliquez sur l’enregistrement de l’hôte (A) (identique au dossier parent).
  6. Vérifiez que l’adresse IP correcte est répertoriée dans la zone
    Adresse IP.
  7. Si l’adresse IP de la zone Adresse IP n’est pas valide, tapez l’adresse IP correcte dans la zone Adresse IP, puis cliquez sur OK.
  8. Vous pouvez également supprimer l’enregistrement de l’hôte (A) (identique au dossier parent) qui contient l’adresse IP qui n’est pas valide. Pour supprimer l’enregistrement de l’hôte (A), cliquez avec le bouton droit sur (identique au dossier parent), puis cliquez sur Supprimer.
  9. Si le serveur DNS est un contrôleur de domaine qui est également un serveur de routage et d’accès à distance, reportez-vous à l’article suivant de la Base de connaissances Microsoft :
    292822 Problèmes de résolution de nom et de connectivité sur un serveur de routage et d’accès à distance qui exécute également le service DNS ou WINS

  10. Sur tous les ordinateurs où vous ajoutez, supprimez ou modifiez des enregistrements DNS, tapez ipconfig /flushdns à une invite de commandes, puis appuyez sur ENTRÉE.

Étape 2 : Vérifier les paramètres de signature SMB sur les ordinateurs clients et les serveurs membres

Les paramètres de signature SMB (Server Message Block) déterminent si les ordinateurs sur le réseau signent numériquement les communications. Si les paramètres de signature SMB ne sont pas correctement configurés, les ordinateurs clients ou les serveurs membres peuvent ne pas être en mesure de se connecter aux contrôleurs de domaine.

Par exemple, la signature SMB peut être requise par les contrôleurs de domaine, mais elle peut être désactivée sur les ordinateurs clients. Si ce problème se produit, la stratégie de groupe ne peut pas être appliquée correctement. Par conséquent, les ordinateurs clients enregistrent des erreurs d’environnement utilisateur (Userenv) dans le journal des applications.
Parfois, les paramètres de signature SMB du service Serveur et du service Station de travail sur un contrôleur de domaine peuvent rentrer en conflit l’un avec l’autre.

Par exemple, la signature SMB peut être désactivée pour le service Station de travail du contrôleur de domaine, mais elle est requise pour le service Serveur du contrôleur de domaine. Dans ce scénario, vous ne pouvez pas ouvrir un ou plusieurs des partages de fichiers locaux du contrôleur de domaine si vous êtes connecté au serveur. En outre, vous ne pouvez pas ouvrir de composants logiciels enfichables Stratégie de groupe si vous êtes connecté au serveur.
Pour plus d’informations sur la façon de résoudre ce problème sur un contrôleur de domaine, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
839499 Vous ne pouvez pas ouvrir des partages de fichiers ou des composants logiciels enfichables Stratégie de groupe lorsque vous désactivez la signature SMB pour le service Station de travail ou Serveur sur un contrôleur de domaine

Si les erreurs Stratégie de groupe se produisent uniquement sur des ordinateurs clients et des serveurs membres ou si vous pensez que cet article 839499 de la Base de connaissances ne s’applique pas à votre situation, continuez à résoudre le problème.

Par défaut, la signature SMB est activée, mais elle n’est pas requise pour les communications client sur les ordinateurs clients et les serveurs membres Windows XP, Windows 2000 ou Windows Server 2003. Il est recommandé d’utiliser la configuration par défaut, car les ordinateurs clients peuvent utiliser la signature SMB lorsque cela est possible, tout en communiquant avec les serveurs sur lesquels la signature SMB est désactivée.

Pour configurer les ordinateurs clients et les serveurs membres afin que la signature SMB soit activée mais pas requise, vous devez modifier les valeurs de certaines entrées du Registre. Pour apporter les modifications de Registre sur les ordinateurs clients, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Développez la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. Dans le volet droit, cliquez sur
    enablesecuritysignature, puis cliquez sur
    Modifier.
  4. Dans la zone Données de la valeur, tapez
    0, puis cliquez sur OK.
  5. Cliquez avec le bouton droit sur requiresecuritysignature, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez
    0, puis cliquez sur OK.
  7. Développez la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. Dans le volet droit, cliquez sur
    enablesecuritysignature, puis cliquez sur
    Modifier.
  9. Dans la zone Données de la valeur, tapez
    1, puis cliquez sur OK.
  10. Cliquez avec le bouton droit sur requiresecuritysignature, puis cliquez sur Modifier.
  11. Dans la zone Données de la valeur, tapez
    0, puis cliquez sur OK.
Après avoir modifié les valeurs du Registre, redémarrez les services Serveur et Station de travail. Ne redémarrez pas les ordinateurs, car cela peut entraîner l’application des stratégies de groupe et les paramètres de stratégie de groupe peuvent de nouveau configurer des valeurs incompatibles.

Une fois que vous avez modifié les valeurs du Registre et redémarré les services Serveur et Station de travail sur les ordinateurs affectés, procédez comme suit :
  1. Affichez les paramètres de stratégie de groupe de l’objet ou des objets Stratégie de groupe qui s’appliquent aux comptes d’ordinateur affectés.
  2. Assurez-vous que les stratégies de groupe ne rentrent pas en conflit avec les paramètres du Registre requis.
  3. Utilisez l’Éditeur d’objets de stratégie de groupe pour afficher les paramètres de stratégie dans le dossier suivant :
    Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Sur un ordinateur Windows Server 2003, les paramètres de stratégie de groupe de signature SMB sont nommés comme suit :
  • Serveur réseau Microsoft : communications signées numériquement (toujours)
  • Serveur réseau Microsoft : communications signées numériquement (lorsque le client l’accepte)
  • Client réseau Microsoft : communications signées numériquement (toujours)
  • Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
Sur un ordinateur Windows 2000 Server, les paramètres de stratégie de groupe de signature SMB sont nommés comme suit :
  • Signer numériquement les communications serveur (toujours)
  • Signer numériquement les communications serveur (lorsque cela est possible)
  • Signer numériquement les communications client (toujours)
  • Signer numériquement les communications client (lorsque cela est possible)
En général, les paramètres de stratégie de groupe de signature SMB sont paramétrés sur « Non défini ». Si vous définissez les paramètres de stratégie de groupe de signature SMB, assurez-vous que vous comprenez comment les paramètres peuvent affecter la connexion réseau.
Pour plus d’informations sur les paramètres de la signature SMB, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
823659 Incompatibilités au niveau des clients, des services et des programmes pouvant se produire lors de la modification des paramètres de sécurité et des attributions de droits d’utilisateur

Si vous modifiez les paramètres de l’objet Stratégie de groupe sur un contrôleur de domaine Windows 2000 Server, procédez comme suit :
  1. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd dans la zone Ouvrir, puis cliquez sur
    OK.
  2. Tapez secedit /refreshpolicy machine_policy /enforce, puis appuyez sur ENTRÉE.
  3. Redémarrez les ordinateurs clients affectés.
  4. Vérifiez de nouveau les valeurs de la signature SMB dans le Registre sur les ordinateurs clients pour vous assurer qu’elles n’ont pas changé de façon inattendue.
Si vous modifiez les paramètres de l’objet Stratégie de groupe sur un contrôleur de domaine Windows Server 2003, procédez comme suit :
  1. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd dans la zone Ouvrir, puis cliquez sur
    OK.
  2. Tapez gpupdate /force, puis appuyez sur ENTRÉE.
  3. Redémarrez les ordinateurs clients affectés.
  4. Vérifiez de nouveau les valeurs de la signature SMB dans le Registre sur les ordinateurs clients pour vous assurer qu’elles n’ont pas changé de façon inattendue.
Si les valeurs de la signature SMB dans le Registre ont changé de façon inattendue après le redémarrage des ordinateurs clients, appliquez l’une des méthodes suivantes pour afficher les paramètres de stratégie appliqués à un ordinateur client :
  • Sur un ordinateur Windows XP, utilisez le composant logiciel enfichable MMC Jeu de stratégie résultant (Rsop.msc). Pour plus d’informations sur le jeu de stratégie résultant, reportez-vous au site web de Microsoft « Resultant Set of Policy » (Jeu de stratégie résultant) à l’adresse suivante :
  • Sous Windows 2000, utilisez l’outil de ligne de commande Gpresult.exe pour vérifier les résultats de la stratégie de groupe. Pour cela, procédez comme suit :
    1. Utilisez Gpresult.exe à partir du Kit de ressources de Windows 2000.

      Vous pouvez également télécharger Gpresult.exe à partir du site web de Microsoft « Gpresult.exe: Group Policy Results » (Gpresult.exe : Résultats de la stratégie de groupe) à l’adresse suivante :
    2. À l’invite de commande, tapez gpresult /scope computer, puis appuyez sur ENTRÉE.
    3. Dans la section Objets Stratégie de groupe appliqués du résultat, notez les objets Stratégie de groupe qui sont appliqués au compte d’ordinateur.
    4. Comparez les objets Stratégie de groupe qui sont appliqués au compte d’ordinateur qui possède les paramètres de stratégie de la signature SMB sur le contrôleur de domaine de ces objets Stratégie de groupe.

Étape 3 : S’assurer que le service Assistance TCP/IP NetBIOS est démarré sur tous les ordinateurs

Tous les ordinateurs du réseau doivent exécuter le service Assistance TCP/IP NetBIOS

Pour vérifier que le service Assistance TCP/IP NetBIOS s’exécute sur un ordinateur Windows XP, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur
    Panneau de configuration.
  2. Si le Panneau de configuration est affiché en mode Catégorie, cliquez sur Basculer vers l’affichage classique.
  3. Double-cliquez sur Outils d’administration.
  4. Double-cliquez sur Services.
  5. Dans la liste Services, cliquez sur
    Assistance TCP/IP NetBIOS. Vérifiez que la valeur dans la colonne
    État est Démarré. Vérifiez que la valeur dans la colonne Type de démarrage est
    Automatique. Si la valeur État ou
    Type de démarrage est incorrecte, procédez comme suit :
    1. Cliquez avec le bouton droit sur Assistance TCP/IP NetBIOS, puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur
      Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n’est pas démarré.
    4. Cliquez sur OK.
Pour vérifier que le service Assistance TCP/IP NetBIOS s’exécute sur un ordinateur Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur
    Outils d’administration, puis cliquez sur
    Services.
  2. Dans la liste Services, cliquez sur
    Assistance TCP/IP NetBIOS. Vérifiez que la valeur dans la colonne
    État est Démarré. Vérifiez que la valeur dans la colonne Type de démarrage est
    Automatique. Si la valeur État ou
    Type de démarrage est incorrecte, procédez comme suit :
    1. Cliquez avec le bouton droit sur Assistance TCP/IP NetBIOS, puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur
      Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n’est pas démarré.
    4. Cliquez sur OK.
Pour vérifier que le service Assistance TCP/IP NetBIOS s’exécute sur un ordinateur Windows 2000, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur
    Programmes, sur Outils d’administration, puis cliquez sur Services.
  2. Dans la liste Services, cliquez sur
    Assistance TCP/IP NetBIOS. Vérifiez que la valeur dans la colonne
    État est Démarré. Vérifiez que la valeur dans la colonne Type de démarrage est
    Automatique. Si la valeur État ou
    Type de démarrage est incorrecte, procédez comme suit :
    1. Cliquez avec le bouton droit sur Assistance TCP/IP NetBIOS, puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur
      Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n’est pas démarré.
    4. Cliquez sur OK.
En outre, assurez-vous que vous n’avez pas désactivé un ou plusieurs services système requis à l’aide des objets Stratégie de groupe. Affichez ces paramètres de stratégie à l’aide de l’Éditeur d’objets Stratégie de groupe dans le dossier « Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Services système ».


Sous Windows Server 2003 et Windows XP, vous pouvez utiliser le composant logiciel enfichable MMC Jeu de stratégie résultant (Rsop.msc) pour vérifier tous les paramètres de stratégie appliqués à un ordinateur. Pour cela, cliquez sur Démarrer, cliquez sur
Exécuter, tapez rsop.msc dans la zone
Ouvrir, puis cliquez sur OK.

Sous Windows 2000, utilisez l’outil de ligne de commande Gpresult.exe pour vérifier les résultats de la stratégie de groupe. Pour cela, procédez comme suit :
  1. Utilisez Gpresult.exe à partir du Kit de ressources de Windows 2000.


    Sinon, pour télécharger Gpresult.exe, reportez-vous au site web « Gpresult.exe: Group Policy Results » (Gpresult.exe : Résultats de la stratégie de groupe) à l’adresse suivante :
  2. À l’invite de commande, tapez gpresult /scope computer, puis appuyez sur ENTRÉE.
  3. Dans la section Objets Stratégie de groupe appliqués du résultat, notez les objets Stratégie de groupe qui sont appliqués au compte d’ordinateur.
  4. Comparez les objets Stratégie de groupe qui sont appliqués au compte d’ordinateur qui possède les paramètres de stratégie de la signature SMB sur le contrôleur de domaine de ces objets Stratégie de groupe.
Remarque Si le service Assistance TCP/IP NetBIOS est désactivé sur de nombreux bureaux, vous pouvez utiliser l’exemple de script Microsoft Visual Basic suivant pour démarrer simultanément le service Assistance TCP/IP NetBIOS sur tous les ordinateurs dans une unité d’organisation (UO).

Microsoft fournit des exemples de programmation à des fins d’illustration uniquement, sans garantie explicite ou implicite. Ceci inclut, de manière non limitative, les garanties implicites de qualité marchande ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques.
Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
objDictionary.Add i, objComputer.CN
i = i + 1
Next
For Each objItem In objDictionary
strComputer = objDictionary.Item(objItem)
Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

Set colServices = objWMIService.ExecQuery _
("Select * from Win32_Service where Name = 'LmHosts'")
For Each objService In colServices
If objService.StartMode = "Disabled" Then
objService.Change( , , , , "Automatic")
End If
Next
Next

Étape 4 : S’assurer que le système de fichiers DFS est activé sur tous les ordinateurs

Tous les contrôleurs de domaine doivent exécuter le service du système de fichiers DFS, car le partage Sysvol est un volume DFS. De plus, le client DFS doit être activé dans le Registre sur tous les ordinateurs.

Pour vous assurer que le service du système de fichiers DFS s’exécute sur les contrôleurs de domaine Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur
    Outils d’administration, puis cliquez sur
    Services.
  2. Dans la liste Services, cliquez sur
    le service Système de fichiers distribués (DFS). Vérifiez que la valeur dans la colonne État est Démarré. Vérifiez que la valeur dans la colonne Type de démarrage est
    Automatique. Si la valeur État ou
    Type de démarrage est incorrecte, procédez comme suit :
    1. Cliquez avec le bouton droit sur Système de fichiers distribués (DFS), puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur
      Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n’est pas démarré.
    4. Cliquez sur OK.
Pour vous assurer que le service Système de fichiers distribués (DFS) s’exécute sur les contrôleurs de domaine Windows 2000 Server, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur
    Programmes, sur Outils d’administration, puis cliquez sur Services.
  2. Dans la liste Services, cliquez sur
    le service Système de fichiers distribués (DFS). Vérifiez que la valeur dans la colonne État est Démarré. Vérifiez que la valeur dans la colonne Type de démarrage est
    Automatique. Si la valeur État ou
    Type de démarrage est incorrecte, procédez comme suit :
    1. Cliquez avec le bouton droit sur Système de fichiers distribués (DFS), puis cliquez sur Propriétés.
    2. Dans la liste Type de démarrage, cliquez sur
      Automatique.
    3. Dans la zone État du service, cliquez sur Démarrer si le service n’est pas démarré.
    4. Cliquez sur OK.
Pour plus d’informations sur une rubrique connexe, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
834649 Les ordinateurs clients enregistrent les ID d’événement 1030 et 1058 lorsque le système de fichiers distribués ne démarre pas sur un contrôleur de domaine Windows 2000

Pour vous assurer que le client Système de fichiers distribués est activé sur tous les ordinateurs clients, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Développez la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup

  3. Cliquez sur Mup, puis dans le volet droit, recherchez l’entrée de valeur DWORD nommée DisableDFS.
  4. Si l’entrée DisableDFS est présente et si les données de la valeur sont égales à 1, double-cliquez sur DisableDFS. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK. Si les données de la valeur DisableDFS sont déjà égales à
    0 ou si l’entrée DisableDFS n’existe pas, n’apportez aucune modification.
  5. Quittez l’Éditeur du Registre.
  6. Si vous avez modifié les données de la valeur DisableDFS, redémarrez l’ordinateur.
Pour plus d’informations sur une rubrique connexe, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
314494 Les stratégies de groupe ne sont pas appliquées comme prévu ; erreurs « ID d’événement 1058 » et « ID d’événement 1030 » dans le journal des applications

Étape 5 : Vérifier le contenu et les autorisations du dossier Sysvol

Par défaut, le dossier Sysvol se trouve dans le dossier %systemroot%. Le dossier Sysvol contient les objets Stratégie de groupe du domaine, les partages Sysvol et Netlogon et le dossier intermédiaire du service de réplication de fichiers (FRS).

Si les autorisations sur le dossier Sysvol ou sur le partage Sysvol sont trop restrictives, les stratégies de groupe ne peuvent pas être appliquées correctement et elles peuvent provoquer des erreurs d’environnement utilisateur (Userenv). En outre, les erreurs Userenv peuvent se produire si le partage Sysvol ou les objets Stratégie de groupe sont manquants.
Pour vous assurer que le partage Sysvol est disponible, exécutez la commande net share à une invite de commandes sur chaque contrôleur de domaine. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  2. Tapez net share, puis appuyez sur ENTRÉE.
  3. Recherchez SYSVOL et
    NETLOGON dans la liste de dossiers.
Si le partage Sysvol ou Netlogon est manquant dans un ou plusieurs contrôleurs de domaine, vous devez résoudre ce problème.
Pour plus d’informations sur la procédure à suivre pour résoudre le problème de partages Sysvol et Netlogon manquants dans Windows 2000 Server, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
257338 Résolution du problème des partages SYSVOL et NETLOGON manquants sur les contrôleurs de domaine Windows 2000

Pour plus d’informations sur la procédure à suivre pour reconstruire le partage SYSVOL dans Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
315457 Comment reconstruire l’arborescence SYSVOL et son contenu dans un domaine

Une fois que vous vous êtes assuré que le partage Sysvol est disponible, assurez-vous que le dossier Sysvol, le partage Sysvol et le dossier racine du volume qui contient le dossier Sysvol sont configurés avec les autorisations correctes. Pour plus d’informations sur les autorisations requises par le partage Sysvol et le dossier Sysvol, cliquez sur le numéro ci-dessous pour consulter l’article correspondant dans la Base de connaissances de Microsoft :
290647 Les ID d’événement 1000 et 1001 sont enregistrés dans le journal des événements d’application toutes les cinq minutes

En outre, sous Windows 2000 Server, le groupe Tout le monde doit disposer de l’autorisation Contrôle total sur le dossier racine du volume qui contient le dossier Sysvol. Sous Windows Server 2003, le groupe Tout le monde doit disposer de l’autorisation spéciale Lecture et exécution sur « Ce dossier uniquement » et le groupe domaine\Utilisateurs doit disposer des autorisations standard suivantes :
  • Lecture et exécution
  • Affichage du contenu du dossier
  • Lecture
En outre, sous Windows Server 2003, le groupe domaine\Utilisateurs doit disposer des autorisations spéciales suivantes :
  • Lecture et Exécution sur « Ce dossier, les sous-dossiers et les fichiers ».
  • Création de dossier/ajout de données sur « Ce dossier et les sous-dossiers ».
  • Création de fichiers/écriture de données sur « Les sous-dossiers seulement ».
Une fois que vous avez vérifié les autorisations Sysvol, assurez-vous que le dossier Sysvol contient les objets Stratégie de groupe requis. Pour rechercher les objets Stratégie de groupe requis, utilisez le programme Gpotool.exe à partir du Kit de ressources de Windows 2000 ou Windows Server 2003.

Pour télécharger le programme Spotoo.exe de Windows 2000 Server, reportez-vous au site web de Microsoft « Gpotool.exe: Group Policy Verification Tool » (Gpotool.exe : Outil de vérification de la stratégie de groupe) à l’adresse suivante : Pour télécharger le Kit de ressources de Windows Server 2003, reportez-vous au site web de Microsoft « Windows Server 2003 Resource Kit Tools » à l’adresse suivante : Si vous exécutez le programme Gpotool.exe sans option, il recherche tous les objets Stratégie de groupe sur tous les contrôleurs du domaine. Si vous incluez le commutateur /checkacl, l’outil analyse également la liste de contrôle d’accès Sysvol. Pour obtenir des résultats détaillés lorsque vous exécutez le programme Gpotool.exe, utilisez le commutateur /verbose.

Vous pouvez également vérifier manuellement l’objet Stratégie de groupe individuel dans le dossier SYSVOL. Par exemple, si la description dans l’événement Userenv 1058 répertorie le nom d’un objet Stratégie de groupe, vous pouvez vérifier manuellement l’objet Stratégie de groupe individuel dans le dossier SYSVOL. Cela vous permet de vous assurer qu’il contient un dossier USER, un dossier MACHINE et un fichier Gpt.ini. Pour vérifier manuellement l’objet Stratégie de groupe individuel dans le dossier SYSVOL, procédez comme suit :
  1. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd dans la zone Ouvrir, puis cliquez sur
    OK.
  2. Tapez at Heure/interactive /next: cmd.exe, puis appuyez sur Entrée, où
    Heure correspond à l’heure 1 ou 2 minutes après l’heure actuelle, au format 24 heures. Par exemple, 3 minutes après 13:00 correspondrait à 13:03 au format 24 heures.
  3. À l’heure que vous avez spécifiée dans la commande précédente, une nouvelle fenêtre Invite de commandes s’ouvre. Tapez net use j: \\domainname.com\sysvol\domainname.com\Policies\{GUID}
    , puis appuyez sur ENTRÉE, où GUID représente le GUID de l’objet Stratégie de groupe qui se trouve dans la description d’événement Userenv. Par exemple, si la description de l’événement Userenv 1058 dit « Le fichier doit être présent à l’emplacement <\\nom_domaine.com\sysvol\nom_domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini> », le GUID que vous utiliseriez dans la commande est 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Tapez dir j:\*.*, puis appuyez sur ENTRÉE.
  5. Vérifiez qu’un dossier USER, un dossier MACHINE et un fichier Gpt.ini sont répertoriés dans la liste des dossiers du lecteur l. Si l’un de ces éléments est manquant, il est probable que les ordinateurs sur le réseau enregistrent des erreurs Userenv dans le journal des applications.
Si un ou plusieurs objets Stratégie de groupe sont manquants dans le dossier Sysvol, exécutez l’utilitaire de restauration de la stratégie de groupe par défaut de Windows Server 2003 (Dcgpofix.exe) ou l’outil de restauration de la stratégie de groupe par défaut de Windows 2000 (Recreatedefpol.exe) pour recréer les objets Stratégie de groupe par défaut.


Le programme Dcgpofix.exe est fourni avec Windows Server 2003. Pour plus d’informations sur le programme Dcgpofix.exe, exécutez la
commande dcgpofix /? à l’invite de commandes.

Pour plus d’informations sur le programme Recreatedefpol.exe, reportez-vous au site web de l’outil de restauration de la stratégie de groupe par défaut de Microsoft Windows 2000 à l’adresse suivante : Veillez à définir les exclusions recommandées lorsque vous analysez le lecteur Sysvol à l’aide d’un antivirus. L’analyse avec l’antivirus peut bloquer l’accès aux fichiers requis, tel le fichier Gpt.ini. Vous devez configurer ces exclusions pour des analyses antivirus en temps réel, planifiées et manuelles.
Pour plus d’informations sur les exclusions recommandées lorsque vous exécutez des antivirus sur des serveurs Windows, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
822158 Recommandations sur l’analyse antivirus sur un contrôleur de domaine Windows 2000 ou Windows Server 2003

Étape 6 : S’assurer que le droit Contourner la vérification de parcours est accordé aux groupes requis

Le droit Contourner la vérification de parcours doit être accordé aux groupes suivants sur les contrôleurs de domaine :
  • Administrateurs
  • Utilisateurs authentifiés
  • Tout le monde
  • Accès compatible pré-Windows 2000
Pour vérifier que le droit Contourner la vérification de parcours a été accordé sur un contrôleur de domaine Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur
    Outils d’administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.
  2. Développez Stratégies locales, puis cliquez sur
    Attribution des droits utilisateur.
  3. Double-cliquez sur Contourner la vérification de parcours.
  4. Activez la case à cocher Définir ces paramètres de stratégie.
  5. Vérifiez que les groupes Administrateurs, Utilisateurs authentifiés, Tout le monde et Accès compatible pré-Windows 2000 sont répertoriés pour ce paramètre de stratégie. Si l’un de ces groupes est manquant, procédez comme suit :
    1. Cliquez sur Ajouter un utilisateur ou un groupe.
    2. Dans la zone Noms d’utilisateurs et de groupes, tapez le nom du groupe manquant, puis cliquez sur OK.
  6. Cliquez sur OK pour fermer le paramètre de stratégie.
  7. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd dans la zone Ouvrir, puis cliquez sur
    OK.
  8. Tapez gpupdate /force, puis appuyez sur ENTRÉE.
Pour vérifier que le droit Contourner la vérification de parcours a été accordé sur un contrôleur de domaine Windows 2000 Server, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur
    Outils d’administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.
  2. Développez Paramètres de sécurité,
    Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
  3. Double-cliquez sur Contourner la vérification de parcours.
  4. Activez la case à cocher Définir ces paramètres de stratégie.
  5. Vérifiez que les groupes Administrateurs, Utilisateurs authentifiés, Tout le monde et Accès compatible pré-Windows 2000 sont répertoriés pour ce paramètre de stratégie. Si l’un de ces groupes est manquant, procédez comme suit :
    1. Cliquez sur Ajouter.
    2. Dans la zone Noms d’utilisateurs et de groupes, tapez le nom du groupe manquant, puis cliquez sur OK.
  6. Cliquez sur OK pour fermer le paramètre de stratégie.
  7. Démarrez une invite de commandes. Pour cela, cliquez sur
    Démarrer, cliquez sur Exécuter, tapez
    cmd dans la zone Ouvrir, puis cliquez sur
    OK.
  8. Tapez secedit /refreshpolicy machine_policy /enforce, puis appuyez sur ENTRÉE.

Étape 7 : S’assurer que les contrôleurs de domaine ne sont pas dans un état de dépassement de taille du journal

Pour déterminer si un contrôleur de domaine est dans un état de dépassement de taille du journal, consultez le journal du service de réplication de fichiers dans l’Observateur d’événements et recherchez l’ID d’événement NTFRS 13568. L’ID d’événement 13568 est identique à ce qui suit :
Si l’ID d’événement NTFRS 13568 est enregistré sur un contrôleur de domaine, reportez-vous à l’article suivant de la Base de connaissances Microsoft pour plus d’informations sur la résolution des erreurs de dépassement de taille du journal :
292438 Résolution des erreurs de dépassement de taille du journal sur les jeux de réplicas Sysvol et DFS

Étape 8 : Exécuter la commande Dfsutil /PurgeMupCache

Exécutez le programme Dfsutil.exe avec le commutateur /PurgeMupCache pour vider les informations mises dans le cache DFS/MUP local. Le programme Dfsutil.exe est fourni avec les outils de support de Windows 2000 Server et les outils de support de Windows Server 2003.
Pour plus d’informations sur une rubrique connexe, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

842804 Un ordinateur Windows Server 2003 peut cesser de répondre lorsqu’il quitte la mise en veille et les événements 1030 et 1058 sont enregistrés dans le journal des applications d’un contrôleur de domaine