Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Impossible d'ouvrir des partages de fichiers ou des composants logiciels enfichables de stratégie de groupe sur un contrôleur de domaine

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

Résumé
Vous ne parvenez pas à ouvrir des partages de fichiers ou des composants logiciels enfichables de stratégie de groupe sur un contrôleur de domaine de Windows Server 2003 ou Windows 2000 Server. Lorsque vous vous connectez localement au contrôleur de domaine, puis que vous essayez d'ouvrir des partages sur le contrôleur de domaine, vous recevez des invites de saisie de mot de passe répétitives et vous ne parvenez pas à ouvrir les partages. Vous pouvez résoudre ce problème en modifiant le Registre.


Avertissement Des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou à l'aide d'une autre méthode. Ces problèmes peuvent vous obliger à réinstaller le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre.

Symptômes
Scénario 1 – La signature SMB (Server Message Block) est désactivée pour le service Station de travail sur un contrôleur de domaine alors qu'elle est requise pour le service Serveur sur ce même contrôleur de domaine

Windows Server 2003
Lorsque vous essayez d'ouvrir des composants logiciels enfichables de stratégie de groupe sur le contrôleur de domaine, un message d'erreur semblable au suivant s'affiche :
Vous n'êtes pas autorisé à effectuer cette opération. Accès refusé.
Le contrôleur de domaine enregistre les événements suivants dans le journal des événements d'application toutes les cinq minutes :

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID évén. : 1058
Utilisateur : NT AUTHORITY\SYSTEM
Description :
Windows ne peut pas accéder au fichier gpt.ini pour l'objet de stratégie de groupe CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Nom_Domaine,DC=com. Le fichier doit être présent à l'emplacement <\\Nom_Domaine.com\sysvol\Nom_Domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Accès refusé.) Le traitement de la stratégie de groupe est interrompu.

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID évén. : 1030
Utilisateur : NT AUTHORITY\SYSTEM
Description :
Windows ne peut pas effectuer de requête sur la liste d'objets de stratégie de groupe. Recherchez dans le journal d'événements d'éventuels messages consignés précédemment par le moteur de stratégie qui indiqueraient les raisons de cette erreur.

Lorsque vous vous connectez localement au contrôleur de domaine, puis que vous essayez d'ouvrir des partages sur le contrôleur de domaine, vous recevez des invites de saisie de mot de passe répétitives et vous ne parvenez pas à ouvrir les partages.



Windows 2000 Server
Lorsque vous essayez d'ouvrir des composants logiciels enfichables de stratégie de groupe sur le contrôleur de domaine, un message d'erreur semblable au suivant s'affiche :
Vous n'êtes pas autorisé à effectuer cette opération.

Accès refusé.
Le contrôleur de domaine enregistre l'événement suivant dans le journal des événements d'application :

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
Br/>Utilisateur : NT AUTHORITY\SYSTEM
Description :
Windows ne peut pas accéder aux informations du Registre sur \\Nom_Domaine.com\sysvol\Nom_Domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol avec (5).



Lorsque vous vous connectez localement au contrôleur de domaine, puis que vous essayez d'ouvrir des partages sur le contrôleur de domaine, vous recevez des invites de saisie de mot de passe répétitives et vous ne parvenez pas à ouvrir les partages.
Scénario 2 - La signature SMB est désactivée pour le service Serveur sur un contrôleur de domaine alors qu'elle est requise pour le service Station de travail sur ce même contrôleur de domaine

Windows Server 2003
Impossible d'ouvrir l'objet de stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.

Le compte n'est pas autorisé à se connecter depuis cette station.
Sur une trace réseau, si la signature SMB est activée et requise au niveau du client et désactivée au niveau du serveur, la connexion à la session TCP se ferme normalement après la négociation de dialecte et le client reçoit le message d'erreur :
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Le contrôleur de domaine enregistre les événements suivants dans le journal des événements d'application toutes les cinq minutes :

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID évén. : 1058
Utilisateur : NT AUTHORITY\SYSTEM
Description :
Windows ne peut pas accéder au fichier gpt.ini pour l'objet de stratégie de groupe CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Nom_Domaine,DC=com. Le fichier doit être présent à l'emplacement <\\Nom_Domaine.com\sysvol\Nom_Domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Accès refusé.) Le traitement de la stratégie de groupe est interrompu.

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID évén. : 1030
Utilisateur : NT AUTHORITY\SYSTEM
Description :
Windows ne peut pas effectuer de requête sur la liste d'objets de stratégie de groupe. Recherchez dans le journal d'événements d'éventuels messages consignés précédemment par le moteur de stratégie qui indiqueraient les raisons de cette erreur.

Lorsque vous vous connectez localement au contrôleur de domaine, puis que vous essayez d'ouvrir des partages de fichiers sur le contrôleur de domaine, un message d'erreur semblable au suivant s'affiche :
\\Nom_Serveur\Nom_Partage n'est pas accessible. Vous ne disposez peut-être pas des autorisations nécessaires pour utiliser cette ressource réseau. Contactez l'administrateur de ce serveur pour savoir si vous disposez des autorisations d'accès.

Le compte n'est pas autorisé à se connecter depuis cette station.

Remarque Sur une trace réseau, si la signature SMB est activée et requise au niveau du client et désactivée au niveau du serveur, la connexion à la session TCP se ferme normalement après la négociation de dialecte. Le client reçoit également le message d'erreur suivant :
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)


Windows 2000 Server
Lorsque vous essayez d'ouvrir des composants logiciels enfichables de stratégie de groupe sur le contrôleur de domaine, un message d'erreur semblable au suivant s'affiche :
Impossible d'ouvrir l'objet de stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.

Le compte n'est pas autorisé à se connecter depuis cette station.
Le contrôleur de domaine enregistre l'événement suivant dans le journal des événements d'application :

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID évén. : 1000
Br/>Utilisateur : NT AUTHORITY\SYSTEM
Description :
Windows ne peut pas accéder aux informations du Registre sur \\Nom_Domaine.com\sysvol\Nom_Domaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol avec (1240).

Lorsque vous vous connectez localement au contrôleur de domaine, puis que vous essayez d'ouvrir des partages de fichiers sur le contrôleur de domaine, un message d'erreur semblable au suivant s'affiche :
\\Nom_Serveur\Nom_Partage n'est pas accessible.

Le compte n'est pas autorisé à se connecter depuis cette station.


Remarque
Sur une trace réseau, si la signature SMB est activée et requise au niveau du client et désactivée au niveau du serveur, la connexion à la session TCP se ferme normalement après la négociation de dialecte. Le client reçoit également le message d'erreur suivant :
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Résolution
Pour résoudre ce problème, procédez comme suit :

IMPORTANT Cette section, méthode ou tâche présente la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du Registre, voir Procédure de sauvegarde, de modification et de restauration du Registre dans Windows XP.

Étape 1 : Modification du Registre
Changez la valeur de l'entrée de Registre enablesecuritysignature. Pour ce faire, procédez comme suit :
  1. Sur le contrôleur de domaine, cliquez sur Démarrer, puis sur Exécuter.
  2. Copiez et collez (ou entrez) la commande suivante dans la zone Ouvrir, puis appuyez sur Entrée.
    regedit

  3. Recherchez et cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  4. Dans le volet droit, double-cliquez sur enablesecuritysignature, tapez 1 dans la zone Données de la valeur, puis cliquez sur OK.
  5. Double-cliquez sur requiresecuritysignature, tapez 1 dans la zone Données de la valeur, puis cliquez sur OK.
  6. Recherchez et cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  7. Dans le volet droit, double-cliquez sur enablesecuritysignature, tapez 1 dans la zone Données de la valeur, puis cliquez sur OK.
  8. Double-cliquez sur requiresecuritysignature, tapez 0 dans la zone Données de la valeur, puis cliquez sur OK.


Étape 2 : Redémarrage des services Serveur et Station de travail
Après avoir modifié les valeurs du Registre, redémarrez le service Serveur et le service Station de travail. 

IMPORTANT Ne redémarrez pas le contrôleur de domaine car cette action peut engendrer la restauration des valeurs de Registre antérieures par la stratégie de groupe.

Pour redémarrer le service Serveur et le service Station de travail, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Services.
  2. Cliquez avec le bouton droit sur Serveur, puis cliquez sur Redémarrer.
  3. Cliquez avec le bouton droit sur Station de travail, puis cliquez sur Redémarrer.

    Remarque Si vous êtes invité à redémarrer d'autres services, cliquez sur Oui.


Étape 3 : Mise à jour du partage Sysvol
Mettez à jour le partage Sysvol du contrôleur de domaine. Pour ce faire, procédez comme suit :
  1. Ouvrez le partage Sysvol du contrôleur de domaine. Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez \\Nom_Serveur\Sysvol dans la zone Ouvrir, puis appuyez sur Entrée.
  2. Si le partage Sysvol ne s'ouvre pas, répétez l'Étape 1 : Modification du Registre et l'Étape 2 : Redémarrage des services Serveur et Station de travail.
  3. Répétez l'Étape 1 : Modification du Registre et l'Étape 2 : Redémarrage des services Serveur et Station de travail sur chaque contrôleur de domaine affecté pour veiller à ce que chaque contrôleur de domaine puisse accéder à son propre partage Sysvol.


Étape 4 : Configuration des paramètres de stratégie SMB
Une fois connecté au partage Sysvol sur chaque contrôleur de domaine, ouvrez le composant logiciel enfichable de stratégie de sécurité du contrôleur de domaine, puis configurez les paramètres de stratégie de signature SMB. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.
  2. Dans le volet gauche, développez Stratégies locales, puis cliquez sur Options de sécurité.
  3. Dans le volet droit, double-cliquez sur Serveur réseau Microsoft : communications signées numériquement (toujours).

    Remarque Sous Windows 2000 Server, le paramètre de stratégie équivalent est Signer numériquement les communications serveur (toujours).

    Important Si votre réseau comporte des ordinateurs clients qui ne prennent pas en charge la signature SMB, vous ne devez pas activer le paramètre de stratégie Serveur réseau Microsoft : communications signées numériquement (toujours). Si vous activez ce paramètre, la signature SMB doit être activée pour toutes les communications clientes et les ordinateurs clients qui ne prennent pas en charge la signature SMB ne seront pas en mesure de se connecter à d'autres ordinateurs. Par exemple, les clients qui exécutent Apple Macintosh OS X ou Microsoft Windows 95 ne prennent pas en charge la signature SMB. Si votre réseau inclut des clients qui ne prennent pas en charge la signature SMB, désactivez cette stratégie.
  4. Activez la case à cocher Définir ce paramètre de stratégie, cliquez sur Activé, puis sur OK.
  5. Double-cliquez sur Serveur réseau Microsoft : communications signées numériquement (si le client l'accepte).

    Remarque Sous Windows 2000 Server, le paramètre de stratégie équivalent est Signer numériquement les communications serveur (si possible).
  6. Activez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur Activé.
  7. Cliquez sur OK.
  8. Double-cliquez sur Serveur réseau Microsoft : communications signées numériquement (toujours).
  9. Désactivez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur OK.
  10. Double-cliquez sur Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte).
  11. Désactivez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur OK.


Étape 5 : Exécution de l'utilitaire de mise à jour de stratégie de groupe
Exécutez l'utilitaire de mise à jour de la stratégie de groupe (Gpupdate.exe) avec le commutateur force. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Copiez et collez (ou entrez) la commande suivante dans la zone Ouvrir, puis appuyez sur Entrée.
    cmd

  3. À l'invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée.
Pour plus d'informations sur l'utilitaire de mise à jour de stratégie de groupe, voir Description de l'utilitaire de mise à jour de Stratégie de groupe

Remarque L'utilitaire Mise à jour de stratégie de groupe n'existe pas sous Windows 2000 Server. Sous Windows 2000 Server, la commande équivalente est secedit /refreshpolicy machine_policy /enforce.

Pour plus d'informations sur l'utilisation de la commande Secedit sous Windows 2000 Server, voir Utilisation de SECEDIT pour forcer immédiatement une actualisation de la stratégie de groupe.

Étape 6 : Vérification du journal des événements d'applications
Après avoir exécuté l'utilitaire de mise à jour de la stratégie de groupe, vérifiez le journal des événements d'applications afin de vérifier que les paramètres de stratégie de groupe ont été mis à jour avec succès. Une fois la mise à jour de stratégie de groupe effectuée, le contrôleur de domaine enregistre l'ID d'événement 1704. Pour ouvrir le journal des applications dans l'Observateur d'événements, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Observateur d'événements.
  2. Dans le volet gauche, cliquez sur Application.
  3. Double-cliquez sur l'ID d'événement 1704 et confirmez que le paramètre de stratégie de groupe a été appliqué avec succès.

    Remarque La source de l'événement est SceCli.


Étape 7 : Vérification des valeurs de Registre
Vérifiez les valeurs de Registre que vous avez modifiées à l'Étape 1 : Modification du Registre pour vous assurer qu'elles n'ont pas changé.

Remarque Cette étape garantit qu'un paramètre de stratégie incompatible n'est pas appliqué à un autre niveau de groupe ou d'unité d'organisation. Par exemple, si la stratégie Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte) est configurée comme « non définie » dans la stratégie de sécurité du contrôleur de domaine, mais que cette même stratégie est configurée comme désactivée dans la stratégie de sécurité du domaine, la signature SMB sera désactivée pour le service Station de travail.

Étape 8 : Vérification des paramètres de stratégie de signature SMB avec le logiciel composant enfichable Jeu de stratégie résultant (RSoP)
Si les valeurs de Registre ont changé après l'exécution de l'utilitaire de mise à jour de stratégie de groupe, vérifiez les paramètres de stratégie de signature SMB avec le logiciel composant enfichable RSoP sous Windows Server 2003. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez rsop.msc dans la zone Ouvrir, puis cliquez sur OK.
  2. Dans le composant logiciel enfichable RSoP, les paramètres de signature SMB se trouvent à l'emplacement suivant :
    Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Options de sécurité
    Remarque Si vous exécutez Windows 2000 Server, installez l'utilitaire de mise à jour de stratégie de groupe à partir du kit de ressources de Windows 2000, puis tapez la commande suivante à l'invite :
    gpresult /scope computer /v
  3. Après avoir exécuté cette commande, la liste Objets Stratégie de groupe appliqués s'affiche. Cette liste affiche tous les objets Stratégie de groupe qui sont appliqués au compte d'ordinateur. Vérifiez les paramètres de stratégie de signature SMB pour tous ces objets Stratégie de groupe.
Ressources supplémentaires
Ce problème se produit si les paramètres de signature SMB pour les services Station de travail et Serveur sont en conflit. Lorsque vous configurez le contrôleur de domaine de cette manière, le service Station de travail sur le contrôleur de domaine ne peut pas se connecter au partage Sysvol du contrôleur de domaine. Par conséquent, vous ne pouvez pas démarrer de composants logiciels enfichables de stratégie de groupe. En outre, si les stratégies de signature SMB sont définies par la stratégie de sécurité de contrôleur de domaine par défaut, le problème affecte tous les contrôleurs de domaine du réseau. Par conséquent, la réplication de stratégie de groupe dans le service d'annuaire Active Directory échouera et vous ne serez pas en mesure de modifier la stratégie de groupe pour annuler ces paramètres.

Scénario 1 - Si vous exécutez l'outil de diagnostic de contrôleur de domaine (DcDiag.exe), vous recevez des erreurs semblables aux suivantes pour Windows 2000 Server et Windows Server 2003 :

Démarrage du test : MachineAccountImpossible d'ouvrir le canal avec [Nom_serveur] : échec avec l'erreur 5 : Accès refusé.Impossible d'obtenir le nom de domaine NetBIOSÉchec : impossible de tester le nom principal de service (SPN) HOSTÉchec : impossible de tester le nom principal de service (SPN) HOST* Nom principal de service (SPN) manquant : (null)* Nom principal de service (SPN) manquant : (null)......................... Le test MachineAccount de Nom_serveur a échouéDémarrage du test : ServicesImpossible d’ouvrir IPC distant à [Nom_serveur] : échec avec l'erreur 5 : Accès refusé.......................... Le test Services de Nom_serveur a échouéDémarrage du test : ObjectsReplicated......................... Le test ObjectsReplicated de Nom_serveur a réussi Démarrage du test : frssysvol[Nom_serveur] Une opération net use ou LsaPolicy a échoué avec l'erreur 5 : accès refusé.......................... Le test frssysvol de Nom_serveur a échouéDémarrage du test : frsevent ......................... Le test frsevent de Nom_serveur a échoué Démarrage du test : kcceventImpossible d'énumérer les enregistrements des journaux d'événements, erreur : accès refusé. ......................... Le test kccevent de Nom_serveur a échoué Démarrage du test : systemlogImpossible d'énumérer les enregistrements des journaux d'événements, erreur : accès refusé.......................... Le test systemlog de Nom_serveur a échoué
Scénario 2 - Si vous exécutez l'outil de diagnostic de contrôleur de domaine, vous recevez des erreurs semblables aux suivantes pour Windows 2000 Server et Windows Server 2003 :

Test du serveur : Premier-Site-par-defaut\Nom_serveurDémarrage du test : Réplications......................... Le test Réplications de Nom_serveur a réussiDémarrage du test : NCSecDesc......................... Le test NCSecDesc de Nom_serveur a réussiDémarrage du test : NetLogons[Nom_serveur] Une opération net use ou LsaPolicy a échoué avec l'erreur 1240, Le compte n'est pas autorisé à se connecter depuis cette station.......................... Le test NetLogons de Nom_serveur a échouéDémarrage du test : Publicité......................... Le test Publicité de Nom_serveur a réussiDémarrage du test : KnowsOfRoleHolders......................... Le test KnowsOfRoleHolders de Nom_serveur a réussiDémarrage du test : RidManager......................... Le test RidManager de Nom_serveur a réussiDémarrage du test : MachineAccountImpossible d'ouvrir le canal avec [Nom_serveur] : échec avec l'erreur 1240 : Le compte n'est pas autorisé à se connecter depuis cette station.Impossible d'obtenir le nom de domaine NetBIOSÉchec : impossible de tester le nom principal de service (SPN) HOSTÉchec : impossible de tester le nom principal de service (SPN) HOST* Nom principal de service (SPN) manquant : (null)* Nom principal de service (SPN) manquant : (null)......................... Le test MachineAccount de Nom_serveur a échouéDémarrage du test : ServicesImpossible d’ouvrir IPC distant à [Nom_serveur] : échec avec l'erreur 1240 : Le compte n'est pas autorisé à se connecter depuis cette station.......................... Le test Services de Nom_serveur a échouéDémarrage du test : ObjectsReplicated......................... Le test ObjectsReplicated de Nom_serveur a réussiDémarrage du test : frssysvol[Nom_serveur] Une opération net use ou LsaPolicy a échoué avec l'erreur 1240, Le compte n'est pas autorisé à se connecter depuis cette station.......................... Le test frssysvol de Nom_serveur a échouéDémarrage du test : frsevent......................... Le test frsevent de Nom_serveur a échouéDémarrage du test : kcceventImpossible d'énumérer les enregistrements des journaux d'événements, erreur : le compte n'est pas autorisé à se connecter depuis cette station. ......................... Le test kccevent de Nom_serveur a échouéDémarrage du test : systemlogImpossible d'énumérer les enregistrements des journaux d'événements, erreur : le compte n'est pas autorisé à se connecter depuis cette station. ......................... Le test systemlog de Nom_serveur a échoué
Propriétés

ID d'article : 839499 - Dernière mise à jour : 07/12/2013 10:33:00 - Révision : 5.1

Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbsmbportal KB839499
Commentaires