Anda sedang offline saat ini, menunggu internet Anda untuk menyambung kembali

Anda tidak dapat membuka berbagi berkas atau Kebijakan Grup snap-in pada pengendali domain

Dukungan untuk Windows Server 2003 berakhir pada 14 Juli 2015

Microsoft mengakhiri dukungan untuk Windows Server 2003 pada 14 Juli 2015. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.

Klik disini untuk melihat versi Inggris dari artikel ini:839499
RINGKASAN
Anda tidak dapat membuka berbagi berkas atau Kebijakan Grup snap-in di pengontrol domain Windows Server 2003 atau di pengontrol domain Windows 2000 Server. Ketika Anda log masuk ke pengendali domain lokal dan kemudian mencoba untuk membuka saham pada domain controller, Anda menerima prompt password berulang-ulang, dan Anda tidak dapat membuka saham. Anda dapat mengatasi masalah ini dengan mengubah registri.


Peringatan Masalah serius mungkin muncul jika Anda memodifikasi registri secara tidak benar dengan menggunakan Peninjau Suntingan Registri atau metode lainnya. Masalah tersebut mengharuskan Anda untuk menginstal sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Mengubah registri risiko Anda sendiri.

GEJALA
Skenario 1-blok pesan Server (SMB) menandatangani dinonaktifkan untuk layanan Workstation pada pengendali domain, tapi penandatangan SMB diperlukan untuk layanan Server di pengontrol domain sama

Windows Server 2003
Ketika Anda mencoba untuk membuka snap-in Kebijakan Grup pada domain controller, Anda menerima pesan galat yang menyerupai berikut ini:
Anda tidak memiliki izin untuk melakukan operasi ini.Akses ditolak.
pengendali domain log peristiwa berikut di log peristiwa aplikasi setiap lima menit:

Jenis peristiwa: kesalahan
Sumber peristiwa: Userenv
Kategori peristiwa: tidak ada
ID Peristiwa: 1058
Pengguna: NT AUTHORITY\SYSTEM
Keterangan:
Windows tidak dapat mengakses berkas gpt.ini untuk GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =Domain_Name, DC = com. File harus hadir di lokasi <> </> Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini mengatakan. (Akses ditolak.) Pemrosesan Kebijakan Grup dibatalkan.

Jenis peristiwa: kesalahan
Sumber peristiwa: Userenv
Kategori peristiwa: tidak ada
ID Peristiwa: 1030
Pengguna: NT AUTHORITY\SYSTEM
Keterangan:
Windows tidak dapat Telisik daftar objek Kebijakan Grup. Periksa log peristiwa untuk kemungkinan pesan sebelumnya dicatat oleh mesin kebijakan yang menjelaskan alasan untuk ini.

Ketika Anda log masuk ke pengendali domain lokal dan kemudian mencoba untuk membuka saham pada domain controller, Anda menerima prompt password berulang-ulang, dan Anda tidak dapat membuka saham.



Windows 2000 Server
Ketika Anda mencoba untuk membuka snap-in Kebijakan Grup pada domain controller, Anda menerima pesan galat yang menyerupai berikut ini:
Anda tidak memiliki izin untuk melakukan operasi ini.

Akses ditolak.
pengendali domain log peristiwa berikut di log peristiwa aplikasi:

Jenis peristiwa: kesalahan
Sumber peristiwa: Userenv
Kategori peristiwa: tidak ada
Br / mengatakan pengguna: NT AUTHORITY\SYSTEM
Keterangan:
Windows tidak dapat mengakses informasi registri pada \\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol dengan (5).



Ketika Anda log masuk ke pengendali domain lokal dan kemudian mencoba untuk membuka saham pada domain controller, Anda menerima prompt password berulang-ulang, dan Anda tidak dapat membuka saham.
Skenario 2 - penandatangan SMB untuk layanan Server di pengontrol domain, tapi penandatangan SMB diperlukan untuk layanan Workstation pada pengendali domain yang sama

Windows Server 2003
Gagal untuk membuka objek Kebijakan Grup. Anda mungkin tidak memiliki hak yang memadai.

Account tidak berwenang untuk log in dari stasiun ini.
Dalam jaringan jejak, jika penandatangan SMB diaktifkan dan diperlukan pada klien dan dinonaktifkan di server, sambungan ke sesi TCP anggun ditutup setelah negosiasi dialek, dan klien menerima kesalahan berikut:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
pengendali domain log peristiwa berikut di log peristiwa aplikasi setiap lima menit:

Jenis peristiwa: kesalahan
Sumber peristiwa: Userenv
Kategori peristiwa: tidak ada
ID Peristiwa: 1058
Pengguna: NT AUTHORITY\SYSTEM
Keterangan:
Windows tidak dapat mengakses berkas gpt.ini untuk GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =Domain_Name, DC = com. File harus hadir di lokasi <> </> Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini mengatakan. (Akses ditolak.) Pemrosesan Kebijakan Grup dibatalkan.

Jenis peristiwa: kesalahan
Sumber peristiwa: Userenv
Kategori peristiwa: tidak ada
ID Peristiwa: 1030
Pengguna: NT AUTHORITY\SYSTEM
Keterangan:
Windows tidak dapat Telisik daftar objek Kebijakan Grup. Periksa log peristiwa untuk kemungkinan pesan sebelumnya dicatat oleh mesin kebijakan yang menjelaskan alasan untuk ini.

Ketika Anda log masuk ke pengendali domain lokal dan kemudian mencoba untuk membuka file saham pada domain controller, Anda menerima pesan galat yang resmbles berikut:
\\Server_Name\Share_Name ini tidak dapat diakses. Anda mungkin tidak memiliki izin untuk menggunakan sumber jaringan. Hubungi administrator server ini untuk mengetahui jika Anda memiliki izin akses.

Account tidak berwenang untuk log in dari stasiun ini.

Catatan Dalam jejak jaringan, jika penandatangan SMB, dan jika penandatangan SMB diperlukan pada klien dan dinonaktifkan di server, sambungan ke sesi TCP anggun ditutup setelah negosiasi dialek. Juga, klien menerima pesan galat berikut:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)


Windows 2000 Server
Ketika Anda mencoba untuk membuka snap-in Kebijakan Grup pada domain controller, Anda menerima pesan galat yang mirip dengan berikut:
Gagal untuk membuka objek Kebijakan Grup. Anda mungkin tidak memiliki hak yang memadai.

Account tidak berwenang untuk log in dari stasiun ini.
pengendali domain log peristiwa berikut di log peristiwa aplikasi:

Jenis peristiwa: kesalahan
Sumber peristiwa: Userenv
Kategori peristiwa: tidak ada
ID Peristiwa: 1000
Br / mengatakan pengguna: NT AUTHORITY\SYSTEM
Keterangan:
Windows tidak dapat mengakses informasi registri pada \\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol dengan (1240).

Ketika Anda log masuk ke pengendali domain lokal dan kemudian mencoba untuk membuka file saham pada domain controller, Anda akan menerima pesan galat yang mirip dengan berikut ini:
\\Server_Name\Share_Name ini tidak dapat diakses.

Account tidak berwenang untuk log in dari stasiun ini.


Catatan
di jejak jaringan, jika penandatangan SMB, dan jika penandatangan SMB diperlukan pada klien dan dinonaktifkan di server, sambungan ke sesi TCP anggun ditutup setelah negosiasi dialek. Juga, klien menerima pesan galat berikut:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
PEMECAHAN MASALAH
Untuk mengatasi perilaku ini, ikuti langkah berikut:

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri apabila ada masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, lihat Cara membuat cadangan dan memulihkan registri pada Windows XP.

Langkah 1 - mengubah registri
Ubah nilai entri registri enablesecuritysignature. Untuk melakukannya, ikuti langkah berikut:
  1. Pada domain controller, klik Mulai, lalu klikMenjalankan.
  2. kopi karbon dan kemudian tempel (atau tipe) berikut perintah dalam kotak terbuka, dan kemudian tekan Enter.
    Regedit

  3. Temukan dan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  4. Dalam pane kanan-atas, klik ganda enablesecuritysignature, jenis 1 dalam Data nilai kotak, dan kemudian klik Oke.
  5. klik ganda requiresecuritysignature, jenis 1 dalam Data nilai kotak, dan kemudian klik Oke.
  6. Temukan dan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  7. Dalam pane kanan-atas, klik ganda enablesecuritysignature, jenis 1 dalam Data nilai kotak, dan kemudian klik Oke.
  8. klik ganda requiresecuritysignature, jenis 0 dalam Data nilai kotak, dan kemudian klik Oke.


Langkah 2 - Restart layanan Server dan Workstation layanan
Setelah Anda mengubah nilai registri, restart layanan Server dan Workstation layanan.

Penting Tidak me-restart domain controller, karena tindakan ini dapat menyebabkan Kebijakan Grup untuk mengubah nilai registri kembali ke nilai-nilai yang sebelumnya.

Untuk me-restart layanan Server dan Workstation layanan, ikuti langkah berikut:
  1. Klik Mulai, arahkan ke Alat administratif, lalu klik Layanan.
  2. Klik kanan-atas Server, lalu klik Restart.
  3. Klik kanan-atas Workstation, lalu klik Restart.

    Catatan Jika Anda diminta untuk me-restart layanan lainnya, klik Ya.


Langkah 3 - Update Sysvol berbagi
Memperbarui berbagi Sysvol pengendali domain. Untuk melakukannya, ikuti langkah berikut:
  1. Buka pengendali domain Sysvol berbagi. Untuk melakukan ini, klik Mulai, klik Menjalankan, jenis \\Server_Name\Sysvol dalam Terbuka kotak, dan kemudian tekan Enter.
  2. Jika berbagi Sysvol tidak membuka, ulangi langkah 1 - perubahan registri dan Langkah 2 - Restart layanan Server dan Workstation.
  3. Ulangi langkah 1 - perubahan registri dan Langkah 2 - Restart layanan Server dan Workstation pada pengendali domain yang terkena masing-masing untuk memastikan bahwa setiap pengendali domain dapat mengakses pangsa Sysvol.


Langkah 4 - mengatur pengaturan kebijakan SMB
Setelah Anda menyambung ke berbagi Sysvol pada pengendali domain setiap, buka snap-in Domain Controller kebijakan keamanan, dan kemudian mendirikan pengaturan kebijakan penandatangan SMB. Untuk melakukannya, ikuti langkah berikut:
  1. Klik Mulai, arahkan ke Program, arahkan ke Alat administratif, lalu klik Kebijakan keamanan domain Controller.
  2. Dalam pane kiri, memperluas Kebijakan lokal, lalu klik Opsi keamanan.
  3. Dalam pane kanan-atas, klik ganda Server jaringan Microsoft: menandatangani secara digital (selalu) komunikasi.

    CatatanPada Windows 2000 Server, pengaturan kebijakan setara adalah menandatangani secara digital (selalu) komunikasi server.

    Penting Jika Anda memiliki komputer klien pada jaringan yang tidak mendukung penandatangan SMB, Anda tidak harus mengaktifkan Server jaringan Microsoft: menandatangani secara digital (selalu) komunikasipengaturan kebijakan. Jika Anda mengaktifkan pengaturan ini, Anda harus memiliki penandatangan SMB untuk semua klien komunikasi, dan komputer klien yang tidak mendukung penandatangan SMB tidak akan dapat terhubung ke komputer lain. Sebagai contoh, klien yang sedang menjalankan Microsoft Windows 95 atau Apple Macintosh OS X tidak mendukung penandatangan SMB. Jika jaringan Anda termasuk klien yang tidak mendukung penandatangan SMB, menetapkan kebijakan ini untuk penyandang cacat.
  4. Klik untuk memilih Menentukan pengaturan kebijakan ini centang kotak, klik Diaktifkan, lalu klik Oke.
  5. klik ganda Server jaringan Microsoft: komunikasi menandatangani secara digital (jika klien setuju).

    Catatan Untuk Windows 2000 Server, pengaturan kebijakan setara adalah menandatangani secara digital komunikasi server (bila mungkin).
  6. Klik untuk memilih Menentukan pengaturan kebijakan ini centang kotak, dan kemudian klik Diaktifkan.
  7. Klik Oke.
  8. klik ganda Klien jaringan Microsoft: menandatangani secara digital (selalu) komunikasi.
  9. Klik untuk menghapus Menentukan pengaturan kebijakan ini centang kotak, dan kemudian klik Oke.
  10. klik ganda Klien jaringan Microsoft: komunikasi menandatangani secara digital (apabila server setuju).
  11. Klik untuk menghapus Menentukan pengaturan kebijakan ini centang kotak, dan kemudian klik Oke.


Langkah 5 - Jalankan utilitas pembaruan Kebijakan Grup
Jalankan utilitas pembaruan Kebijakan Grup (Gpupdate.exe) dengan memaksa switch. Untuk melakukannya, ikuti langkah berikut:
  1. Klik Mulai, lalu klikMenjalankan.
  2. Salin dan tempel (atau tipe) berikut perintah dalam kotak terbuka, dan kemudian tekan Enter.
    CMD

  3. Pada prompt perintah, ketik How to determine the, kemudian tekan Enter.
Untuk informasi lebih lanjut tentang utilitas pembaruan Kebijakan Grup, lihat Penjelasan tentang grup kebijakan Update Utility.

Catatan Utilitas pembaruan Kebijakan Grup tidak ada pada Windows 2000 Server. Pada Windows 2000 Server, perintah setara adalah secedit/refreshpolicy machine_policy / menegakkan.

Untuk informasi lebih lanjut tentang menggunakan Secedit perintah pada Windows 2000 Server, lihatMenggunakan SECEDIT untuk memaksa Kebijakan Grup refresh segera.

Langkah 6 - periksa log peristiwa aplikasi
Setelah Anda menjalankan utilitas pembaruan Kebijakan Grup, periksa log peristiwa aplikasi untuk memastikan bahwa pengaturan Kebijakan Grup telah diperbarui dengan berhasil. Setelah pembaruan Kebijakan Grup yang sukses, pengendali domain log peristiwa ID 1704. Untuk membuka log aplikasi di penampil aktivitas, ikuti langkah berikut:
  1. Klik Mulai, arahkan ke Alat administratif, lalu klik Pemantau Peristiwa.
  2. Dalam pane kiri, klik Aplikasi.
  3. klik ganda peristiwa ID 1704 dan Konfirmasikan bahwa pengaturan Kebijakan Grup diaplikasikan berhasil.

    Catatan Sumber peristiwa adalah SceCli.


Langkah 7 - memeriksa nilai registri
Periksa nilai registri yang Anda mengubah dalam langkah 1 - perubahan registri untuk memastikan bahwa nilai registri tidak berubah.

Catatan Langkah ini akan memastikan bahwa pengaturan kebijakan yang bertentangan tidak diterapkan pada tingkat kelompok atau organisasi unit (OU) lain. Misalnya, jika klien jaringan Microsoft: komunikasi menandatangani secara digital (apabila server setuju) kebijakan dikonfigurasi sebagai "Tidak didefinisikan" dalam kebijakan keamanan Domain Controller, tetapi kebijakan ini sama dikonfigurasi sebagai dinonaktifkan di Domain Security Policy, penandatangan SMB akan dinonaktifkan untuk layanan Workstation.

Langkah 8 - Periksa SMB penandatanganan pengaturan kebijakan dengan menggunakan snap-in Resultante Himpunan Kebijakan (RSoP)
Jika nilai registri telah berubah setelah Anda menjalankan utilitas pembaruan Kebijakan Grup, memeriksa SMB penandatanganan pengaturan kebijakan dengan menggunakan RSoP snap-in pada Windows Server 2003. Untuk melakukannya, ikuti langkah berikut:
  1. Klik Mulai, klik Menjalankan, jenis RSoP.MSC dalam Terbuka kotak, dan kemudian klik Oke.
  2. RSoP snap-in, pengaturan masuk SMB terletak di lintasan berikut:
    Komputer konfigurasi/Windows pengaturan/Local Settings/keamanan kebijakan/keamanan pilihan
    Catatan Jika Anda menjalankan Windows 2000 Server, menginstal utilitas pembaruan Kebijakan Grup dari Kit sumber daya Windows 2000 Server, dan kemudian ketik berikut ini pada prompt perintah:
    gpresult /scope komputer/v
  3. Setelah Anda menjalankan perintah ini, Diterapkan objek Kebijakan Grupdaftar akan muncul. Daftar ini menunjukkan semua objek Kebijakan Grup yang diterapkan ke account komputer. Periksa pengaturan kebijakan untuk semua objek Kebijakan Grup ini penandatangan SMB.
Sumber daya tambahan
Perilaku ini terjadi apabila pengaturan masuk SMB untuk Workstation layanan dan layanan Server saling bertentangan. Bila Anda mengkonfigurasi domain controller dengan cara ini, layanan Workstation pada domain controller tidak dapat terhubung ke pengendali domain Sysvol berbagi. Oleh karena itu, Anda tidak dapat menjalankan snap-in Kebijakan Grup. Juga, jika penandatangan SMB kebijakan yang ditetapkan oleh kebijakan keamanan pengendali domain default, masalah yang mempengaruhi semua pengendali domain pada jaringan. Oleh karena itu, Kebijakan Grup replikasi di layanan direktori Direktori Aktif akan gagal, dan Anda tidak akan dapat mengedit Kebijakan Grup untuk membatalkan pengaturan ini.

Skenario 1 - jika Anda menjalankan domain controller diagnostik (DcDiag.exe), Anda menerima galat yang mirip dengan berikut untuk Windows 2000 Server dan untuk Windows Server 2003:

Starting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 5: Access is denied.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicated Starting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied........................... SERVERNAME failed test frssysvolStarting test: frsevent ......................... SERVERNAME failed test frsevent Starting test: kcceventFailed to enumerate event log records, error Access is denied. ......................... SERVERNAME failed test kccevent Starting test: systemlogFailed to enumerate event log records, error Access is denied.......................... SERVERNAME failed test systemlog
Skenario 2 - jika Anda menjalankan domain controller diagnostik, Anda menerima galat yang mirip dengan berikut untuk Windows 2000 Server dan Windows Server 2003:

Testing server: Default-First-Site-Name\SERVERNAMEStarting test: Replications......................... SERVERNAME passed test ReplicationsStarting test: NCSecDesc......................... SERVERNAME passed test NCSecDescStarting test: NetLogons[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test NetLogonsStarting test: Advertising......................... SERVERNAME passed test AdvertisingStarting test: KnowsOfRoleHolders......................... SERVERNAME passed test KnowsOfRoleHoldersStarting test: RidManager......................... SERVERNAME passed test RidManagerStarting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicatedStarting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test frssysvolStarting test: frsevent......................... SERVERNAME failed test frseventStarting test: kcceventFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kcceventStarting test: systemlogFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 839499 - Tinjauan Terakhir: 04/23/2012 22:14:00 - Revisi: 1.0

Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbsmbportal kbmt KB839499 KbMtid
Tanggapan
/html>javascript"> Asimov.clickstreamTracker.init();