Vous ne pouvez pas ouvrir des partages de fichiers ou stratégie de groupe des composants logiciels enfichables sur un contrôleur de domaine

  • Article

Cet article explique comment résoudre un problème qui se produit lorsque la signature SMB est désactivée pour le service station de travail ou serveur sur un contrôleur de domaine.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 839499

Résumé

Vous ne pouvez pas ouvrir les partages de fichiers ou les composants logiciels enfichables stratégie de groupe sur un contrôleur de domaine Windows Server 2003 ou sur un contrôleur de domaine Windows 2000 Server. Lorsque vous vous connectez au contrôleur de domaine localement, puis que vous essayez d’ouvrir des partages sur le contrôleur de domaine, vous recevez des invites de mot de passe répétées et vous ne pouvez pas ouvrir les partages. Vous pouvez résoudre ce problème en modifiant le Registre.

Avertissement

De graves problèmes peuvent se produire si vous vous trompez en modifiant le Registre à l’aide de l’Éditeur du Registre ou toute autre méthode. Vous risquez même de devoir réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.

Symptômes

Scénario 1 : la signature SMB (Server Message Block) est désactivée pour le service Station de travail sur un contrôleur de domaine, mais la signature SMB est requise pour le service Serveur sur le même contrôleur de domaine

Windows Server 2003

Lorsque vous essayez d’ouvrir stratégie de groupe composants logiciels enfichables sur le contrôleur de domaine, vous recevez un message d’erreur semblable au suivant :

Vous n’êtes pas autorisé à effectuer cette opération. L’accès est refusé.

Le contrôleur de domaine enregistre les événements suivants dans le journal des événements de l’application toutes les cinq minutes :

Windows 2000 Server

Lorsque vous essayez d’ouvrir stratégie de groupe composants logiciels enfichables sur le contrôleur de domaine, vous recevez un message d’erreur semblable au suivant :

Vous n’êtes pas autorisé à effectuer cette opération.

L’accès est refusé. Le contrôleur de domaine enregistre l’événement suivant dans le journal des événements de l’application :

Lorsque vous vous connectez au contrôleur de domaine localement, puis que vous essayez d’ouvrir des partages sur le contrôleur de domaine, vous recevez des invites de mot de passe répétées et vous ne pouvez pas ouvrir les partages.

Scénario 2 : la signature SMB est désactivée pour le service Serveur sur un contrôleur de domaine, mais la signature SMB est requise pour le service Station de travail sur le même contrôleur de domaine

Windows Server 2003

Échec de l’ouverture de l’objet stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.

Le compte n’est pas autorisé à se connecter à partir de cette station.

Dans une trace réseau, si la signature SMB est activée et requise sur le client et est désactivée sur le serveur, la connexion à la session TCP est normalement fermée après la négociation de dialecte, et le client reçoit l’erreur suivante :

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Le contrôleur de domaine enregistre les événements suivants dans le journal des événements de l’application toutes les cinq minutes : Lorsque vous vous connectez au contrôleur de domaine localement, puis que vous essayez d’ouvrir des partages de fichiers sur le contrôleur de domaine, vous recevez un message d’erreur semblable au suivant :

\\Server_name\Share_Name n’est pas accessible. Vous ne disposez peut-être pas des autorisations nécessaires pour utiliser cette ressource réseau. Contactez l’administrateur de ce serveur pour savoir si vous disposez des autorisations d’accès.

Le compte n’est pas autorisé à se connecter à partir de cette station.

Remarque

Dans une trace réseau, si la signature SMB est activée et si la signature SMB est requise sur le client et désactivée sur le serveur, la connexion à la session TCP est normalement fermée après la négociation du dialecte. En outre, le client reçoit le message d’erreur suivant : 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Lorsque vous essayez d’ouvrir stratégie de groupe composants logiciels enfichables sur le contrôleur de domaine, vous recevez un message d’erreur similaire au suivant :

Échec de l’ouverture de l’objet stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.

Le compte n’est pas autorisé à se connecter à partir de cette station.

Le contrôleur de domaine enregistre l’événement suivant dans le journal des événements de l’application : Lorsque vous vous connectez au contrôleur de domaine localement, puis que vous essayez d’ouvrir des partages de fichiers sur le contrôleur de domaine, vous recevez un message d’erreur similaire au suivant :

\\Server_name\Share_Name n’est pas accessible.

Le compte n’est pas autorisé à se connecter à partir de cette station.

Remarque

Dans une trace réseau, si la signature SMB est activée et si la signature SMB est requise sur le client et désactivée sur le serveur, la connexion à la session TCP est normalement fermée après la négociation du dialecte. En outre, le client reçoit le message d’erreur suivant : 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Résolution

Pour résoudre ce problème, procédez comme suit :

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la sauvegarde et la restauration du Registre, consultez Comment sauvegarder et restaurer le Registre dans Windows XP.

Étape 1 : Modifier le registre

Modifiez la valeur de l’entrée de Registre enablesecuritysignature. Pour cela, procédez comme suit :

  1. Sur le contrôleur de domaine, cliquez sur Démarrer, puis sur Exécuter.

  2. Copiez et collez (ou tapez) la commande regedit dans la zone Ouvrir, puis appuyez sur Entrée.

    Capture d’écran de la fenêtre Exécuter avec regedit tapé dans la zone Ouvrir.

  3. Recherchez la sous-clé de Registre suivante, puis cliquez dessus : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. Dans le volet droit, double-cliquez sur enablesecuritysignature, tapez 1 dans la zone Données de la valeur , puis cliquez sur OK.

  5. Double-cliquez sur requiresecuritysignature, tapez 1 dans la zone Données de la valeur , puis cliquez sur OK.

  6. Recherchez la sous-clé de Registre suivante, puis cliquez dessus : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. Dans le volet droit, double-cliquez sur enablesecuritysignature, tapez 1 dans la zone Données de la valeur , puis cliquez sur OK.

  8. Double-cliquez sur requiresecuritysignature, tapez 0 dans la zone Données de la valeur , puis cliquez sur OK.

Étape 2 : Redémarrez le service Serveur et le service Station de travail Après avoir modifié les valeurs de Registre, redémarrez le service Serveur et le service Station de travail.

Importante

Ne redémarrez pas le contrôleur de domaine, car cette action peut amener stratégie de groupe à revenir aux valeurs antérieures des valeurs du Registre.

Pour redémarrer le service Serveur et le service Station de travail, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Services.

  2. Cliquez avec le bouton droit sur Serveur, puis cliquez sur Redémarrer.

    Capture d’écran de la fenêtre Services avec Serveur sélectionné et un menu avec l’option Redémarrer sélectionnée.

  3. Cliquez avec le bouton droit sur Station de travail, puis cliquez sur Redémarrer.

Remarque

Si vous êtes invité à redémarrer d’autres services, cliquez sur Oui.

Étape 3 : Mettre à jour le partage Sysvol

Mettez à jour le partage Sysvol du contrôleur de domaine. Pour cela, procédez comme suit :

  1. Ouvrez le partage Sysvol du contrôleur de domaine. Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez \\Server_Name\Sysvol dans la zone Ouvrir , puis appuyez sur Entrée.
  2. Si le partage Sysvol ne s’ouvre pas, répétez l’étape 1 - Modifier le Registre et l’étape 2 - Redémarrer les services Serveur et Station de travail .
  3. Répétez l’étape 1 - Modifier le Registre et l’étape 2 - Redémarrer les services Serveur et Station de travail sur chaque contrôleur de domaine affecté pour vous assurer que chaque contrôleur de domaine peut accéder à son propre partage Sysvol.

Étape 4 : Configurer les paramètres de stratégie SMB

Après vous être connecté au partage Sysvol sur chaque contrôleur de domaine, ouvrez le composant logiciel enfichable Stratégie de sécurité du contrôleur de domaine, puis configurez les paramètres de stratégie de signature SMB. Pour cela, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Stratégie de sécurité du contrôleur de domaine.

  2. Dans le volet gauche, développez Stratégies locales, puis cliquez sur Options de sécurité.

  3. Dans le volet droit, double-cliquez sur Serveur réseau Microsoft : Communications de signature numérique (toujours).

    Remarque

    Dans Windows 2000 Server, le paramètre de stratégie équivalent est Communication du serveur de signature numérique (toujours).

    Importante

    Si vous avez des ordinateurs clients sur le réseau qui ne prennent pas en charge la signature SMB, vous ne devez pas activer le paramètre de stratégie Serveur réseau Microsoft : Communications de signature numérique (toujours). Si vous activez ce paramètre, vous devez disposer d’une signature SMB pour toutes les communications clientes, et les ordinateurs clients qui ne prennent pas en charge la signature SMB ne pourront pas se connecter à d’autres ordinateurs. Par exemple, les clients qui exécutent Apple Macintosh OS X ou Microsoft Windows 95 ne prennent pas en charge la signature SMB. Si votre réseau inclut des clients qui ne prennent pas en charge la signature SMB, définissez cette stratégie sur Désactivé.

    Capture d’écran de la fenêtre Paramètres de sécurité du contrôleur de domaine par défaut avec options de sécurité sélectionnées.

  4. Cliquez pour sélectionner la zone Définir ce paramètre de stratégie case activée, cliquez sur Activé, puis sur OK.

    Capture d’écran de la fenêtre serveur réseau Microsoft avec le paramètre Définir cette stratégie sélectionné et activé.

  5. Double-cliquez sur Serveur réseau Microsoft : signez numériquement les communications (si le client l’accepte).

    Remarque

    Pour Windows 2000 Server, le paramètre de stratégie équivalent est Communication du serveur de signature numérique (si possible).

  6. Cliquez pour sélectionner la zone Définir ce paramètre de stratégie case activée, puis cliquez sur Activé.

  7. Cliquez sur OK.

  8. Double-cliquez sur Client réseau Microsoft : communications de signature numérique (toujours) .

  9. Désactivez la zone Définir ce paramètre de stratégie case activée, puis cliquez sur OK.

    Capture d’écran de la fenêtre serveur réseau Microsoft avec la zone Définir ce paramètre de stratégie case activée désactivée.

  10. Double-cliquez sur Client réseau Microsoft : signez numériquement les communications (si le serveur est d’accord).

  11. Désactivez la zone Définir ce paramètre de stratégie case activée, puis cliquez sur OK.

Étape 5 : exécuter l’utilitaire de mise à jour stratégie de groupe

Exécutez l’utilitaire stratégie de groupe Update (Gpupdate.exe) avec le commutateur force. Pour cela, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Copiez et collez (ou tapez) la commande cmd dans la zone Ouvrir, puis appuyez sur Entrée.

    Capture d’écran de la fenêtre Exécuter avec cmd tapé dans la zone Ouvrir.

  3. Dans l’invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée.

    Remarque

    L’utilitaire stratégie de groupe Update n’existe pas dans Windows 2000 Server. Dans Windows 2000 Server, la commande équivalente est secedit /refreshpolicy machine_policy /enforce.

Étape 6 : Vérifier le journal des événements de l’application

Après avoir exécuté l’utilitaire stratégie de groupe Update, case activée le journal des événements de l’application pour vous assurer que les paramètres stratégie de groupe ont été correctement mis à jour. Après une mise à jour stratégie de groupe réussie, le contrôleur de domaine enregistre l’ID d’événement 1704. Pour ouvrir le journal d’application dans observateur d'événements, procédez comme suit :

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Observateur d’événements.

  2. Dans le volet gauche, cliquez sur Application.

    Capture d’écran de la fenêtre observateur d'événements avec Application sélectionnée.

  3. Double-cliquez sur l’ID d’événement 1704 et vérifiez que le paramètre stratégie de groupe a été appliqué avec succès.

    Remarque

    La source de l’événement est SceCli.

    Capture d’écran de l’Fenêtre Propriétés d’événement pour l’ID d’événement 1704.

Étape 7 : Vérifier les valeurs de Registre

Vérifiez les valeurs de Registre que vous avez modifiées à l’étape 1 - Modifier le registre pour vous assurer que les valeurs du Registre n’ont pas changé.

Remarque

Cette étape garantit qu’un paramètre de stratégie en conflit n’est pas appliqué à un autre niveau de groupe ou d’unité d’organisation (UO). Par exemple, si la stratégie client réseau Microsoft : communications de signature numérique (si le serveur est d’accord) est configurée comme « Non définie » dans la stratégie de sécurité du contrôleur de domaine, mais que cette même stratégie est configurée comme désactivée dans la stratégie de sécurité du domaine, la signature SMB est désactivée pour le service Station de travail.

Étape 8 : Vérifier les paramètres de stratégie de signature SMB à l’aide du composant logiciel enfichable RSoP (Resultant Set of Policy)

Si les valeurs de Registre ont changé après l’exécution de l’utilitaire stratégie de groupe Update, case activée les paramètres de stratégie de signature SMB à l’aide du composant logiciel enfichable RSoP dans Windows Server 2003. Pour cela, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez rsop.msc dans la zone Ouvrir , puis cliquez sur OK.

    Capture d’écran de la fenêtre Exécuter avec rsop.msc tapé dans la zone Ouvrir.

  2. Dans le composant logiciel enfichable RSoP, les paramètres de signature SMB se trouvent dans le chemin d’accès suivant : Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales/Options de sécurité

    Remarque

    Si vous exécutez Windows 2000 Server, installez l’utilitaire stratégie de groupe Update à partir du Kit de ressources Windows 2000 Server, puis tapez ce qui suit à l’invite de commandes :gpresult /scope computer /v

  3. Après avoir exécuté cette commande, la liste Objets stratégie de groupe appliqués s’affiche. Cette liste affiche tous les objets stratégie de groupe appliqués au compte d’ordinateur. Vérifiez les paramètres de stratégie de signature SMB pour tous ces objets stratégie de groupe.

Ressources supplémentaires

Ce comportement se produit si les paramètres de signature SMB pour le service Station de travail et pour le service Serveur se contredisent. Lorsque vous configurez le contrôleur de domaine de cette façon, le service Station de travail sur le contrôleur de domaine ne peut pas se connecter au partage Sysvol du contrôleur de domaine. Par conséquent, vous ne pouvez pas démarrer stratégie de groupe composants logiciels enfichables. En outre, si les stratégies de signature SMB sont définies par la stratégie de sécurité du contrôleur de domaine par défaut, le problème affecte tous les contrôleurs de domaine sur le réseau. Par conséquent, stratégie de groupe réplication dans le service d’annuaire Active Directory échoue et vous ne pourrez pas modifier stratégie de groupe annuler ces paramètres.

Scénario 1 : si vous exécutez l’outil de diagnostic du contrôleur de domaine (DcDiag.exe), vous recevez des erreurs similaires à celles-ci pour Windows 2000 Server et Windows Server 2003

Démarrage du test : MachineAccount
Impossible d’ouvrir le canal avec [SERVERNAME] :failed with 5 : Access is denied.
Impossible d’obtenir NetBIOSDomainName
Échec impossible de tester le SPN HÔTE
Échec impossible de tester le SPN HÔTE
* SpN manquant :(null)
* SpN manquant :(null)
......................... Échec du test machineAccount de SERVERNAME
Démarrage du test : Services
Impossible d’ouvrir Ipc distant sur [SERVERNAME] :failed with 5 : Access is denied.
......................... Échec des services de test SERVERNAME
Démarrage du test : ObjectsReplicated
......................... SERVERNAME a réussi le test ObjectsReplicated
Démarrage du test : frssysvol
[SERVERNAME] Une opération net use ou LsaPolicy a échoué avec l’erreur 5, Access est refusé.
......................... Échec du test serverNAME frssysvol
Démarrage du test : frsevent
......................... Échec du test frsevent de SERVERNAME
Démarrage du test : kccevent
Échec de l’énumération des enregistrements du journal des événements, erreur Accès refusé.
......................... Échec du test kccevent de SERVERNAME
Démarrage du test : systemlog
Échec de l’énumération des enregistrements du journal des événements, erreur Accès refusé.
......................... ServerNAME a échoué au test systemlog

Scénario 2 : si vous exécutez l’outil de diagnostic du contrôleur de domaine, vous recevez des erreurs similaires à ce qui suit pour Windows 2000 Server et Windows Server 2003

Serveur de test : Default-First-Site-Name\SERVERNAME
Démarrage du test : réplications
......................... SERVERNAME a réussi les réplications de test
Test de démarrage : NCSecDesc
......................... SERVERNAME a réussi le test NCSecDesc
Démarrage du test : NetLogons
[SERVERNAME] Une opération net use ou LsaPolicy a échoué avec l’erreur 1240. Le compte n’est pas autorisé à se connecter à partir de cette station.
......................... Échec du test NetLogons de SERVERNAME
Test de démarrage : Publicité
......................... SERVERNAME a réussi la publicité de test
Démarrage du test : KnowsOfRoleHolders
......................... SERVERNAME a réussi le test KnowsOfRoleHolders
Démarrage du test : RidManager
......................... SERVERNAME a réussi le test RidManager
Démarrage du test : MachineAccount
Impossible d’ouvrir le canal avec [SERVERNAME] :failed with 1240 : le compte n’est pas autorisé à se connecter à partir de cette station.
Impossible d’obtenir NetBIOSDomainName
Échec impossible de tester le SPN HÔTE
Échec impossible de tester le SPN HÔTE
* SpN manquant :(null)
* SpN manquant :(null)
......................... Échec du test machineAccount de SERVERNAME
Démarrage du test : Services
Impossible d’ouvrir l’ipc distant sur [SERVERNAME] :failed with 1240 : The account is not authorized to log in from this station.
......................... Échec des services de test SERVERNAME
Démarrage du test : ObjectsReplicated
......................... SERVERNAME a réussi le test ObjectsReplicated
Démarrage du test : frssysvol
[SERVERNAME] Une opération net use ou LsaPolicy a échoué avec l’erreur 1240. Le compte n’est pas autorisé à se connecter à partir de cette station.
......................... Échec du test serverNAME frssysvol
Démarrage du test : frsevent
......................... Échec du test frsevent de SERVERNAME
Démarrage du test : kccevent
Échec de l’énumération des enregistrements du journal des événements, erreur Le compte n’est pas autorisé à se connecter à partir de cette station. ......................... Échec du test kccevent de SERVERNAME
Démarrage du test : systemlog
Échec de l’énumération des enregistrements du journal des événements, erreur Le compte n’est pas autorisé à se connecter à partir de cette station. ......................... ServerNAME a échoué au test systemlog