Não é possível abrir compartilhamentos de arquivos ou snap-ins de diretiva de grupo em um controlador de domínio

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 839499
Sumário
Você não pode abrir compartilhamentos de arquivo ou diretiva de grupo snap-ins em um controlador de domínio do Windows Server 2003 ou em um controlador de domínio do Windows 2000 Server. Quando você efetuar logon no controlador de domínio local e tente abrir compartilhamentos no controlador de domínio, você recebe avisos repetidos de senha e não é possível abrir os compartilhamentos. Você pode resolver esse problema alterando o registro.


Aviso Podem ocorrer sérios problemas se você modificar o registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro em seu próprio risco.

Sintomas
Cenário 1 – Server Message Block (SMB) de assinatura é desabilitado para o serviço Estação de trabalho em um controlador de domínio, mas a assinatura SMB é necessária para o serviço servidor no mesmo controlador de domínio

Windows Server 2003
Quando você tenta abrir o snap-ins de diretiva de grupo no controlador de domínio, você receber uma mensagem de erro semelhante à seguinte:
Você não tem permissão para executar esta operação.Acesso negado.
O controlador de domínio registra os seguintes eventos no log de eventos do aplicativo a cada cinco minutos:

Tipo de evento: erro
Origem do evento: Userenv
Categoria do evento: nenhuma
Identificação de evento: 1058
Usuário: NT AUTHORITY\SYSTEM
Descrição:
O Windows não pode acessar o arquivo GPT. ini para GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =nome_de_domínio, DC = com. O arquivo deve estar presente no local <> </> nome_do_domínio.com\sysvol\nome_do_domínio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Acesso negado.) Processamento de diretiva de grupo anulado.

Tipo de evento: erro
Origem do evento: Userenv
Categoria do evento: nenhuma
Identificação de evento: 1030
Usuário: NT AUTHORITY\SYSTEM
Descrição:
O Windows não pode consultar a lista de objetos de diretiva de grupo. Verifique o log de eventos para possíveis mensagens registradas anteriormente pelo mecanismo de diretiva que descreve o motivo para isso.

Quando você efetuar logon no controlador de domínio local e tente abrir compartilhamentos no controlador de domínio, você recebe avisos repetidos de senha e não é possível abrir os compartilhamentos.



Windows 2000 Server
Quando você tenta abrir o snap-ins de diretiva de grupo no controlador de domínio, você receber uma mensagem de erro semelhante à seguinte:
Você não tem permissão para executar esta operação.

Acesso negado.
O controlador de domínio registra o seguinte evento no log de eventos do aplicativo:

Tipo de evento: erro
Origem do evento: Userenv
Categoria do evento: nenhuma
Br / > usuário: NT AUTHORITY\SYSTEM
Descrição:
Windows não pode acessar as informações do registro em \ \nome_do_domínio.com\sysvol\nome_do_domínio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol com (5).



Quando você efetuar logon no controlador de domínio local e tente abrir compartilhamentos no controlador de domínio, você recebe avisos repetidos de senha e não é possível abrir os compartilhamentos.
Cenário 2 - a assinatura SMB está desabilitada para o serviço do servidor em um controlador de domínio, mas a assinatura SMB é necessária para o serviço Estação de trabalho no mesmo controlador de domínio

Windows Server 2003
Falha ao abrir o objeto de diretiva de grupo. Talvez você não tenha os direitos apropriados.

A conta não está autorizada a efetuar logon nesta estação.
Em um rastreamento de rede, se a assinatura SMB é ativada e solicitada no cliente e está desabilitado no servidor, a conexão com a sessão TCP é fechada depois da negociação de dialeto e o cliente recebe o seguinte erro:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
O controlador de domínio registra os seguintes eventos no log de eventos do aplicativo a cada cinco minutos:

Tipo de evento: erro
Origem do evento: Userenv
Categoria do evento: nenhuma
Identificação de evento: 1058
Usuário: NT AUTHORITY\SYSTEM
Descrição:
O Windows não pode acessar o arquivo GPT. ini para GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =nome_de_domínio, DC = com. O arquivo deve estar presente no local <> </> nome_do_domínio.com\sysvol\nome_do_domínio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Acesso negado.) Processamento de diretiva de grupo anulado.

Tipo de evento: erro
Origem do evento: Userenv
Categoria do evento: nenhuma
Identificação de evento: 1030
Usuário: NT AUTHORITY\SYSTEM
Descrição:
O Windows não pode consultar a lista de objetos de diretiva de grupo. Verifique o log de eventos para possíveis mensagens registradas anteriormente pelo mecanismo de diretiva que descreve o motivo para isso.

Quando você efetuar logon no controlador de domínio local e tente abrir compartilhamentos de arquivos no controlador de domínio, você receber uma mensagem de erro que resmbles o seguinte:
\ \Nome_do_servidor\nome_do_compartilhamento não está acessível. Talvez você não tenha permissão para usar este recurso de rede. Contate o administrador deste servidor para descobrir se você tem permissões de acesso.

A conta não está autorizada a efetuar logon nesta estação.

Observação Em um rastreamento de rede, se a assinatura SMB está habilitada e se a assinatura SMB é necessária no cliente e desativada no servidor, a conexão com a sessão TCP é fechada depois da negociação de dialeto. Além disso, o cliente recebe a seguinte mensagem de erro:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)


Windows 2000 Server
Quando você tenta abrir o snap-ins de diretiva de grupo no controlador de domínio, você receber uma mensagem de erro semelhante à seguinte:
Falha ao abrir o objeto de diretiva de grupo. Talvez você não tenha os direitos apropriados.

A conta não está autorizada a efetuar logon nesta estação.
O controlador de domínio registra o seguinte evento no log de eventos do aplicativo:

Tipo de evento: erro
Origem do evento: Userenv
Categoria do evento: nenhuma
Identificação de evento: 1000
Br / > usuário: NT AUTHORITY\SYSTEM
Descrição:
Windows não pode acessar as informações do registro em \ \nome_do_domínio.com\sysvol\nome_do_domínio.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol com (1240).

Quando você efetuar logon no controlador de domínio local e tente abrir compartilhamentos de arquivos no controlador de domínio, você receber uma mensagem de erro semelhante à seguinte:
\ \Nome_do_servidor\nome_do_compartilhamento não está acessível.

A conta não está autorizada a efetuar logon nesta estação.


Nota
em um rastreamento de rede, se a assinatura SMB estiver habilitada e se a assinatura SMB é necessária no cliente e desativada no servidor, a conexão com a sessão TCP é fechada depois da negociação de dialeto. Além disso, o cliente recebe a seguinte mensagem de erro:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Resolução
Para resolver esse comportamento, execute estas etapas:

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, consulte Como fazer backup e restaurar o registro no Windows XP.

Etapa 1 - alterar o registro
Altere o valor da entrada do registro enablesecuritysignature. Para fazer isso, siga estas etapas:
  1. No controlador de domínio, clique em Inícioe clique emExecute.
  2. Copiar e, em seguida, cole (ou digite) o seguinte comando na caixa Abrir e pressione Enter.
    Regedit

  3. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  4. No painel direito, clique duas vezes EnableSecuritySignature, tipo 1 no Dados do valor caixa e clique OK.
  5. Clique duas vezes RequireSecuritySignature, tipo 1 no Dados do valor caixa e clique OK.
  6. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  7. No painel direito, clique duas vezes EnableSecuritySignature, tipo 1 no Dados do valor caixa e clique OK.
  8. Clique duas vezes RequireSecuritySignature, tipo 0 no Dados do valor caixa e clique OK.


Etapa 2 - reiniciar o serviço do servidor e o serviço de estação de trabalho
Depois de alterar os valores do registro, reinicie o serviço do servidor e o serviço Estação de trabalho.

Importante Não reinicie o controlador de domínio, pois essa ação pode causar a diretiva de grupo alterar os valores do registro para os valores anteriores.

Para reiniciar o serviço do servidor e o serviço de estação de trabalho, siga estas etapas:
  1. Clique em Início, aponte para Ferramentas administrativase clique em Serviços.
  2. Direito Servidore clique em Reiniciar.
  3. Direito Estação de trabalhoe clique em Reiniciar.

    Observação Se você for solicitado para reiniciar outros serviços, clique em Sim.


Etapa 3 - atualizar o compartilhamento Sysvol
Atualize compartilhamento de Sysvol do controlador de domínio. Para fazer isso, siga estas etapas:
  1. Abra o compartilhamento de Sysvol do controlador de domínio. Para fazer isso, clique em Início, clique em Executar, tipo \\Nome_do_servidor\Sysvol no Aberto caixa e pressione Enter.
  2. Se o compartilhamento Sysvol não abrir, repita a etapa 1 - alteração do registro e a etapa 2 - reinicie os serviços servidor e estação de trabalho.
  3. Repita a etapa 1 - alteração do registro e a etapa 2 - reinicie os serviços servidor e estação de trabalho em cada controlador de domínio afetado para certificar-se de que cada controlador de domínio pode acessar seu próprio compartilhamento de Sysvol.


Etapa 4: configurar as configurações de diretiva SMB
Depois de se conectar ao compartilhamento de Sysvol em cada controlador de domínio, abra o snap-in Diretiva de segurança de controlador de domínio e configure o configurações de diretiva de assinatura de SMB. Para fazer isso, siga estas etapas:
  1. Clique em Início, aponte para Programas, aponte para Ferramentas administrativase clique em Diretiva de segurança de controlador de domínio.
  2. No painel esquerdo, expanda Diretivas locaise clique em Opções de segurança.
  3. No painel direito, clique duas vezes Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre).

    ObservaçãoNo Windows 2000 Server, a configuração de diretiva equivalente é Assinar digitalmente a comunicação do servidor (sempre).

    Importante Se você tiver computadores cliente na rede que não suportam a assinatura SMB, você não deve ativar o Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)configuração de diretiva. Se você habilitar essa configuração, você deve ter a assinatura SMB para todas as comunicações do cliente e os computadores cliente que não suportam a assinatura SMB não poderão se conectar a outros computadores. Por exemplo, clientes que executam o Apple Macintosh OS X ou o Microsoft Windows 95 não suportam assinatura SMB. Se a rede incluir clientes que não suportam a assinatura SMB, defina essa diretiva como desativado.
  4. Clique para selecionar o Definir essa configuração de diretiva caixa de seleção, clique em Ativadoe clique em OK.
  5. Clique duas vezes Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar).

    Observação Para Windows 2000 Server, a configuração de diretiva equivalente é Assinar digitalmente a comunicação do servidor (quando possível).
  6. Clique para selecionar o Definir essa configuração de diretiva caixa de seleção e clique em Ativado.
  7. Clique em OK.
  8. Clique duas vezes Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre).
  9. Clique para limpar a Definir essa configuração de diretiva caixa de seleção e clique em OK.
  10. Clique duas vezes Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar).
  11. Clique para limpar a Definir essa configuração de diretiva caixa de seleção e clique em OK.


Etapa 5: executar o utilitário de atualização de diretiva de grupo
Execute o utilitário de atualização de diretiva de grupo (gpupdate. exe) com a opção de Forçar . Para fazer isso, siga estas etapas:
  1. Clique em Inícioe clique emExecutar.
  2. Cópia e cole (ou digite) o seguinte comando na caixa Abrir e pressione Enter.
    cmd

  3. No prompt de comando, digite gpupdate /force, e pressione Enter.
Para obter mais informações sobre o utilitário de atualização de diretiva de grupo, consulte Uma descrição do utilitário de atualização de diretiva de grupo.

Observação O utilitário de atualização de diretiva de grupo não existe no Windows 2000 Server. No Windows 2000 Server, o comando equivalente é secedit /refreshpolicy machine_policy /enforce.

Para obter mais informações sobre como usar o comando Secedit no Windows 2000 Server, consulteUtilizando SECEDIT para forçar uma atualização de diretiva de grupo imediatamente.

Etapa 6 - Verifique o log de eventos do aplicativo
Depois de executar o utilitário de atualização de diretiva de grupo, verifique o log de eventos do aplicativo para verificar se as configurações de diretiva de grupo foram atualizadas com êxito. Após uma atualização bem-sucedida de diretiva de grupo, o controlador de domínio registra o evento ID 1704. Para abrir o log do aplicativo em Visualizar eventos, execute estas etapas:
  1. Clique em Início, aponte para Ferramentas administrativase clique em Visualizador de eventos.
  2. No painel esquerdo, clique em Aplicativo.
  3. Clique duas vezes no evento ID 1704 e confirmar que a configuração de diretiva de grupo foi aplicada com êxito.

    Observação Origem do evento é SceCli.


Etapa 7 - verificar os valores do registro
Verifique os valores do registro que você alterou na etapa 1 - alteração do registro para certificar-se de que os valores do registro não foram alterados.

Observação Esta etapa garante que uma configuração de diretiva conflitante não é aplicada em outro nível de unidade de grupo ou organizacional (UO). Por exemplo, se o cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) diretiva é configurada como "Não definido" na diretiva de segurança de controlador de domínio, mas essa mesma diretiva está configurada como desabilitado na diretiva de segurança de domínio, a assinatura SMB será desabilitada para o serviço Estação de trabalho.

Etapa 8 - Verifique o SMB assinatura as configurações de diretiva usando o snap-in conjunto de diretivas resultante (RSoP)
Se os valores do registro foram alterados após você executar o utilitário de atualização de diretiva de grupo, verifique o SMB assinatura as configurações de diretiva usando o snap-in RSoP no Windows Server 2003. Para fazer isso, siga estas etapas:
  1. Clique em Início, clique em Executar, tipo RSoP. msc no Aberto caixa e clique OK.
  2. No snap-in RSoP, as definições de assinatura SMB estão localizadas no seguinte caminho:
    Opções de segurança/diretivas do computador configuração/Windows configurações de segurança configurações/Local
    Observação Se você estiver executando o Windows 2000 Server, instale o utilitário de atualização de diretiva de grupo do Windows 2000 Server Resource Kit e digite o seguinte no prompt de comando:
    gpresult /scope computador /v
  3. Depois de executar este comando, o Objetos de diretiva de grupo aplicadoslista é exibida. Esta lista mostra todos os objetos de diretiva de grupo aplicadas à conta de computador. Verifique as configurações de diretiva para todos esses objetos de diretiva de grupo de assinatura SMB.
Recursos adicionais
Esse comportamento ocorre se as definições de assinatura SMB para o serviço Estação de trabalho e para o serviço do servidor se contradizem. Quando configurar o controlador de domínio dessa forma, o serviço Estação de trabalho no controlador de domínio não pode se conectar ao compartilhamento de Sysvol do controlador de domínio. Portanto, você não pode iniciar o snap-ins de diretiva de grupo. Além disso, se as diretivas de assinatura SMB são definidas pela diretiva de segurança de controlador de domínio padrão, o problema afeta todos os controladores de domínio na rede. Portanto, replicação de diretiva de grupo no serviço de diretório do Active Directory irá falhar e você não poderá editar a diretiva de grupo para desfazer essas configurações.

Cenário 1: se você executar a ferramenta de diagnóstico do controlador de domínio (Dcdiag. exe), você recebe erros semelhantes ao seguinte para o Windows 2000 Server e Windows Server 2003:

Starting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 5: Access is denied.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicated Starting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied........................... SERVERNAME failed test frssysvolStarting test: frsevent ......................... SERVERNAME failed test frsevent Starting test: kcceventFailed to enumerate event log records, error Access is denied. ......................... SERVERNAME failed test kccevent Starting test: systemlogFailed to enumerate event log records, error Access is denied.......................... SERVERNAME failed test systemlog
Cenário 2 - se você executar a ferramenta de diagnóstico de controlador de domínio, você recebe erros semelhantes ao seguinte para o Windows 2000 Server e Windows Server 2003:

Testing server: Default-First-Site-Name\SERVERNAMEStarting test: Replications......................... SERVERNAME passed test ReplicationsStarting test: NCSecDesc......................... SERVERNAME passed test NCSecDescStarting test: NetLogons[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test NetLogonsStarting test: Advertising......................... SERVERNAME passed test AdvertisingStarting test: KnowsOfRoleHolders......................... SERVERNAME passed test KnowsOfRoleHoldersStarting test: RidManager......................... SERVERNAME passed test RidManagerStarting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicatedStarting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test frssysvolStarting test: frsevent......................... SERVERNAME failed test frseventStarting test: kcceventFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kcceventStarting test: systemlogFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 839499 - Última Revisão: 07/16/2013 04:44:00 - Revisão: 3.1

Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbsmbportal kbmt KB839499 KbMtpt
Comentários