Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Nemôžete otvoriť súbor akcií alebo skupinovej politiky modulov na radiči domény

Poskytovanie technickej podpory pre Windows Server 2003 sa skončilo 14 júla 2015

Spoločnosť Microsoft ukončila 14 júla 2015 poskytovanie technickej podpory pre Windows Server 2003. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:839499
SUHRN
Nemôžete otvoriť súbor akcií alebo skupinovej politiky modulov na doménovom radiči systému Windows Server 2003 alebo v radiči domény systému Windows 2000 Server. Keď prihláste sa do radiča domény lokálne a potom skúste otvoriť akcií v radiči domény, dostanete výzvy opakovaných heslo a nemôžem otvoriť akcií. Tento problém môžete vyriešiť zmenou databázy registry.


Upozornenie Ak databázu registry upravíte nesprávne pomocou editora databázy Registry alebo pomocou inej metódy, môžu nastať vážne problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že je možné vyriešiť tieto problémy. Úpravu databázy registry na vlastné riziko.

PRIZNAKY
Scenár č.1 – Server Message Block (SMB) podpísanie vypnutá pre službu Pracovná stanica na radiči domény, ale podpisovanie blokov SMB sa vyžaduje pre službu Server na rovnakom radiči domény

Systém Windows Server 2003
Pri pokuse o otvorenie skupinovej politiky modulov v radiči domény, zobrazí chybové hlásenie, ktoré sa podobá nasledujúcemu hláseniu:
Nemáte povolenie na vykonanie tejto operácie.Prístup je odmietnutý.
Radič domény prihlási nasledujúcich udalostí v denníku udalostí aplikácie každých päť minút:

Typ udalosti: chyba
Zdroj udalosti: Userenv
Event Category: žiadne
Identifikácia: 1058
Užívateľ: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemôže získať prístup k gpt.ini súboru pre objekt GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =názov_domény, DC = com. Súbor musí byť prítomný na mieste <> </> názov_domény.com\sysvol\názov_domény.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Prístup je odmietnutý.) Group Policy processing aborted.

Typ udalosti: chyba
Zdroj udalosti: Userenv
Event Category: žiadne
Identifikácia: 1030
Užívateľ: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemôže zadať dotaz na zoznam objektov skupinovej politiky. Skontrolujte, či denník udalostí pre možné správy predtým prihlásený nástroj politiky, ktorý popisuje dôvod pre to.

Keď prihláste sa do radiča domény lokálne a potom skúste otvoriť akcií v radiči domény, dostanete výzvy opakovaných heslo a nemôžem otvoriť akcií.



Systém Windows 2000 Server
Pri pokuse o otvorenie skupinovej politiky modulov v radiči domény, zobrazí chybové hlásenie, ktoré sa podobá nasledujúcemu hláseniu:
Nemáte povolenie na vykonanie tejto operácie.

Prístup je odmietnutý.
Radič domény prihlási nasledovná udalosť v denníku udalostí aplikácie:

Typ udalosti: chyba
Zdroj udalosti: Userenv
Event Category: žiadne
BR / > používateľa: z konta NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemôže získať prístup k informácie databázy registry na \\názov_domény.com\sysvol\názov_domény.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol s [5].



Keď prihláste sa do radiča domény lokálne a potom skúste otvoriť akcií v radiči domény, dostanete výzvy opakovaných heslo a nemôžem otvoriť akcií.
Scenár č.2 - podpisovanie blokov SMB vypnutá pre službu Server na radiči domény, ale podpisovanie blokov SMB sa vyžaduje pre službu Pracovná stanica na rovnakom radiči domény

Systém Windows Server 2003
Nepodarilo sa otvoriť objekt skupinovej politiky. Pravdepodobne nemáte príslušné oprávnenia.

Konto nemá povolenie k prihláseniu sa z tejto stanice.
V sieti stopy, ak je podpisovanie blokov SMB zapnuté a vyžaduje sa v klientskom a je vypnutý na serveri, pripojenie k relácii TCP sa zavreté po vyjednaní dialektu a klient dostane sa vyskytla nasledujúca chyba:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
Radič domény prihlási nasledujúcich udalostí v denníku udalostí aplikácie každých päť minút:

Typ udalosti: chyba
Zdroj udalosti: Userenv
Event Category: žiadne
Identifikácia: 1058
Užívateľ: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemôže získať prístup k gpt.ini súboru pre objekt GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Policies, CN = System, DC =názov_domény, DC = com. Súbor musí byť prítomný na mieste <> </> názov_domény.com\sysvol\názov_domény.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >. (Prístup je odmietnutý.) Group Policy processing aborted.

Typ udalosti: chyba
Zdroj udalosti: Userenv
Event Category: žiadne
Identifikácia: 1030
Užívateľ: NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemôže zadať dotaz na zoznam objektov skupinovej politiky. Skontrolujte, či denník udalostí pre možné správy predtým prihlásený nástroj politiky, ktorý popisuje dôvod pre to.

Prihláste sa do radiča domény lokálne a potom skúste otvoriť zdieľaných súborov v radiči domény, zobrazí chybové hlásenie túto resmbles takto:
\\Názov_servera\Share_Name nie je prístupná. Nemáte povolenie na používanie tomuto sieťovému prostriedku. Obráťte sa na správcu tento server, aby ste zistili, či máte prístupové práva.

Konto nemá povolenie k prihláseniu sa z tejto stanice.

Poznámka V sieti stopy, ak je podpisovanie blokov SMB zapnuté, a ak je podpisovanie blokov SMB požadované u klienta a je vypnuté na serveri, pripojenie k relácii TCP sa zavreté po vyjednaní dialektu. Takisto, klient dostane nasledovné chybové hlásenie:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)


Systém Windows 2000 Server
Pri pokuse o otvorenie skupinovej politiky modulov v radiči domény, zobrazí chybové hlásenie podobné nasledovnému:
Nepodarilo sa otvoriť objekt skupinovej politiky. Pravdepodobne nemáte príslušné oprávnenia.

Konto nemá povolenie k prihláseniu sa z tejto stanice.
Radič domény prihlási nasledovná udalosť v denníku udalostí aplikácie:

Typ udalosti: chyba
Zdroj udalosti: Userenv
Event Category: žiadne
Identifikácia: 1000
BR / > používateľa: z konta NT AUTHORITY\SYSTEM
Popis:
Systém Windows nemôže získať prístup k informácie databázy registry na \\názov_domény.com\sysvol\názov_domény.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol s (1240).

Prihláste sa do radiča domény lokálne a potom skúste otvoriť zdieľaných súborov v radiči domény, zobrazí chybové hlásenie podobné nasledovnému:
\\Názov_servera\Share_Name nie je prístupná.

Konto nemá povolenie k prihláseniu sa z tejto stanice.


Poznámka
v sieti stopy, ak je zapnuté podpisovanie blokov SMB, a ak je podpisovanie blokov SMB požadované u klienta a je na serveri je vypnuté, pripojenie k relácii TCP sa po vyjednaní dialektu zavreté. Takisto, klient dostane nasledovné chybové hlásenie:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
RIESENIE
Ak chcete odstrániť toto správanie, postupujte nasledovne:

Dôležité Tento oddiel, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Avšak, môžu spôsobiť vážne problémy ak databázu registrov upravíte nesprávne. Preto sa uistite, že ste postupovali správne. Doporučujeme zálohovať databázu registrov skôr, ako zmeníte jej hodnoty. Potom, môžete obnoviť databázu registrov, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registry nájdete v časti Ako zálohovať a obnovovať databázu registry v systéme Windows XP.

Krok 1 - Zmena databázy registry
Zmeňte hodnotu položky databázy registry enablesecuritysignature. To chcete urobiť, postupujte nasledovne:
  1. V radiči domény kliknite na tlačidlo Štart, a potom kliknite na tlačidloSpustiť.
  2. Kopírovať a potom vložiť (alebo typu) nasledujúci príkaz do poľa Otvoriť zadajte a stlačte kláves Enter.
    program Regedit

  3. Vyhľadajte a kliknite na nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  4. Na pravej table dvakrát kliknite na ikonu enablesecuritysignature, typu 1 v Údaje o hodnote a potom kliknite na ok.
  5. Dvakrát kliknite na ikonu requiresecuritysignature, typu 1 v Údaje o hodnote a potom kliknite na ok.
  6. Vyhľadajte a kliknite na nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  7. Na pravej table dvakrát kliknite na ikonu enablesecuritysignature, typu 1 v Údaje o hodnote a potom kliknite na ok.
  8. Dvakrát kliknite na ikonu requiresecuritysignature, typu 0 v Údaje o hodnote a potom kliknite na ok.


Krok 2 - reštartujte službu Server a službu Pracovná stanica
Po zmene hodnôt databázy registry reštartujte službu Server a službu Pracovná stanica.

Dôležité Nereštartujte radiča domény, pretože táto akcia môže spôsobiť skupinovej politiky na zmenu hodnôt databázy registry späť na predchádzajúce hodnoty.

Ak chcete reštartovať službu Server a službu Pracovná stanica, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, ukážte na položku Administratívne nástroje, a potom kliknite na tlačidlo Služby.
  2. Kliknite pravým tlačidlom myši Servera, a potom kliknite na tlačidlo Reštartujte.
  3. Kliknite pravým tlačidlom myši Pracovná stanica, a potom kliknite na tlačidlo Reštartujte.

    Poznámka Ak sa zobrazí výzva na reštartovanie iné služby, kliknite na tlačidlo áno.


Krok 3 - aktualizácia podiel Sysvol
Aktualizovať radič domény zdieľaný. To chcete urobiť, postupujte nasledovne:
  1. Otvoriť zdieľaný radiča domény. V takom prípade kliknite na tlačidlo Štart, kliknite na tlačidlo Spustiť, typu \\Názov_servera\Sysvol v Otvorené políčko a potom stlačte kláves Enter.
  2. Ak podiel Sysvol neotvorí, zopakujte Krok 1 - Zmena databázy registry a Krok 2 - reštartovaní služby Server a Workstation.
  3. Zopakujte Krok 1 - Zmena databázy registry a Krok 2 - reštartovaní služby Server a Workstation na každom radiči domény postihnutých presvedčiť, že každého radiča domény prístup podiel vlastného adresára Sysvol.


Krok 4 - nastaviť nastavenia politiky SMB
Po pripojení k Sysvol podiel na každom radiči domény, otvorte modulu Politika zabezpečenia radiča domény a potom nastaviť SMB podpise nastavenia politiky. To chcete urobiť, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, ukážte na položku Programy, ukážte na položku Administratívne nástroje, a potom kliknite na tlačidlo Politika zabezpečenia radiča domény.
  2. Na ľavej table rozbaľte položku Lokálna politika, a potom kliknite na tlačidlo Možnosti zabezpečenia.
  3. Na pravej table dvakrát kliknite na ikonu Server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy).

    PoznámkaV systéme Windows 2000 Server, je nastavenie ekvivalentnej politiky Digitálne podpisovanie servera komunikácie (vždy).

    Dôležité Ak máte klientske počítače v sieti, ktoré nepodporujú podpisovanie blokov SMB, musíte nesmie povoliť Server siete Microsoft: digitálne podpisovanie pri komunikácii (vždy)nastavenie politiky. Ak povolíte toto nastavenie, musíte mať SMB podpisu všetkými klientom komunikácie a klientskych počítačov, ktoré nepodporujú podpisovanie blokov SMB sa nebude môcť pripojiť k iným počítačom. Napríklad, klientov, ktoré sú spustené Apple Macintosh OS X alebo Microsoft Windows 95 nepodporuje, podpisovanie blokov SMB. Ak sieť obsahuje klientov, ktorí nepodporujú podpisovanie blokov SMB, nastavte túto politiku na zdravotne postihnuté osoby.
  4. Kliknutím vyberte možnosť Určiť toto nastavenie politiky začiarkavacie políčko, kliknite na tlačidlo Zapnuté, a potom kliknite na tlačidlo ok.
  5. Dvakrát kliknite na ikonu Server siete Microsoft: digitálne podpisovanie pri komunikácii (ak klient súhlasí).

    Poznámka Pre systém Windows 2000 Server, je nastavenie ekvivalentnej politiky Digitálne podpísať komunikáciu servera (ak je to možné).
  6. Kliknutím vyberte možnosť Určiť toto nastavenie politiky Začiarknite políčko a potom kliknite na tlačidlo Zapnuté.
  7. Kliknite na tlačidlo ok.
  8. Dvakrát kliknite na ikonu Klient siete Microsoft: digitálne podpisovanie pri komunikácii (vždy).
  9. Kliknutím zrušte začiarknutie políčka Určiť toto nastavenie politiky Začiarknite políčko a potom kliknite na tlačidlo ok.
  10. Dvakrát kliknite na ikonu Klient siete Microsoft: digitálne podpisovanie pri komunikácii (ak server súhlasí).
  11. Kliknutím zrušte začiarknutie políčka Určiť toto nastavenie politiky Začiarknite políčko a potom kliknite na tlačidlo ok.


Krok 5 - spustiť pomôcku skupinovej politiky aktualizácia
Spustite pomôcku skupinovej politiky aktualizácia (Gpupdate.exe) s prepínačom sily . To chcete urobiť, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, a potom kliknite na tlačidloSpustiť.
  2. Kopírovať a prilepiť (alebo typu) nasledujúci príkaz do poľa Otvoriť zadajte a stlačte kláves Enter.
    cmd

  3. Do príkazového riadka zadajte gpupdate/Force, a potom stlačte kláves Enter.
Ďalšie informácie o pomôcke skupinovej politiky Update nájdete Popis nástroja skupinovej politiky Update Utility.

Poznámka Pomôcka na aktualizáciu politiky skupiny v systéme Windows 2000 Server neexistuje. V systéme Windows 2000 Server je ekvivalentná príkaz secedit/refreshpolicy machine_policy / enforce.

Ďalšie informácie o používaní príkazu Secedit v systéme Windows 2000 Server, nájdete v častiPomocou SECEDIT prinútiť obnovovania skupinovej politiky okamžite.

Krok 6 - skontrolujte denník udalostí aplikácie
Po spustení nástroja skupinovej politiky aktualizácia, skontrolujte denník udalostí aplikácie a uistite sa, že nastavenie skupinovej politiky boli úspešne aktualizoval. Po úspešnej aktualizácie skupinovej politiky radiča domény prihlási Event ID 1704. Ak chcete otvoriť denník aplikácie v programe Zobrazovač udalostí, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, ukážte na položku Administratívne nástroje, a potom kliknite na tlačidlo Zobrazovač udalostí.
  2. Na ľavej table kliknite na položku Uplatňovanie.
  3. Dvakrát kliknite na udalosť ID 1704 a potvrďte, že nastavenie skupinovej politiky bol úspešne uplatnený.

    Poznámka Zdroj udalosti je SceCli.


Krok 7 - kontrolu hodnôt databázy registry
Skontrolujte hodnoty databázy registry, ktoré ste zmenili v kroku 1 - Zmena databázy registry presvedčiť, že hodnoty databázy registry sa nezmenili.

Poznámka Tento krok zabezpečuje, že konfliktné nastavenie politiky sa neuplatňuje na inej úrovni skupiny alebo organizačnú jednotku (OU). Napríklad, ak Klient siete Microsoft: digitálne podpisovanie pri komunikácii (ak server súhlasí) politika je nakonfigurovaná ako "nie"v definovaná politika zabezpečenia radiča domény, ale táto rovnaké politika je nakonfigurovaná ako vypnutá v politika zabezpečenia domény, podpisovanie blokov SMB bude vypnutá pre službu Pracovná stanica.

Krok 8 - skontrolovať SMB podpise nastavenia politiky pomocou modulu Výsledná sada politík (RSoP)
Ak sa hodnoty databázy registry zmenili po spustení nástroja skupinovej politiky aktualizácia, skontrolujte SMB podpise nastavenia politiky pomocou modulu RSoP v systéme Windows Server 2003. To chcete urobiť, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, kliknite na tlačidlo Spustiť, typu RSoP.msc v Otvorené a potom kliknite na ok.
  2. V Zásuvnému modulu, SMB podpisový nastavenia sa nachádzajú na nasledujúcej ceste:
    Počítač Configuration/Windows nastavenia a zabezpečenia nastavenia a miestna politika/možnosti zabezpečenia
    Poznámka Ak používate systém Windows 2000 Server, nainštalujte pomôcku skupinovej politiky aktualizácie z Windows 2000 Server Resource Kit a do príkazového riadka zadajte nasledujúce:
    gpresult scope počítač /v
  3. Po spustení tohto príkazu Aplikovaná objekty skupinovej politikyZobrazí zoznam. Tento zoznam zobrazuje všetky objekty skupinovej politiky, ktoré sú použité na konte počítača. Skontrolujte SMB podpise nastavenie politiky pre všetky tieto objekty politiky skupiny.
Ďalšie zdroje
Toto správanie sa prejavuje, ak SMB podpisový nastavenia pre službu Pracovná stanica a služba Server navzájom odporujú. Budeš konfigurovať radič domény v tomto smere, službu Pracovná stanica na radiči domény nemôže pripojiť na radič domény Sysvol podiel. Z tohto dôvodu nie je možné spustiť modulov skupinovej politiky. Tiež ak SMB podpisový politiky sú nastavené politika zabezpečenia radiča domény predvolené, tento problém ovplyvňuje všetky radiče domény v sieti. Preto sa nepodarí replikáciu skupinovej politiky v adresárovej službe Active Directory a nebude možné na úpravu skupinovej politiky vrátiť tieto nastavenia.

Scenár č.1 - Ak spustíte domény radič diagnostický nástroj (DcDiag.exe), dostanete chyby, ktoré sú podobné pre Windows 2000 Sever a pre systém Windows Server 2003:

Starting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 5: Access is denied.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicated Starting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied........................... SERVERNAME failed test frssysvolStarting test: frsevent ......................... SERVERNAME failed test frsevent Starting test: kcceventFailed to enumerate event log records, error Access is denied. ......................... SERVERNAME failed test kccevent Starting test: systemlogFailed to enumerate event log records, error Access is denied.......................... SERVERNAME failed test systemlog
Scenár č.2 - Ak spustíte domény radič diagnostický nástroj, dostanete chyby, ktoré sú podobné pre systém Windows 2000 Server a Windows Server 2003:

Testing server: Default-First-Site-Name\SERVERNAMEStarting test: Replications......................... SERVERNAME passed test ReplicationsStarting test: NCSecDesc......................... SERVERNAME passed test NCSecDescStarting test: NetLogons[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test NetLogonsStarting test: Advertising......................... SERVERNAME passed test AdvertisingStarting test: KnowsOfRoleHolders......................... SERVERNAME passed test KnowsOfRoleHoldersStarting test: RidManager......................... SERVERNAME passed test RidManagerStarting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicatedStarting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test frssysvolStarting test: frsevent......................... SERVERNAME failed test frseventStarting test: kcceventFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kcceventStarting test: systemlogFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 839499 – Posledná kontrola: 04/23/2012 22:21:00 – Revízia: 1.0

Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbsmbportal kbmt KB839499 KbMtsk
Pripomienky