“从网络访问此计算机”用户权限导致有些工具无法运行

本文已归档。它按“原样”提供,并且不再更新。
症状
在域控制器上,将 Everyone 组从“从网络访问此计算机”用户权限中删除,而不使用适当的用户或组帐户替换它,可能会导致有些工具无法运行。由于这些工具无法运行,因此很难诊断和解决问题。

当您尝试使用“Active Directory 用户和计算机”或“Active Directory 站点和服务”时,将显示以下错误信息:
Naming information cannot be located because:
Logon attempt failed.
Contact your system administrator to verify that your domain is properly configured and is currently online.
当您尝试使用“Active Directory 域和信任关系”时,将显示以下错误信息:
The configuration information describing this enterprise is not available.The logon attempt failed.
当您添加“组策略对象”管理单元并单击另一台计算机时,将显示以下错误信息:
Cannot display objects from this location because of the following error:
Logon failure:unknown user name or bad password.
当您单击 DNS 管理器时,将显示以下错误信息:
Cannot contact the DNS Server.
当您启动许可证管理器时,将显示以下错误信息:
To open Licensing, you must be an administrator of the domain on which license information is stored for your network.If you are the server's administrator, use the Licensing option in Control Panel to manage Licensing on this server.
当您尝试运行 Dcdiag 时,将显示以下错误信息:
Error:The machine could not attach to the DC because the credentials were incorrect.Check your credentials or specify credentials with /u:domain\user and /p:password
当您使用 Netdiag 时,将显示以下错误信息:
DNS Test:Failed DC list test:Failed
当您尝试使用 Replmon 时,不显示域控制器,并且在您单击“Synchronize Each Directory Partition With All Servers”(同步所有服务器的各个目录分区)时,将显示以下错误信息:
The synchronization of the directory partition (CN=Schema,CN=Configuration,DC=domain,DC=com) failed.This may be because you have insufficient credentials.
当您尝试使用 Ldp 工具连接并绑定到服务器时,将显示以下错误信息:
Failed to bind:Invalid credentials.
当您尝试使用 Repadmin 时,将显示以下错误信息:
LDAP error 49 (Invalid Credentials)
当您运行 Dsacls 时,将显示以下错误信息:
The command failed to complete successfully
原因
本地登录的管理员没有“从网络访问此计算机”的用户权限。本文“症状”一节中列出的所有工具都使用网络 API 调用来运行;它们之所以无法运行就是因为它们试图从网络访问计算机。
解决方案
要解决此问题,请编辑 Gpttmpl.inf 文件,以便在域控制器上为适当的用户授予“从网络访问此计算机”的用户权限:
  1. 在实现有问题的用户权限的策略中找到并打开 Gpttmpl.inf 文件。该文件位于以下文件夹中:
    F:\Winnt\Sysvol\Sysvol\域名\Policies\{GUID}\MACHINE\Microsoft\Windows NT\Secedit
  2. 复制 SeInteractiveLogonRight= 后的全部内容。
  3. 将复制的文本粘贴到以下位置:SeNetworkLogonRight=。

    注意:请检查 SeDenyNetworkLogonRight= 条目。您可能需要删除 SeDenyNetworkLogonRight= 条目后的所有条目。
  4. 保存更改并关闭该文件。
  5. 在以下文件夹中找到并打开 Gpt.ini 文件:
    F:\Winnt\Sysvol\Sysvol\域名\Policies\{GUID}
  6. 将版本号提高为更大的值。
  7. 保存并关闭文件。
  8. 有关如何强制应用组策略的信息,请查看以下 Microsoft 知识库文章:
    227448 使用 Secedit.exe 强制重新应用组策略
  9. 重新应用组策略后,使用组策略编辑器来相应地设置用户权限。“从网络访问此计算机”用户权限的默认组包括 Administrators、Enterprise Domain Controllers 和 Everyone。
状态
Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。
更多信息
如果计算机帐户没有“从网络访问此计算机”用户权限,将无法进行复制。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
249261 升级到 Windows 2000 后无法复制
此外,如果 Everyone 组没有“从网络访问此计算机”权限,用户将无法登录到域。如果要删除 Everyone 组,应使用 Authenticated Users、Enterprise Domain Controllers、System 或 Administrators 来替换它。
属性

文章 ID:257346 - 上次审阅时间:12/05/2015 19:07:16 - 修订版本: 3.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kberrmsg kbenv kbprb KB257346
反馈