你目前正处于脱机状态,正在等待 Internet 重新连接

在 Windows XP 中,运行于特定帐户下的计划任务无法访问共享网络资源

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

症状
在基于 Microsoft Windows XP 的计算机上,运行于特定帐户下的计划任务无法访问共享网络资源。如果满足以下条件,就会出现此症状:
  • 特定帐户具有使用智能卡打开的交互会话。尤其是用户使用个人标识号 (PIN) 而不是使用密码打开交互会话。
  • Kerberos 票证 (TGT) 已过期。
计划任务无法访问共享网络资源后,应用程序事件日志中可能记录类似于以下的事件:
类型: 警告
来源: LSASRV
类别: SPNEGO (Negotiator)
事件 ID: 40960
日期: 5/19/2004
时间: 9:25:51 AM
用户: N/A
计算机: DEVXPVMWARE
描述:
安全系统检测到一个试图对服务器 cifs/secur012.SECURDOM2.com 进行的降级攻击。来自身份验证协议 Kerberos 的失败代码为“没有向智能卡提供 PIN (0xc0000382)”。
原因
任务计划程序服务使用特定帐户运行作业时,该任务计划程序服务尝试确定此帐户是否同时为当前登录用户的帐户。如果该帐户属于当前登录的用户,则计划任务的安全上下文将被映射到该用户的安全上下文。此进程将计划作业指定到该用户的桌面。

另外,如果计划任务用户帐户为当前登录用户的帐户,并且如果该用户使用智能卡登录,则由计划任务进行的网络访问尝试可能失败。如果 TGT 票证已过期,则会发生此网络访问失败。在这种情况下,TGT 更新进程失败。由于安全上下文访问者通过智能卡登录,因此 TGT 更新进程需要该用户提供 PIN。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
323931如果长时间使用智能卡登录,则用户标记过期
注意:假定 TGT 更新进程失败的原因是用户没有键入 PIN。在这种情况下,即使使用了简单和保护 GSS-API 协商 (SPNEGO) 安全包,也不使用 NTLM 身份验证协议。有关 SPNEGO 的更多信息,请访问下面的 IETF 网站:.
解决方案
Microsoft 目前提供了一个受支持的修补程序。但是,此修补程序仅用于修复本文所述的问题。请仅将此修补程序应用于出现这一特定问题的系统。此修补程序可能还会接受进一步的测试。因此,如果这个问题没有给您造成严重的影响,我们建议您等待包含此修补程序的下一个 Service Pack。

要解决此问题,请向 Microsoft 在线客户服务提交请求以获取该修补程序。要提交联机请求以获取该修补程序,请访问下面的 Microsoft 网站:注意:如果发生其他问题或需要进行任何疑难解答,则您可能需要创建单独的服务请求。对于此特定修补程序无法解决的其他支持问题和事项,将照常收取支持费用。要创建单独的服务请求,请访问下面的 Microsoft 网站:

先决条件

无先决条件。

重新启动要求

应用此修补程序后,必须重新启动计算机。

修补程序替代信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时,相应的时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具中的“时区”选项卡。
Windows XP Service Pack 1 (SP1)
日期         时间   版本              大小     文件名--------------------------------------------------------------30-Apr-2005  01:43  5.1.2600.1677     258,560  Mstask.dll       29-Apr-2005  23:40  5.1.2600.1677      10,752  Mstinit.exe      30-Apr-2005  01:43  5.1.2600.1677     173,568  Schedsvc.dll     29-Apr-2005  23:47  5.1.2600.1677     594,432  Xpsp2res.dll 
Windows XP Service Pack 2 (SP2)
日期         时间   版本              大小     文件名--------------------------------------------------------------30-Apr-2005  01:07  5.1.2600.2667     192,000  Schedsvc.dll     
此修补程序创建以下新注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\SchedulingAgent\DisableUSeOfTokenFromSession
此子项使您能够禁用下面两项之间的相关性:
  • 任务计划程序安全上下文,其中的安全主体由密码指定
  • 与现有用户会话相关的安全上下文,其中的安全主体由智能卡和 PIN 指定
要启用该修补程序,请将 DisableUSeOfTokenFromSession 注册表项的值设置为“1”。
注意:Windows XP Service Pack 2 (SP2) 中新的 UseOfSessionTokenDisabled 注册表项和“仅在登录后运行”选项互相排斥,不应同时使用。
状态
Microsoft 已经确认这是在“这篇文章的信息适用于:”部分中列出的 Microsoft 产品中存在的问题。
refresh
属性

文章 ID:887572 - 上次审阅时间:09/07/2007 13:29:00 - 修订版本: 2.0

Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition

  • kbbug kbfix kbqfe kbpubtypekc kbhotfixserver KB887572
反馈