您目前已離線,請等候您的網際網路重新連線

您無法開啟檔案共用 」 或 「 群組原則] 嵌入式管理單元在網域控制站

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:839499
結論
您無法開啟檔案共用 」 或 「 群組原則] 嵌入式管理單元在 Windows Server 2003 網域控制站上或在 Windows 2000 Server 的網域控制站。當您登入在本機網域控制站,然後試著開啟的網域控制站上的共用時,會收到重複的密碼提示出現時,並且無法開啟共用資料夾。您可以藉由變更登錄來解決這個問題。


警告 如果您不當修改登錄使用登錄編輯程式或使用另一種方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 不保證可以獲得解決這些問題。修改登錄,自行承擔風險。

徵狀
案例 1 – 伺服器訊息區 (SMB) 簽章已停用 「 工作站 」 服務在網域控制站,但 SMB 簽章都需要同一個網域控制站上的伺服器服務

Windows 2003 Server
當您嘗試開啟 [群組原則] 嵌入式管理單元在網域控制站上時,您會收到類似下列的錯誤訊息:
您沒有權限才能執行這項作業。存取被拒。
網域控制站記錄下列事件的應用程式事件日誌中每隔五分鐘:

事件類型: 錯誤
事件來源: Userenv
事件類別: 無
事件識別碼: 1058年
使用者: NT AUTHORITY\SYSTEM
描述:
Windows 無法存取檔案 gpt.ini 的 GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9},CN = 原則,CN = 系統,DC =Domain_Name,DC = com。檔案的位置必須要有<> Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >。(拒絕存取)。群組原則處理已中止。

事件類型: 錯誤
事件來源: Userenv
事件類別: 無
事件識別碼: 1030年
使用者: NT AUTHORITY\SYSTEM
描述:
Windows 無法查詢群組原則] 物件清單。請檢查事件日誌以取得可能的訊息,告訴您,其原因原則引擎記錄。

當您登入在本機網域控制站,然後試著開啟的網域控制站上的共用時,會收到重複的密碼提示出現時,並且無法開啟共用資料夾。



Windows 2000 Server
當您嘗試開啟 [群組原則] 嵌入式管理單元在網域控制站上時,您會收到類似下列的錯誤訊息:
您沒有權限才能執行這項作業。

存取被拒。
網域控制站會記錄下列事件的應用程式事件日誌中:

事件類型: 錯誤
事件來源: Userenv
事件類別: 無
Br / > 使用者: NT AUTHORITY\SYSTEM
描述:
Windows 無法存取的登錄資訊 \\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol (5)。



當您登入在本機網域控制站,然後試著開啟的網域控制站上的共用時,會收到重複的密碼提示出現時,並且無法開啟共用資料夾。
案例 2-網域控制站上的伺服器服務已停用 SMB 簽章,但 SMB 簽章,才能在同一個網域控制站上的 「 工作站 」 服務

Windows 2003 Server
無法開啟 [群組原則] 物件。您可能沒有足夠的權限。

帳戶沒有權限從這個工作站登入。
網路追蹤,如果啟用,且需要在用戶端 SMB 簽章中並且已停用在伺服器上,該 TCP 工作階段的連線正常關閉之後方言交涉過程中,並在用戶端會收到下列錯誤:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
網域控制站記錄下列事件的應用程式事件日誌中每隔五分鐘:

事件類型: 錯誤
事件來源: Userenv
事件類別: 無
事件識別碼: 1058年
使用者: NT AUTHORITY\SYSTEM
描述:
Windows 無法存取檔案 gpt.ini 的 GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9},CN = 原則,CN = 系統,DC =Domain_Name,DC = com。檔案的位置必須要有<> Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >。(拒絕存取)。群組原則處理已中止。

事件類型: 錯誤
事件來源: Userenv
事件類別: 無
事件識別碼: 1030年
使用者: NT AUTHORITY\SYSTEM
描述:
Windows 無法查詢群組原則] 物件清單。請檢查事件日誌以取得可能的訊息,告訴您,其原因原則引擎記錄。

當您登入在本機網域控制站,然後再次嘗試開啟的網域控制站上的檔案共用時,您收到錯誤訊息,下列 resmbles:
\\Server_Name\Share_Name ,所以無法存取。您可能沒有使用此網路資源的權限。請連絡此伺服器的系統管理員,了解是否您有存取權限。

帳戶沒有權限從這個工作站登入。

附註在 [網路追蹤,如果啟用了 SMB 簽章,而且如果 SMB 簽章必須在用戶端,並在伺服器上,停用該 TCP 工作階段的連線依正常程序關閉之後方言交涉。此外,在用戶端會收到下列錯誤訊息:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)


Windows 2000 Server
當您嘗試開啟 [群組原則] 嵌入式管理單元在網域控制站上時,您會收到類似下列的錯誤訊息:
無法開啟 [群組原則] 物件。您可能沒有足夠的權限。

帳戶沒有權限從這個工作站登入。
網域控制站會記錄下列事件的應用程式事件日誌中:

事件類型: 錯誤
事件來源: Userenv
事件類別: 無
事件識別碼: 1000年
Br / > 使用者: NT AUTHORITY\SYSTEM
描述:
Windows 無法存取的登錄資訊 \\ (1240) 與Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol。

當您登入在本機網域控制站,然後再次嘗試開啟的網域控制站上的檔案共用時,您會收到類似下列的錯誤訊息:
\\Server_Name\Share_Name ,所以無法存取。

帳戶沒有權限從這個工作站登入。


附註
網路追蹤,如果啟用了 SMB 簽章,而且如果需要在用戶端 SMB 簽章,而停用該伺服器之後方言交涉, 慢慢地關閉該 TCP 工作階段的連線中。此外,在用戶端會收到下列錯誤訊息:
1240 (ERROR_LOGIN_WKSTA_RESTRICTION)
解決方案
如果要解決這個問題,請依照下列步驟執行:

重要事項這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請參閱 如何備份及還原 Windows XP 中的登錄.

步驟 1-變更登錄
正值使 enablesecuritysignature 登錄項目。執行這項操作,請依照下列步驟執行:
  1. 在網域控制站中,按一下 啟動然後按一下執行.
  2. 複本,然後貼上 (或輸入) 下列命令在 [開啟] 方塊中,然後按 Enter。
    regedit

  3. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  4. 在右窗格中,按兩下 enablesecuritysignature型別 1數值資料 方塊中,然後再按一下 [確定].
  5. 連按兩下 requiresecuritysignature型別 1數值資料 方塊中,然後再按一下 [確定].
  6. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  7. 在右窗格中,按兩下 enablesecuritysignature型別 1數值資料 方塊中,然後再按一下 [確定].
  8. 連按兩下 requiresecuritysignature型別 0數值資料 方塊中,然後再按一下 [確定].


步驟 2-重新啟動伺服器服務,「 工作站 」 服務
在變更登錄值之後,重新啟動伺服器服務,「 工作站 」 服務。

重要事項因為此巨集指令可能會造成 [群組原則 」 來變更登錄值回先前的值,請不要重新啟動網域控制站。

要重新啟動伺服器服務,「 工作站 」 服務,請依照下列步驟執行:
  1. 按一下 啟動指向 系統管理工具然後按一下 服務.
  2. 以滑鼠右鍵按一下 伺服器然後按一下 重新啟動.
  3. 以滑鼠右鍵按一下 工作站然後按一下 重新啟動.

    附註如果提示您重新啟動其他服務時,請按一下 [是]。


步驟 3-更新 Sysvol 共用
更新網域控制站的 Sysvol 共用。執行這項操作,請依照下列步驟執行:
  1. 開啟 [網域控制站的 Sysvol 共用]。若要這樣做,請按一下 啟動按一下 執行型別 \\管理員\Sysvol開啟 方塊中,然後按 Enter 鍵。
  2. 如果 Sysvol 共用並未開啟,重複執行步驟 1-變更登錄步驟 2-重新啟動伺服器和工作站服務
  3. 若要確保每個網域控制站可以存取它自己的 Sysvol 共用的每個受影響的網域控制站上,重複執行步驟 1-變更登錄步驟 2-重新啟動伺服器和工作站服務


步驟 4-設定 SMB 的原則設定
您連線到在 Sysvol 共用上每個網域控制站之後,請開啟 [網域控制站安全性原則] 嵌入式管理單元,並設定相對的 SMB 簽章原則設定。執行這項操作,請依照下列步驟執行:
  1. 按一下 啟動指向 程式指向 系統管理工具然後按一下 網域控制站安全性原則.
  2. 在左窗格中,展開 本機原則然後按一下 安全性選項.
  3. 在右窗格中,按兩下 Microsoft 網路伺服器: 數位簽章通訊 (自動).

    附註在 Windows 2000 Server 中,是對等的原則設定 數位簽章伺服器的通訊 (自動).

    重要如果您有不支援 SMB 簽章的用戶端電腦在網路上,您必須啟用 Microsoft 網路伺服器: 數位簽章通訊 (自動)原則設定。如果您啟用這個設定,您必須要有 SMB 簽章的所有用戶端的通訊,並不支援 SMB 簽章的用戶端電腦將無法連線到其他電腦。比方說,蘋果 Macintosh OS X 或 Microsoft Windows 95 中執行的用戶端不支援 SMB 簽章。如果您的網路包含不支援 SMB 簽章的用戶端,設定這個原則為停用。
  4. 按一下以選取 定義這個原則設定 核取方塊,請按一下 啟用然後按一下 [確定].
  5. 連按兩下 Microsoft 網路伺服器: 數位簽章通訊 (如果用戶端同意).

    附註如果是 Windows 2000 Server 中,對等的原則設定是 數位簽章伺服器的通訊 (自動).
  6. 按一下以選取 定義這個原則設定 核取方塊,然後再按一下 啟用.
  7. 按一下 [確定].
  8. 連按兩下 Microsoft 網路用戶端: 數位簽章通訊 (自動).
  9. 按一下以清除 定義這個原則設定 核取方塊,然後再按一下 [確定].
  10. 連按兩下 Microsoft 網路用戶端: 數位簽章通訊 (如果伺服器同意).
  11. 按一下以清除 定義這個原則設定 核取方塊,然後再按一下 [確定].


步驟 5-執行群組原則更新公用程式
強制參數來執行群組原則更新公用程式 (Gpupdate.exe)。執行這項操作,請依照下列步驟執行:
  1. 按一下 啟動然後按一下執行.
  2. 複製和貼上 (或輸入) 下列命令在 [開啟] 方塊中,然後按 Enter。
    cmd

  3. 在命令提示字元中,輸入 gpupdate /force然後按 Enter 鍵。
如需有關 「 群組原則更新 」 公用程式的詳細資訊,請參閱 描述 「 群組原則更新公用程式 」。

附註[群組原則更新公用程式在 Windows 2000 Server 中不存在。在 Windows 2000 Server 中,是同等的指令secedit /refreshpolicy machine_policy / 強制執行

如需有關如何使用 Secedit 命令在 Windows 2000 Server 中的詳細資訊,請參閱若要立即強制群組原則重新整理使用 SECEDIT.

步驟 6-請檢查應用程式事件記錄檔
執行群組原則更新公用程式之後,請檢查應用程式事件日誌,以確定 「 群組原則 」 設定已經更新成功。成功的 「 群組原則 」 更新之後, 的網域控制站會記錄事件 ID 1704。若要開啟事件檢視器中的應用程式記錄檔,請依照下列步驟執行:
  1. 按一下 啟動指向 系統管理工具然後按一下 事件檢視器].
  2. 在左窗格中,按一下 應用程式.
  3. 按兩下 [事件識別碼 1704年,確認已成功套用群組原則設定。

    附註事件的來源是 SceCli。


步驟 7-請檢查登錄值
請檢查您在步驟 1-變更登錄,以確定已不會變更登錄值中所變更的登錄值。

附註這個步驟可確保有衝突的原則設定不會套用於 「 另一個群組或組織單位 (OU) 層級項目。比方說,如果Microsoft 網路用戶端: 數位簽章通訊 (如果伺服器同意)原則已被設定為 「 尚未定義 」 在網域控制站安全性原則,但這個相同的原則設定為網域安全性原則中停用,SMB 簽章會被停用 「 工作站 」 服務。

步驟 8-請檢查的 SMB 簽章原則設定,藉由使用 [原則結果組 (RSoP) 嵌入式管理單元
如果執行群組原則更新公用程式之後,已經變更的登錄值,請檢查的 SMB 簽章原則設定,Windows Server 2003 中使用 RSoP 嵌入式管理單元。執行這項操作,請依照下列步驟執行:
  1. 按一下 啟動按一下 執行型別 rsop.msc開啟 方塊中,然後再按一下 [確定].
  2. RSoP 嵌入式管理單元中 SMB 簽章設定位於下列路徑:
    電腦設定/Windows 安全性設定/設定/本機原則/安全性選項
    附註如果您執行 Windows 2000 Server,從 「 Windows 2000 伺服器資源工具箱 」,安裝 「 群組原則更新 」 公用程式,並在命令提示字元中輸入下列:
    gpresult /scope 電腦 /v
  3. 在您執行這項指令之後, 套用的群組原則] 物件清單會出現。此清單顯示所有群組原則] 物件,可套用至電腦帳戶。請檢查的 SMB 簽章原則設定,這些群組原則物件。
其他資源
如果 SMB 簽章設定為 「 工作站 」 服務及 「 伺服器 」 服務與不符彼此,就會發生這個問題。當您以這種方式設定網域控制站時,網域控制站上的 「 工作站 」 服務無法連線到網域控制站的 Sysvol 共用中。因此,您無法啟動 [群組原則] 嵌入式管理單元。此外,如果 SMB 簽章原則已設定的預設網域控制站安全性原則,問題會影響在網路上的所有網域控制站。因此,Active Directory 目錄服務中的 [群組原則複寫將會失敗,而且您不能編輯群組原則 」 來復原這些設定。

案例 1-如果您在執行網域控制站診斷工具 (DcDiag.exe),您會收到類似下列的 Windows 2000 伺服器,以及 Windows Server 2003 的錯誤:

Starting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 5: Access is denied.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicated Starting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied........................... SERVERNAME failed test frssysvolStarting test: frsevent ......................... SERVERNAME failed test frsevent Starting test: kcceventFailed to enumerate event log records, error Access is denied. ......................... SERVERNAME failed test kccevent Starting test: systemlogFailed to enumerate event log records, error Access is denied.......................... SERVERNAME failed test systemlog
案例 2-如果您在執行網域控制站診斷工具,您會收到類似下列的 Windows 2000 Server 和 Windows Server 2003 的錯誤:

Testing server: Default-First-Site-Name\SERVERNAMEStarting test: Replications......................... SERVERNAME passed test ReplicationsStarting test: NCSecDesc......................... SERVERNAME passed test NCSecDescStarting test: NetLogons[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test NetLogonsStarting test: Advertising......................... SERVERNAME passed test AdvertisingStarting test: KnowsOfRoleHolders......................... SERVERNAME passed test KnowsOfRoleHoldersStarting test: RidManager......................... SERVERNAME passed test RidManagerStarting test: MachineAccountCould not open pipe with [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.Could not get NetBIOSDomainNameFailed cannot test for HOST SPNFailed cannot test for HOST SPN* Missing SPN :(null)* Missing SPN :(null)......................... SERVERNAME failed test MachineAccountStarting test: ServicesCould not open Remote ipc to [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.......................... SERVERNAME failed test ServicesStarting test: ObjectsReplicated......................... SERVERNAME passed test ObjectsReplicatedStarting test: frssysvol[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station........................... SERVERNAME failed test frssysvolStarting test: frsevent......................... SERVERNAME failed test frseventStarting test: kcceventFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test kcceventStarting test: systemlogFailed to enumerate event log records, error The account is not authorized to log in from this station. ......................... SERVERNAME failed test systemlog

警告:本文為自動翻譯

內容

文章識別碼:839499 - 最後檢閱時間:07/16/2013 08:10:00 - 修訂: 3.1

Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbsmbportal kbmt KB839499 KbMtzh
意見反應