您目前已離線,請等候您的網際網路重新連線

Userenv 錯誤發生,而且您執行 Windows Server 2003、 Windows XP 中或 Windows 2000 的電腦套用群組原則之後,就會記錄事件

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:887303
結論
如果群組原則套用到您網路上的電腦,可能會遇到一或多個錯誤和事件。如果要判斷問題的原因,您必須解決網路上的電腦組態。請依照下列步驟來疑難排解問題的原因 ︰
  1. 請檢查 DNS 設定及網路伺服器和用戶端電腦上的內容。
  2. 檢查簽章用戶端電腦上的設定的伺服器訊息區。
  3. 請確定 TCP/IP NetBIOS 協助程式服務、 Net Logon 服務,以及遠端程序呼叫 (RPC) 服務啟動所有電腦上。
  4. 請確定已在所有電腦上啟用分散式檔案系統 (DFS)。
  5. 檢查內容和 Sysvol 資料夾的權限。
  6. 請確定,略過周遊檢查權限授與所需的群組。
  7. 請確定網域控制站不位於日誌自動換行狀態。
  8. 執行 dfsutil /purgemupcache 命令。
徵狀
您遇到一或多個正在執行 Microsoft Windows Server 2003、 Microsoft Windows XP 或 Microsoft Windows 2000 的電腦上的下列徵狀 ︰
  • 群組原則設定不會套用到 thecomputers。
  • 群組原則複寫不會完成網路上的 thedomain 控制站之間。
  • 您無法開啟群組原則嵌入式管理單元。例如,youcannot 會開啟 [網域控制站安全性原則] 嵌入式管理單元,或 DomainSecurity 原則] 嵌入式管理單元。
  • 如果您嘗試開啟群組原則] 嵌入式管理單元時,可能會收到下列錯誤訊息之一 ︰
    無法開啟群組原則物件。您可能沒有足夠的權限。
    詳細資料 ︰ Theaccount 沒有權限從這個工作站登入。
    您沒有執行這項作業的權限。
    詳細資料 ︰ 存取被拒。
    無法 openthe 群組原則物件。您可能沒有足夠的權限。
    詳細資料 ︰ 系統找不到指定的路徑。
  • 如果您嘗試存取任何網域控制站上的共用的檔案時,您會收到錯誤訊息。即使您登入伺服器,和您嘗試存取本機的共用,則會發生這個徵狀。具體來說,這種徵狀 mayaffect 存取網域控制站的 Sysvol 共用。
  • 如果您嘗試存取檔案共用,您會將密碼的 repeatedlyprompted。
  • 如果您嘗試存取檔案共用,您會收到類似下列的錯誤訊息 errormessage:
    \\Server_Name\Share_Name無法存取。您可能沒有使用此網路資源的權限。請連絡此伺服器的管理員,以找出是否有 accesspermissions。
    帳戶沒有從這個工作站登入的權限。
    \\Server_Name\Share_Name無法存取。
    帳戶沒有權限登入,從 thisstation。
    找不到網路路徑。
如果您是在 Windows XP 或 Windows Server 2003 上的 [事件檢視器中檢視應用程式記錄檔,您會看到類似下列的事件的事件 ︰
事件類型 ︰ 錯誤
事件來源 ︰ Userenv
事件類別 ︰ 無
事件識別碼 ︰ 1058
日期 ︰ 日期
時間 ︰ 時間
使用者 ︰ 使用者名稱
電腦 ︰ 電腦名稱
描述 ︰ Windows 無法存取檔案 gpt.ini GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9},CN = 原則,CN = 系統,DC =網域名稱DC = com。檔案必須存在的位置<>網域名稱.com\sysvol\網域名稱.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini >。(Error_Message).群組原則處理已中止。如需詳細資訊,請參閱說明及支援中心在 http://support.microsoft.com。
在出現的錯誤訊息 Error_Message 在事件識別碼 1058年的版面配置區,也可能是任何下列的錯誤訊息 ︰
  • 找不到網路路徑。
  • 存取遭拒。
  • 設定資訊無法 notbe 讀取的網域控制站,可能是機器無法使用,或存取被拒。
事件類型 ︰ 錯誤
事件來源 ︰ Userenv
事件類別 ︰ 無
事件識別碼 ︰ 1030年
日期 ︰ 日期
時間 ︰ 時間
使用者 ︰ 使用者名稱
電腦 ︰ 電腦名稱
描述 ︰ Windows 無法查詢群組原則] 物件清單。描述其原因的訊息已被原則引擎記錄。如需詳細資訊,請參閱說明及支援中心在 http://support.microsoft.com。
一般而言,如果發生事件識別碼 1058年 」 和 「 事件識別碼 1030年,它們會記錄的用戶端電腦和成員伺服器在電腦啟動時。網域控制站會記錄這些事件每隔五分鐘。

如果您在事件檢視器中檢視應用程式記錄檔,在 Windows 2000 為基礎的電腦上,您會看到類似下列的事件的事件 ︰
事件類型 ︰ 錯誤
事件來源 ︰ Userenv
事件類別 ︰ 無
事件識別碼: 1000
日期 ︰ 日期
時間 ︰ 時間
使用者 ︰ NT AUTHORITY\SYSTEM
電腦 ︰ 電腦名稱
描述 ︰ Windows 無法存取的登錄資訊 \\網域名稱.com\sysvol\網域名稱以 (.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol錯誤碼).
在出現的錯誤程式碼 錯誤碼 版面配置區中事件識別碼 1000年,也可能是任何的下列的錯誤代碼 ︰
  • 5
  • 51
  • 53
  • 位置在 1231
  • 1240
  • 1722
發生的原因
如果在網路上的電腦無法連線至特定的群組原則物件,就會發生這些問題。具體來說,這些物件是在您的網路網域控制站的 Sysvol 資料夾中。
解決方案
重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄


若要解決這個問題,您必須疑難排解縮小造成問題,您網路的設定,並再修正設定。如果要疑難排解這個問題的可能的原因,請依照下列步驟執行 ︰

步驟一 ︰ 檢查 DNS 設定,並在網路伺服器和用戶端電腦上的內容

在本機區域連線內容中,則必須啟用所有的伺服器和用戶端電腦上的 Microsoft 網路用戶端。必須在所有網域控制站上啟用檔案及印表機共用 Microsoft 網路元件。

此外,在網路上的每一部電腦必須使用 SRV 記錄及 Active Directory 樹系的電腦是成員的位置的主機名稱可以解析的 DNS 伺服器。一般而言,常見的組態錯誤,就是用戶端電腦無法使用屬於您的網際網路服務提供者 (ISP) 的 DNS 伺服器。

所有電腦上登 Userenv 錯誤,請檢查 DNS 設定及網路內容。此外,檢查所有的網域控制站,這些設定,在登入時 Userenv 錯誤。

若要確認 DNS 設定及網路中的 Windows xp 電腦上的網路內容,請依照下列步驟執行 ︰
  1. 按一下 [開始],然後按一下 [控制台]
  2. 如果 [控制台] 設定到類別目錄檢視,請按一下 [切換到傳統檢視]。
  3. 按兩下 [網路連線,以滑鼠右鍵按一下 [區域連線],然後按一下內容
  4. 在 [一般] 索引標籤中,按一下以選取Microsoft 網路用戶端] 核取方塊。
  5. 按一下 [網際網路通訊協定 (TCP/IP),然後按一下 [內容
  6. 如果選取 [使用下列的 DNS 伺服器位址],請確認是否為慣用的 IP 位址和 alternateDNS 伺服器可以解析 Active Directory 中的 SRV recordsand 主機名稱的 DNS 伺服器的 IP 位址。明確地說,電腦必須使用屬於您的 ISP 的 theDNS 伺服器。如果 DNS 伺服器位址是 notcorrect,請在 [慣用 DNS 伺服器其他 DNS 伺服器] 方塊中輸入正確的 DNS 伺服器的 IP 位址。
  7. 按一下 [進階],然後按一下 [DNS ] 索引標籤。
  8. 按一下以選取註冊此 connection'saddresses,在 DNS 中的] 核取方塊,然後再按[確定] threetimes。
  9. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd然後按一下[確定]
  10. 型別 ipconfig /flushdns並 thenpress ENTER。型別 ipconfig /registerdns然後再 pressENTER。
  11. 重新啟動電腦,讓您對 takeeffect 的變更。
若要確認 DNS 設定及網路中的 Windows 2000 電腦上的網路內容,請依照下列步驟執行 ︰
  1. 按一下 [開始],指向 [設定],然後按一下[控制台]
  2. 按兩下 [網路和撥接上網
  3. 以滑鼠右鍵按一下區域連線,然後按一下 [內容]。
  4. 在 [一般] 索引標籤中,按一下以選取Microsoft 網路用戶端] 核取方塊。
  5. 如果電腦是網域控制站,請按一下以選取 [檔案及印表機共用的 Microsoft 網路] 核取方塊。

    注意在多重主目錄的遠端存取伺服器及 Microsoft InternetSecurity 和加速 (ISA) 伺服器為基礎的伺服器上,您可以停用 Microsoft 網路元件 Fileand 印表機共用的網路 adaptorthat 連線到網際網路。不過,您必須啟用用戶端上的針對 Microsoft Networkscomponent 的所有伺服器的網路介面卡。
  6. 按一下 [網際網路通訊協定 (TCP/IP),並接著屬性]。
  7. 如果選取 [使用下列的 DNS 伺服器位址],請確認是否為慣用的 IP 位址和 alternateDNS 伺服器可以解析 Active Directory 中的 SRV recordsand 主機名稱的 DNS 伺服器的 IP 位址。明確地說,電腦必須使用屬於您的 ISP 的 theDNS 伺服器。如果 DNS 伺服器位址是 notcorrect,請在 [慣用 DNS 伺服器其他 DNS 伺服器] 方塊中輸入正確的 DNS 伺服器的 IP 位址。
  8. 按一下 [進階],然後按一下 [DNS ] 索引標籤。
  9. 按一下以選取註冊此 connection'saddresses,在 DNS 中的] 核取方塊,然後再按[確定] threetimes。
  10. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd 在 [開啟] 方塊中,然後按一下[確定]
  11. 型別 ipconfig /flushdns並 thenpress ENTER。型別 ipconfig /registerdns然後再 pressENTER。
  12. 重新啟動電腦。
若要確認 DNS 設定及網路中的 Windows Server 2003 電腦上的網路內容,請依照下列步驟執行 ︰
  1. 按一下 [開始],指向[控制台]中,,然後按兩下 [網路連線
  2. 本機區域連線] 上按一下滑鼠右鍵,然後按一下 [內容
  3. 在 [一般] 索引標籤中,按一下以選取Microsoft 網路用戶端] 核取方塊。
  4. 如果電腦是網域控制站,請按一下以選取 [檔案及印表機共用的 Microsoft 網路] 核取方塊。

    注意在多重主目錄的遠端存取伺服器和 ISA 伺服器-basedservers 上,,您可以關閉檔案及印表機共用的 Microsoft Networkscomponent 連線到網際網路的網路介面卡。不過,所有的 theserver 網路介面卡必須啟用用戶端上的針對 Microsoft 網路元件。
  5. 按一下 [網際網路通訊協定 (TCP/IP),並接著屬性]。
  6. 如果選取 [使用下列的 DNS 伺服器位址],請確認是否為慣用的 IP 位址和 alternateDNS 伺服器可以解析 Active Directory 中的 SRV recordsand 主機名稱的 DNS 伺服器的 IP 位址。明確地說,電腦必須使用屬於您的 ISP 的 theDNS 伺服器。如果 DNS 伺服器位址是 notcorrect,請在 [慣用 DNS 伺服器其他 DNS 伺服器] 方塊中輸入正確的 DNS 伺服器的 IP 位址。
  7. 按一下 [進階],然後按一下 [DNS ] 索引標籤。
  8. 按一下以選取註冊此 connection'saddresses,在 DNS 中的] 核取方塊,然後再按[確定] threetimes。
  9. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd然後按一下[確定]
  10. 型別 ipconfig /flushdns並 thenpress ENTER。型別 ipconfig /registerdns然後再 pressENTER。
  11. 重新啟動電腦,讓您對 takeeffect 的變更。
如果您的網路用戶端電腦設定為自動取得它們的 IP 位址,請確定電腦正在執行 DHCP 服務指派 SRV 記錄及 Active Directory 中的主機名稱可以解析的 DNS 伺服器的 IP 位址。

如果要判斷電腦使用 DNS 的哪些 IP 位址,請依照下列步驟執行 ︰
  1. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd 在 [開啟] 方塊中,然後按一下[確定]
  2. 型別 ipconfig/全部然後再 pressENTER。
  3. 請注意會列在 thescreen 的 DNS 項目。
如果設定成自動取得 IP 位址的電腦不使用正確的 DNS 伺服器,請檢視您的 DHCP 伺服器,如需有關如何設定 DNS 伺服器選項資訊的文件。此外,請確定每一部電腦可以解析網域的 IP 位址。若要這樣做,請鍵入 ping Your_Domain_Name.Your_Domain_Root 在命令提示字元],然後按 ENTER 鍵。或者,輸入 nslookup Your_Domain_Name.Your_Domain_Root然後按 ENTER 鍵。

注意預期的是,此主機名稱會解析為其中一個網路上的網域控制站的 IP 位址。如果電腦無法解析此名稱,或者該名稱解析為錯誤的 IP 位址,請確定網域的正向對應區域包含有效(與父資料夾相同)的主機 (A) 記錄。

若要確定網域的正向對應區域包含在 Windows 2000 為基礎的電腦上有效(和上層資料夾相同)的主機 (A) 記錄,請依照下列步驟執行 ︰
  1. 正在執行 DNS 的網域控制站,按一下 [開始],指向 [程式集、 指向 [系統管理工具] 中,,然後按一下 [ DNS
  2. 展開Your_Server_Name展開 [正向對應區域],然後按一下 [正向對應 zonefor 您的網域。
  3. 尋找(和上層資料夾相同)的主機 (A) 記錄。
  4. 如果(和上層資料夾相同)主機 (A) 記錄不存在,請遵循這些步驟來建立其中一個 ︰
    1. 按一下 [動作] 功能表的 [新主控件]。
    2. 在 [ IP 位址] 方塊中,輸入網域控制站的本機網路介面卡的 IP 位址。
    3. 按一下以選取 [建立關聯指標 (PTR) 記錄] 核取方塊,,,然後按一下 [新增主機
    4. 當您收到下列訊息時時,請按一下 []:
      (和上層資料夾相同)不是有效的主機名稱。確定您想要新增這筆記錄?
  5. 連按兩下(和上層資料夾相同)主機 (A) 記錄。
  6. 確認正確的 IP 位址列在 [IP 位址] 方塊中。
  7. 如果 IP 位址中有效的IP 位址] 方塊 isnot,在IP 位址] 方塊中,鍵入正確的 IP 位址,並再按一下 [確定]。
  8. 或者,您可以刪除(parentfolder 和相同)包含不正確的 IP 位址的主機 (A) 記錄。若要刪除(和上層資料夾相同)主機 (A) 記錄,請按一下滑鼠右鍵-,,然後按一下 [刪除
  9. 如果 DNS 伺服器是網域控制站,同時也是 aRouting 及遠端存取伺服器,請檢視下列的 Microsoft 知識 Basearticle:
    292822 名稱解析和連線的問題,在路由及遠端存取伺服器也執行 DNS 或 WINS
  10. 所有在電腦上,您可以在這裡新增、 刪除或修改 DNSrecords,輸入 ipconfig /flushdns 在命令提示字元],然後按 ENTER 鍵。
若要確定網域的正向對應區域包含有效(和上層資料夾相同)的 Windows Server 2003 電腦上的主機 (A) 記錄,請依照下列步驟執行 ︰
  1. 正在執行 DNS 的網域控制站,請按一下 [開始、 指向 [系統管理工具],然後按一下 [ DNS]
  2. 展開Your_Server_Name展開 [正向對應區域],然後按一下 [正向對應 zonefor 您的網域。
  3. 尋找(和上層資料夾相同) host (a) 記錄。
  4. 如果(和上層資料夾相同)主機 (A) 記錄不存在,請遵循這些步驟來建立其中一個 ︰
    1. 按一下 [執行] 功能表上的 [新主機 (A)]。
    2. 在 [ IP 位址] 方塊中,輸入網域控制站的本機網路介面卡的 IP 位址。
    3. 按一下以選取 [建立關聯指標 (PTR) 記錄] 核取方塊,,,然後按一下 [新增主機
    4. 當您收到下列訊息時時,請按一下 []:
      (和上層資料夾相同)不是有效的主機名稱。確定您想要新增這筆記錄?
  5. 連按兩下(和上層資料夾相同)主機 (A) 記錄。
  6. 確認正確的 IP 位址列在 [IP 位址] 方塊中。
  7. 如果 IP 位址是不正確的IP 位址boxis 中,在IP 位址] 方塊中,鍵入正確的 IP 位址,並再按一下[確定]
  8. 或者,您可以刪除(parentfolder 和相同)包含的是 notvalid 的 IP 位址的主機 (A) 記錄。若要刪除主機 (A) 記錄, (parentfolder 和相同),以滑鼠右鍵按一下,然後按一下 [刪除
  9. 如果 DNS 伺服器是網域控制站,同時也是 aRouting 及遠端存取伺服器,請檢視下列的 Microsoft 知識 Basearticle:
    292822 名稱解析和連線的問題,在路由及遠端存取伺服器也執行 DNS 或 WINS
  10. 所有在電腦上,您可以在這裡新增、 刪除或修改 DNSrecords,輸入 ipconfig /flushdns 在命令提示字元],然後按 ENTER 鍵。

步驟 2 ︰ 檢查簽章用戶端電腦和成員伺服器上的設定的伺服器訊息區

伺服器訊息區 (SMB) 簽章設定會定義網路上的電腦是否經過數位簽章的通訊。如果 SMB 簽章設定未正確設定,用戶端電腦或成員伺服器,可能無法連線到網域控制站。

例如,可能需要 SMB 簽章的網域控制站,但 SMB 簽章可能會停用用戶端電腦上。如果發生這個問題,就無法正確套用群組原則。因此,用戶端電腦登入應用程式記錄檔,使用者環境 (Userenv) 錯誤。
有時候,就可能會互相衝突的 SMB 簽章的伺服器服務,網域控制站上的 「 工作站 」 服務設定。

例如,SMB 簽章可能會停用的網域控制站的 [工作站] 服務,但 SMB 簽章是網域控制站的伺服器服務必要的。在這個案例中,您無法開啟一或多個網域控制站的本機檔案共用如果您登入伺服器。此外,您無法開啟群組原則嵌入式管理單元,如果您登入伺服器。 如需有關如何疑難排解網域控制站上的這個問題的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
839499 您當您停用 SMB 簽章的網域控制站上的工作站或伺服器的服務無法開啟檔案共用 」 或 「 群組原則嵌入式管理單元 」
如果群組原則錯誤只發生在用戶端電腦與成員伺服器上,或者如果您判斷知識庫文件 839499 不會套用您的情況,請繼續疑難排解問題。

根據預設,SMB 簽章已啟用,但不需要用戶端電腦和執行 Windows XP、 Windows 2000 或 Windows Server 2003 成員伺服器上的用戶端通訊。我們建議您使用的是預設的設定,因為用戶端電腦可以使用 SMB 簽章,它是可行的但仍將會與具有停用簽章的 SMB 伺服器通訊時。

若要設定用戶端電腦和成員伺服器,以便 SMB 簽章是啟用,但並非必要,您必須變更某些登錄項目的值。若要讓用戶端電腦上的登錄變更,請依照下列步驟執行 ︰
  1. 按一下 [開始],按一下 [執行] 型別 regedit 在 [開啟] 方塊中,並接著[確定]
  2. 展開下列登錄子機碼 ︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. 在右窗格中,enablesecuritysignature,以滑鼠右鍵按一下,然後按一下 [修改]
  4. 在 [數值資料] 方塊中,輸入0然後按一下[確定]
  5. 以滑鼠右鍵按一下requiresecuritysignature,然後按一下 [修改]。
  6. 在 [數值資料] 方塊中,輸入0然後按一下[確定]
  7. 展開下列登錄子機碼 ︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. 在右窗格中,enablesecuritysignature,以滑鼠右鍵按一下,然後按一下 [修改]
  9. 在 [數值資料] 方塊中,輸入1然後按一下[確定]
  10. 以滑鼠右鍵按一下requiresecuritysignature,然後按一下 [修改]。
  11. 在 [數值資料] 方塊中,輸入0然後按一下[確定]
在變更登錄值之後,重新啟動伺服器和工作站服務。因為這可能會造成 [群組原則的套用,而且群組原則設定可能會再次設定衝突的值,請不要重新啟動電腦。

變更登錄值後,當您重新啟動受影響的電腦伺服器和工作站服務時,請遵循下列步驟 ︰
  1. 檢視或多個 GPO 的群組原則設定的受影響的電腦帳戶的 thatapply。
  2. 請確定該 「 群組原則不會衝突 therequired 登錄設定。
  3. 使用群組原則物件編輯器來檢視 policysettings 在下列資料夾 ︰
    電腦設定/Windows 安全性設定/設定/本機原則/安全性選項
在電腦上正在執行 Windows Server 2003,SMB 簽章的群組原則設定會具有下列名稱 ︰
  • Microsoft 網路伺服器 ︰ 數位簽章 communications(always)
  • Microsoft 網路伺服器 ︰ 數位簽章通訊 (ifclient 同意)
  • Microsoft 網路用戶端 ︰ 數位簽章 communications(always)
  • Microsoft 網路用戶端 ︰ 數位簽章通訊 (ifserver 同意)
在電腦上正在執行 Windows 2000 Server,SMB 簽章的群組原則設定會具有下列名稱 ︰
  • 數位簽名伺服器的通訊 (自動)
  • 數位簽章伺服器的通訊 (自動)
  • 數位簽章用戶端的通訊 (自動)
  • 數位簽章用戶端的通訊 (自動)
一般而言,SMB 簽章的群組原則設定均設定為 「 尚未定義 」。如果您定義的 SMB 簽章的群組原則設定,請確定您了解如何設定可能會影響網路連線。 如需有關 SMB 簽章設定的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
823659 用戶端、 服務和程式不相容,當您修改安全性設定和使用者權限指派時,可能會發生
如果您變更正在執行 Windows 2000 Server 的網域控制站上的 GPO 設定,請遵循下列步驟 ︰
  1. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd 在 [開啟] 方塊中,然後按一下[確定]
  2. 型別 secedit /refreshpolicy machine_policy/強制執行然後按 ENTER 鍵。
  3. 重新啟動受影響的用戶端電腦。
  4. 重新檢查的 SMB 簽章中 theclient 電腦上的登錄值以確定,未變更意外。
如果您變更 GPO 設定,執行 Windows Server 2003 的網域控制站上,請依照下列步驟執行 ︰
  1. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd 在 [開啟] 方塊中,然後按一下[確定]
  2. 型別 gpupdate /force然後再 pressENTER。
  3. 重新啟動受影響的用戶端電腦。
  4. 重新檢查的 SMB 簽章中 theclient 電腦上的登錄值以確定,未變更意外。
如果用戶端電腦重新啟動之後,在登錄中的 SMB 簽章值意外變更,請使用下列方法之一來檢視套用的原則設定套用到用戶端電腦 ︰
  • 在 Windows xp 的電腦上,使用 「 結果組 ofPolicy MMC 嵌入式管理單元 (Rsop.msc)。如需有關結果組 ofPolicy 的詳細資訊,請造訪下列 Microsoft 「 原則結果組 」 網站 ︰
  • 在 Windows 2000 上使用 Gpresult.exe 命令列工具 toexamine 群組原則結果。若要執行這項操作,請參考下列步驟:
    1. 從 Windows 2000 資源套件安裝 Gpresult.exe。

      或者,您也可以從下列 Microsoft 「 Gpresult.exe:: 群組原則結果 」 網站下載 Gpresult.exe:
    2. 在命令提示字元中,輸入 gpresult /scope 電腦然後按 ENTER 鍵。
    3. 在輸出的 [套用群組原則物件] 區段中,記下適用於電腦帳戶的群組原則] 物件。
    4. 比較適用於具有的 SMB 簽章原則設定,這些群組原則] 物件的網域控制站上的電腦帳戶的群組原則] 物件。

步驟三 ︰ 確定 TCP/IP NetBIOS 協助程式服務已啟動所有電腦上

在網路上的所有電腦都必須都執行 TCP/IP NetBIOS 協助程式服務。

若要確認 TCP/IP NetBIOS 協助程式服務正在執行 Windows xp 的電腦上,請依照下列步驟執行 ︰
  1. 按一下 [開始],然後按一下 [控制台]
  2. 如果在類別目錄檢視,是控制台中,請按一下 [ Switchto 傳統檢視]。
  3. 按兩下 [系統管理工具]。
  4. 按兩下 [服務]。
  5. 在 [服務] 清單中,按一下 [TCP/IP NetBIOS 協助程式]。請確認在 [狀態] 欄下的值是啟動。請確認該值自動資料行是在 [啟動類型] 下。如果狀態] 或 [啟動類型值不正確,請依照下列步驟執行 ︰
    1. TCP/IP NetBIOS 協助程式,以滑鼠右鍵按一下,然後按一下 [內容
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域中,如果沒有啟動服務,按一下 [開始
    4. 按一下 [確定]
若要確認 TCP/IP NetBIOS 協助程式服務正在執行的 Windows Server 2003 電腦上,請依照下列步驟執行 ︰
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [服務
  2. 在 [服務] 清單中,按一下 [TCP/IP NetBIOS 協助程式]。請確認在 [狀態] 欄下的值是啟動。請確認該值自動資料行是在 [啟動類型] 下。如果狀態] 或 [啟動類型值不正確,請依照下列步驟執行 ︰
    1. TCP/IP NetBIOS 協助程式,以滑鼠右鍵按一下,然後按一下 [內容
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域中,如果沒有啟動服務,按一下 [開始
    4. 按一下 [確定]
若要確認 TCP/IP NetBIOS 協助程式服務正在執行 Windows 2000 為基礎的電腦上,請依照下列步驟執行 ︰
  1. 按一下 [開始],指向 [程式系統管理工具],然後按一下 [服務]。
  2. 在 [服務] 清單中,按一下TCP/IP NetBIOS 協助程式服務。請確認在 [狀態] 欄下的值是啟動。請確認該值自動資料行是在 [啟動類型] 下。如果狀態] 或 [啟動類型值不正確,請依照下列步驟執行 ︰
    1. TCP/IP NetBIOS 協助程式服務,以滑鼠右鍵按一下,然後按一下 [內容
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域中,如果沒有啟動服務,按一下 [開始
    4. 按一下 [確定]
此外,請確定您有不停用一或多個必要的系統服務使用群組原則] 物件。使用 「 電腦設定/Windows 安全性設定/設定/系統服務 」 資料夾中的 「 群組原則物件編輯器,以檢視這些原則設定。

在 Windows Server 2003 及 Windows XP,可以使用結果設定的原則 MMC 嵌入式管理單元 (Rsop.msc),若要檢查適用於電腦的所有套用的原則設定。若要執行這項操作,按一下 [開始],按一下 [執行時,型別 rsop.msc 在 [開啟] 方塊中,然後按一下[確定]

在 Windows 2000 上使用 Gpresult.exe 命令列工具來檢查群組原則結果。若要執行這項操作,請參考下列步驟:
  1. 從 Windows 2000 資源套件安裝 Gpresult.exe。

    或者,如果要下載 Gpresult.exe,請造訪 followingMicrosoft 「 Gpresult.exe:: 群組原則結果 」 網站 ︰
  2. 在命令提示字元中,輸入 gpresult /scopecomputer然後按 ENTER 鍵。
  3. 在輸出的 [套用群組原則物件] 區段中,記下適用於電腦帳戶的群組原則] 物件。
  4. 比較適用於電腦帳戶的 SMB 簽章原則設定,在網域 controllerfor 上的這些 [群組原則] 物件的 [群組原則] 物件。
注意如果 TCP/IP NetBIOS 協助程式服務已停用在幾部桌上型電腦上,您可以使用下列的範例 Microsoft Visual Basic 指令碼,在此同時,組織單位 (OU) 中的所有電腦上啟動 TCP/IP NetBIOS 協助程式服務。

Microsoft 會提供程式設計範例僅供說明,而不做任何明示或默示的保證。這包括,但不限於適售性或適合某特定用途之默示擔保責任。本文假設您已相當熟悉使用的我們所示範的程式設計語言以及建立和偵錯程序所使用的工具。Microsoft 技術支援工程師可以協助解釋特定程序中,功能,但它們不會修改這些範例以提供附加功能或建構程序來滿足您特定需求。
Set objDictionary = CreateObject("Scripting.Dictionary") i = 0 Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName, DC=OUName,DC=CompanyName, DC=com") objOU.Filter = Array("Computer") For Each objComputer In objOU         objDictionary.Add i, objComputer.CN         i = i + 1 Next For Each objItem In objDictionary         strComputer = objDictionary.Item(objItem)         Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")        Set colServices = objWMIService.ExecQuery _                 ("Select * from Win32_Service where Name = 'LmHosts'")         For Each objService In colServices                 If objService.StartMode = "Disabled" Then                         objService.Change( , , , , "Automatic")                 End If         Next Next 

步驟 4 ︰ 確定所有電腦上啟用了分散式檔案系統 (DFS)

因為 Sysvol 共用對於 DFS 磁碟區,所有網域控制站必須都執行分散式檔案系統服務。此外,必須在所有電腦的登錄中啟用 DFS 用戶端。

若要確定分散式檔案系統服務正在執行 Windows Server 2003 網域控制站上,請依照下列步驟執行 ︰
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [服務
  2. 在 [服務] 清單中,按一下 [分散式檔案系統服務]。確認值 underthe [狀態] 資料行是啟動的。請確認該值自動資料行是在 [啟動類型] 下。如果狀態] 或 [啟動類型值不正確,請依照下列步驟執行 ︰
    1. 分散式檔案系統,以滑鼠右鍵按一下,然後按一下 [內容
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域中,如果沒有啟動服務,按一下 [開始
    4. 按一下 [確定]
若要確定分散式檔案系統服務正在執行 Windows 2000 Server 為基礎的網域控制站上,請依照下列步驟執行 ︰
  1. 按一下 [開始],指向 [程式系統管理工具],然後按一下 [服務]。
  2. 在 [服務] 清單中,按一下 [分散式檔案系統服務]。確認值 underthe [狀態] 資料行是啟動的。請確認該值自動資料行是在 [啟動類型] 下。如果狀態] 或 [啟動類型值不正確,請依照下列步驟執行 ︰
    1. 分散式檔案系統,以滑鼠右鍵按一下,然後按一下 [內容
    2. 在 [啟動類型] 清單中,按一下 [自動]。
    3. 在 [服務狀態] 區域中,如果沒有啟動服務,按一下 [開始
    4. 按一下 [確定]
如需有關相關主題的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
834649 用戶端電腦時,記錄事件識別碼 1030年和事件識別碼 1058 DFS 不啟動 Windows 2000 為基礎的網域控制站
若要確定所有的用戶端電腦上的分散式檔案系統用戶端已啟用,請依照下列步驟執行 ︰
  1. 按一下 [開始],按一下 [執行] 型別 regedit 在 [開啟] 方塊中,並接著[確定]
  2. 展開下列子機碼 ︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. 按一下 [ Mup,,然後在右窗格中,搜尋會命名為DisableDFS的 DWORD 數值輸入項。
  4. 如果DisableDFS項目存在,而且資料值是1,請按兩下 [ DisableDFS]。Inthe數值資料] 方塊中,型別 0並接著[確定]。如果 DisableDFS 的數值資料已經是0,或DisableDFS項目不存在,請勿進行任何變更。
  5. 結束 「 登錄編輯程式 」。
  6. 如果您變更DisableDFS的數值資料,請重新啟動電腦。
如需有關相關主題的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
314494 群組原則並不會套用您所預期; 的方式「 事件 ID 1058 」 和 「 應用程式記錄檔中的事件 ID 1030 」 錯誤

步驟 5 ︰ 檢查內容和 Sysvol 資料夾的權限

根據預設,Sysvol 資料夾位於 %systemroot%資料夾中。Sysvol 資料夾會包含網域的 [群組原則] 物件、 Sysvol 與 Netlogon 共用和檔案複寫服務 (FRS) 臨時資料夾。

如果 Sysvol 資料夾或 Sysvol 共用的權限不足,不正確,套用群組原則,並會造成使用者環境 (Userenv) 錯誤。此外,如果 Sysvol 共用或群組原則] 物件已遺失,可能會發生 Userenv 錯誤。
每個網域控制站上確定 Sysvol 共用可用,請在命令提示字元執行net share命令。若要執行這項操作,請參考下列步驟:
  1. 按一下 [開始],按一下 [執行] 型別 cmd 在 [開啟] 方塊中,並接著[確定]
  2. 型別 網路共用然後再 pressENTER。
  3. 在資料夾清單中,找出SYSVOL以及NETLOGON
如果缺少從一或多個網域控制站的 Sysvol 或 Netlogon 共用,您必須解決問題的原因。 如需有關如何疑難排解在 Windows 2000 Server 中遺失的 Sysvol,Netlogon 共用的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
257338 疑難排解 Windows 2000 網域控制站上遺失的 SYSVOL,NETLOGON 共用
如需有關如何重建在 Windows Server 2003 的 Sysvol 共用的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
315457 如何重建 SYSVOL 樹狀目錄和其網域中的內容
您確定 Sysvol 共用對於可用後,請確定 Sysvol 資料夾、 Sysvol 共用和包含 Sysvol 資料夾的磁碟區的根資料夾都設定正確的權限。 如需有關所需的 Sysvol 共用和 Sysvol 資料夾的權限的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
290647 事件識別碼 1000,1001年會記錄在應用程式事件記錄檔中每隔五分鐘
此外,在 Windows 2000 伺服器上,Everyone 群組必須被授與包含 Sysvol 資料夾的磁碟區的根資料夾上的完全控制權限。在 Windows Server 2003 上群組必須授與 Everyone 讀取 & 執行 「 僅此資料夾 」 的特殊權限和 domain\Users 群組必須被授與下列標準權限 ︰
  • 讀取 & 執行
  • 列出資料夾內容
  • 讀取
此外,在 Windows Server 2003,domain\Users 群組必須擁有下列的特殊權限 ︰
  • 讀取 & 執行權限 」 這個資料夾,subfoldersand 檔案 」。
  • 建立資料夾 / 附加資料 」 這個 andsubfolders 資料夾。 」 的權限
  • 建立檔案/寫入資料 」 權限,以"Subfoldersonly"。
在您確認 Sysvol 權限之後,請確定 Sysvol 資料夾包含必要的 [群組原則] 物件。若要尋找的所需的 [群組原則] 物件,請使用 Gpotool.exe 程式從 Windows 2000 或 Windows Server 2003 資源套件。

若要下載的 Windows 2000 伺服器 Gpotool.exe 的程式,請造訪下列 Microsoft 「 Gpotool.exe:: 群組原則驗證工具 」 網站 ︰ 若要下載的 Windows Server 2003 資源套件工具,請造訪下列 Microsoft 「 Windows Server 2003 資源套件工具 」 網站 ︰ 如果您執行 Gpotool.exe 程式不使用任何選項,則它會掃描網域中的所有網域控制站上的所有群組原則物件中。如果您納入/checkacl參數,工具也會掃描 Sysvol 的存取控制清單 (ACL)。詳細輸出當您執行 Gpotool.exe 程式時,使用/verbose參數。

或者,您可以手動確認個別的 GPO 在 SYSVOL 資料夾中。比方說,如果 Userenv 1058 事件中的說明會列出的 GPO 名稱,您可以手動確認個別的 GPO 在 SYSVOL 資料夾中。您可以執行這項操作,請確定它包含使用者資料夾、 [電腦] 資料夾中,並有一個 Gpt.ini 檔案。若要手動驗證在 SYSVOL 資料夾中個別的 GPO,請依照下列步驟執行 ︰
  1. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd 在 [開啟] 方塊中,然後按一下[確定]
  2. 型別 時間/ 互動式/下一步 ︰ cmd.exe然後按下 ENTER,其中時間 是 1 或 2 分鐘的時間晚於目前的時間,而且寫成 24 小時制時間格式。例如,3 分鐘後 1:00 p.m.would 是 13:03 24 小時制的時間格式。
  3. 您在前一個命令中指定的時間,在 newCommand 的提示視窗隨即開啟。型別 網路使用 j:\\domainname.com\sysvol\domainname.com\Policies\ {GUID}然後按下 ENTER,其中 GUID 是的 GPO Userenv 事件描述中的 GUID。例如,ifthe Userenv 1058 事件描述寫著,「 檔案必須位於 thelocation<>Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini >,「 您在命令 is31B2F340-016 D-11 D 2-945F-00C04FB984F9 將使用的 GUID。
  4. 型別 dir j:\*.*然後再 pressENTER。
  5. 請確認這些資料夾項目為 I 磁碟機中所列的使用者資料夾、 [電腦] 資料夾中和 Gpt.inifile。如果缺少任何一種 thesefolders 和檔案,網路上的電腦會很可能在應用程式記錄檔中的 logUserenv 錯誤。
如果 Sysvol 資料夾中,執行 Windows Server 2003 預設群組原則還原公用程式 」 (Dcgpofix.exe),或 「 Windows 2000 預設群組原則還原 」 工具 (Recreatedefpol.exe),以重新建立預設的 [群組原則] 物件從一個或多個 [群組原則] 物件遺失。

Dcgpofix.exe 程式是隨附於 Windows Server 2003。若要取得其他有關 Dcgpofix.exe 程式的詳細資訊,請執行 dcgpofix /? 在命令提示字元] 指令。

如需有關 Recreatedefpol.exe 程式的資訊,請造訪下列 Microsoft Windows 2000 預設群組原則還原工具 」 網站 ︰ 請確定設定建議的排除項目,當您掃描的防毒軟體的 Sysvol 磁碟機。使用防毒軟體掃描,可以封鎖存取所需的檔案,例如 Gpt.ini 檔案。您必須設定所有即時、 排程與手動防毒掃描這些排除項目。 如需有關建議的排除項目時您可以以 Windows 為基礎的伺服器上執行防毒程式,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
822158 病毒掃描在 Windows 2000 或 Windows Server 2003 網域控制站上的建議

步驟六 ︰ 請確定,略過周遊檢查權限授與所需的群組

「 略過周遊檢查 」 權限必須授與網域控制站上的下列群組 ︰
  • 系統管理員
  • 已驗證的使用者
  • 每一個人
  • Windows 2000 版相容性存取
若要驗證的略過周遊檢查權限已授與在 Windows Server 2003 網域控制站上,請依照下列步驟執行 ︰
  1. 按一下 [開始],指向 [系統管理工具],然後按一下網域 ControllerSecurity 原則
  2. 展開 [本機原則],然後按一下 [使用者權限指派
  3. 按兩下 [略過周遊檢查]。
  4. 按一下以選取 [定義這些 policysettings的核取方塊。
  5. 確認系統管理員、 已驗證的使用者、 所有人使用,及前的 Windows 2000 相容的存取群組已列出 thispolicy 設定。如果遺漏任何這些群組,請依照下列步驟執行 ︰
    1. 按一下 [新增使用者或群組]。
    2. 在 [使用者和群組名稱] 方塊中,輸入 [遺失] 群組中的名稱,然後按一下[確定]
  6. 按一下[確定]以關閉 policysetting。
  7. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd 在 [開啟] 方塊中,然後按一下[確定]
  8. 型別 gpupdate /force並 thenpress ENTER。
若要驗證的略過周遊檢查權限已授與在 Windows 2000 Server 為基礎的網域控制站上,請依照下列步驟執行 ︰
  1. 按一下 [開始],指向 [程式集、 指向 [系統管理工具] 中,,然後按一下 [ ControllerSecurity 的網域原則
  2. 展開 [安全性設定,展開 [本機原則],然後按一下使用者 RightsAssignment
  3. 按兩下 [略過周遊檢查]。
  4. 按一下以選取 [定義這些 policysettings的核取方塊。
  5. 確認系統管理員、 已驗證的使用者、 所有人使用,及前的 Windows 2000 相容的存取群組已列出 thispolicy 設定。如果遺失了這些群組其中一種,請依照下列步驟執行 ︰
    1. 按一下 [新增]。
    2. 在 [使用者和群組名稱] 方塊中,輸入 [遺失] 群組中的名稱,然後按一下[確定]
  6. 按一下[確定]以關閉 policysetting。
  7. 啟動命令提示字元。若要執行這項操作,按一下 [開始],按一下 [執行時,型別cmd 在 [開啟] 方塊中,然後按一下[確定]
  8. 型別 secedit /refreshpolicy machine_policy/強制執行然後按 ENTER 鍵。

步驟 7 ︰ 請確定網域控制站不位於日誌自動換行狀態

如果網域控制站位於日誌自動換行狀態,請檢視 [事件檢視器] 中的 [檔案複寫服務記錄檔,並搜尋 NTFRS 事件識別碼 13568。事件識別碼 13568 是類似下列的事件識別碼 ︰

事件類型 ︰ 警告
事件來源 ︰ NtFrs
事件類別 ︰ 無
事件識別碼 ︰ 13568
日期 ︰ 日期
時間 ︰ 時間
使用者 ︰ n/A
電腦 ︰ 伺服器名稱
描述 ︰ 檔案複寫服務偵測到複本集"<1>"已在 JRNL_WRAP_ERROR 中。複本集的名稱是:"<1>"複本根路徑是:"<2>"複本根磁碟區是:"<3>"<b00> </b00> </3> </2> </1> </1>

如果網域控制站會記錄 NTFRS 事件識別碼 13568,請檢視下列 「 Microsoft 知識庫 」 文件,如需有關如何疑難排解日誌換行格式錯誤的資訊 ︰
292438 疑難排解 Sysvol 」 和 「 DFS 複本集的 「 journal_wrap 」 錯誤

步驟 8 ︰ 執行 Dfsutil /PurgeMupCache 命令

DFS/MUP 執行 Dfsutil.exe 程式搭配/PurgeMupCache參數,以清除本機快取資訊。Dfsutil.exe 程式會包含在 Windows 2000 伺服器支援工具 」 及 「 Windows Server 2003 支援工具。 如需有關相關主題的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件 ︰
842804 在 Windows Server 2003 電腦可能會停止回應時再度從待命狀態恢復程序,網域控制站的應用程式記錄檔中記錄事件 1030年和 1058

警告:本文為自動翻譯

內容

文章識別碼:887303 - 最後檢閱時間:05/08/2016 00:51:00 - 修訂: 5.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server

  • kbresolve kbwinservperf kbmgmtservices kbprb kbtshoot kbmt KB887303 KbMtzh
意見反應