Condividi tramite

Gli errori userenv si verificano e gli eventi vengono registrati dopo l'applicazione di Criteri di gruppo ai computer che eseguono Windows Server 2003, Windows XP o Windows 2000

Questo articolo fornisce una soluzione ai problemi in cui i computer della rete non possono connettersi agli oggetti Criteri di gruppo nelle cartelle Sysvol nei controller di dominio di rete.

Numero KB originale: 887303

Riepilogo

È possibile che si verifichino uno o più errori ed eventi se i Criteri di gruppo vengono applicati ai computer della rete. Per determinare la causa del problema, è necessario risolvere i problemi di configurazione dei computer in rete. Seguire questa procedura per risolvere la causa del problema:

  1. Esaminare le impostazioni DNS e le proprietà di rete nei server e nei computer client.
  2. Esaminare le impostazioni di firma di Server Message Block nei computer client.
  3. Assicurarsi che il servizio helper NetBIOS TCP/IP, il servizio Accesso rete e il servizio Rpc (Remote Procedure Call) vengano avviati in tutti i computer.
  4. Assicurarsi che Distributed File System (DFS) sia abilitato in tutti i computer.
  5. Esaminare il contenuto e le autorizzazioni della cartella Sysvol.
  6. Assicurarsi che al gruppo richiesto venga concesso il diritto di controllo dell'attraversamento bypass.
  7. Assicurarsi che i controller di dominio non siano in uno stato di wrapping del journal.
  8. Eseguire il comando dfsutil /purgemupcache.

Sintomi

Si verificano uno o più dei sintomi seguenti in un computer che esegue Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000:

  • Le impostazioni di Criteri di gruppo non vengono applicate ai computer.

  • La replica di Criteri di gruppo non viene completata tra i controller di dominio nella rete.

  • Non è possibile aprire snap-in di Criteri di gruppo. Ad esempio, non è possibile aprire lo snap-in Criteri di sicurezza del controller di dominio o lo snap-in Criteri di sicurezza del dominio.

  • Se si tenta di aprire uno snap-in Criteri di gruppo, viene visualizzato uno dei messaggi di errore seguenti:

    Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non avere i diritti appropriati.
    Dettagli: l'account non è autorizzato ad accedere da questa stazione.

    Non si dispone dell'autorizzazione per eseguire questa operazione.
    Dettagli: accesso negato.

    Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non avere i diritti appropriati.
    Dettagli: il sistema non riesce a trovare il percorso specificato.

  • Se si tenta di accedere ai file condivisi in qualsiasi controller di dominio, viene visualizzato un messaggio di errore. Questo sintomo si verifica anche se si è connessi al server e si tenta di accedere a una condivisione locale. In particolare, questo sintomo può influire sull'accesso alla condivisione Sysvol di un controller di dominio.

  • Se si tenta di accedere a una condivisione file, viene richiesta ripetutamente una password.

  • Se si tenta di accedere a una condivisione file, viene visualizzato un messaggio di errore simile a uno dei messaggi di errore seguenti:

    \\\Server_Name Share_Name non è accessibile. È possibile non disporre dell'autorizzazione per l'utilizzo di questa risorsa di rete. Contattare l'amministratore del server per sapere se si dispone dei permessi di accesso.
    L'account non è autorizzato ad accedere da questa stazione.

    \\\Server_Name Share_Name non è accessibile.
    L'account non è autorizzato ad accedere da questa stazione.

    Impossibile trovare il percorso di rete.

Se si visualizza il registro applicazioni in Visualizzatore eventi in Windows XP o Windows Server 2003, vengono visualizzati eventi simili agli eventi seguenti:

Tipo di evento: Errore

Origine evento: Userenv
Categoria evento: Nessuna
ID evento: 1058

Data: Data
Tempistica:
Ora
Utente:
User_Name
Computer:
Computer_Name
Descrizione: Windows non può accedere al file gpt.ini per GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com . Il file deve essere presente nel percorso <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Error_Message). Elaborazione di Criteri di gruppo interrotta. Per altre informazioni, vedere Guida e Supporto tecnico all'indirizzo https://support.microsoft.com.

Il messaggio di errore visualizzato nella Error_Message segnaposto nell'ID evento 1058 può essere uno dei messaggi di errore seguenti:

  • Impossibile trovare il percorso di rete.

  • Accesso negato.

  • Impossibile leggere le informazioni di configurazione dal controller di dominio perché il computer non è disponibile o l'accesso è stato negato.

Tipo di evento: Errore
Origine evento: Userenv
Categoria evento: Nessuna
ID evento: 1030
Data:
Data
Tempistica:
Ora
Utente:
User_Name
Computer:
Computer_Name
Descrizione: Windows non può eseguire una query per l'elenco di oggetti Criteri di gruppo. Messaggio che descrive il motivo per cui questo è stato registrato in precedenza dal motore dei criteri. Per altre informazioni, vedere Guida e Supporto tecnico all'indirizzo https://support.microsoft.com.

In genere, se si verificano l'ID evento 1058 e l'ID evento 1030, vengono registrati da computer client e server membri all'avvio del computer. I controller di dominio registrano questi eventi ogni cinque minuti.

Se si visualizza il log applicazioni in Visualizzatore eventi in un computer basato su Windows 2000, vengono visualizzati eventi simili agli eventi seguenti:

Tipo di evento: Errore
Origine evento: Userenv

Categoria evento: Nessuna
ID evento: 1000
Data:
Data
Tempistica:
Ora
Utente: NT AUTHORITY\SYSTEM
Computer:
Computer_Name
Descrizione: Windows non può accedere alle informazioni del Registro di sistema in \\ domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol con (Error_Code).

Il codice di errore visualizzato nella Error_Code segnaposto nell'ID evento 1000 può essere uno dei codici di errore seguenti:

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Causa

Questi problemi si verificano se i computer presenti nella rete non possono connettersi a determinati oggetti Criteri di gruppo. In particolare, questi oggetti si trovano nelle cartelle Sysvol nei controller di dominio della rete.

Risoluzione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Assicurarsi quindi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Per risolvere questo problema, è necessario risolvere la configurazione della rete per limitare la causa del problema e quindi correggere la configurazione. Per risolvere la possibile causa di questo problema, seguire questa procedura:

Passaggio 1: Esaminare le impostazioni DNS e le proprietà di rete nei server e nei computer client

Nelle proprietà di connessione dell'area locale, il client per reti Microsoft deve essere abilitato in tutti i server e i computer client. Il componente Condivisione file e stampanti per reti Microsoft deve essere abilitato in tutti i controller di dominio.

Inoltre, ogni computer della rete deve usare server DNS in grado di risolvere i record SRV e i nomi host per la foresta Active Directory in cui il computer è membro. In genere, un errore di configurazione comune è che i computer client usino i server DNS che appartengono al provider di servizi Internet .

In tutti i computer che hanno registrato gli errori Userenv esaminare le impostazioni DNS e le proprietà di rete. Controllare inoltre queste impostazioni in tutti i controller di dominio, indipendentemente dal fatto che registrino o meno errori userenv.

Per verificare le impostazioni DNS e le proprietà di rete nei computer basati su Windows XP nella rete, seguire questa procedura:

  1. Selezionare Start, quindi Pannello di controllo.
  2. Se Pannello di controllo è impostato su Visualizzazione categorie, selezionare Passa alla visualizzazione classica.
  3. Fare doppio clic su Connessioni di rete, fare clic con il pulsante destro del mouse su Connessione area locale e quindi scegliere Proprietà.
  4. Nella scheda Generale fare clic per selezionare la casella di controllo Client for Microsoft Networks .
  5. Selezionare Protocollo Internet (TCP/IP) e quindi proprietà.
  6. Se è selezionata l'opzione Usa gli indirizzi server DNS seguenti, assicurarsi che gli indirizzi IP per i server DNS preferiti e alternativi siano gli indirizzi IP dei server DNS in grado di risolvere i record SRV e i nomi host in Active Directory. In particolare, il computer non deve usare i server DNS che appartengono al proprio ISP. Se gli indirizzi del server DNS non sono corretti, digitare gli indirizzi IP dei server DNS corretti nelle caselle Server DNS preferito e Server DNS alternativo.
  7. Selezionare Avanzate e quindi selezionare la scheda DNS .
  8. Fare clic per selezionare la casella di controllo Registra gli indirizzi di questa connessione in DNS e quindi selezionare OK tre volte.
  9. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd e quindi selezionare OK.
  10. Digitare ipconfig /flushdns e quindi premere INVIO. Digitare ipconfig /registerdns e quindi premere INVIO.
  11. Riavviare il computer per rendere effettive le modifiche.

Per verificare le impostazioni DNS e le proprietà di rete nei computer basati su Windows 2000 nella rete, seguire questa procedura:

  1. Selezionare Start, scegliere Impostazioni e quindi selezionare Pannello di controllo.

  2. Fare doppio clic su Connessioni di rete e connessione remota.

  3. Fare clic con il pulsante destro del mouse su Connessione all'area locale e quindi scegliere Proprietà.

  4. Nella scheda Generale fare clic per selezionare la casella di controllo Client for Microsoft Networks .

  5. Se il computer è un controller di dominio, fare clic per selezionare la casella di controllo Condivisione file e stampanti per reti Microsoft.

    Note

    Nei server con accesso remoto multi-home e nei server basati su server ISA (Microsoft Internet Security and Acceleration) è possibile disabilitare il componente Condivisione file e stampanti per l'adattatore di rete connesso a Internet. Tuttavia, il componente Client for Microsoft Networks deve essere abilitato per tutti gli adattatori di rete del server.

  6. Selezionare Protocollo Internet (TCP/IP) e quindi fare clic su Proprietà.

  7. Se è selezionata l'opzione Usa gli indirizzi server DNS seguenti, assicurarsi che gli indirizzi IP per i server DNS preferiti e alternativi siano gli indirizzi IP dei server DNS in grado di risolvere i record SRV e i nomi host in Active Directory. In particolare, il computer non deve usare i server DNS appartenenti all'ISP. Se gli indirizzi del server DNS non sono corretti, digitare gli indirizzi IP dei server DNS corretti nelle caselle Server DNS preferito e Server DNS alternativo.

  8. Selezionare Avanzate e quindi selezionare la scheda DNS .

  9. Fare clic per selezionare la casella di controllo Registra gli indirizzi di questa connessione in DNS e quindi selezionare OK tre volte.

  10. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.

  11. Digitare ipconfig /flushdns e quindi premere INVIO. Digitare ipconfig /registerdns e quindi premere INVIO.

  12. Riavviare il computer.

Per verificare le impostazioni DNS e le proprietà di rete nei computer basati su Windows Server 2003 nella rete, seguire questa procedura:

  1. Selezionare Start, scegliere Pannello di controllo e quindi fare doppio clic su Connessioni di rete.

  2. Fare clic con il pulsante destro del mouse sulla connessione all'area locale e quindi scegliere Proprietà.

  3. Nella scheda Generale fare clic per selezionare la casella di controllo Client for Microsoft Networks .

  4. Se il computer è un controller di dominio, fare clic per selezionare la casella di controllo Condivisione file e stampanti per reti Microsoft.

    Note

    Nei server con accesso remoto multi-home e nei server basati su ISA Server, è possibile disabilitare il componente Condivisione file e stampanti per l'adattatore di rete connesso a Internet. Tuttavia, il componente Client for Microsoft Networks deve essere abilitato per tutti gli adattatori di rete del server.

  5. Selezionare Protocollo Internet (TCP/IP) e quindi proprietà.

  6. Se è selezionata l'opzione Usa gli indirizzi server DNS seguenti, assicurarsi che gli indirizzi IP per i server DNS preferiti e alternativi siano gli indirizzi IP dei server DNS in grado di risolvere i record SRV e i nomi host in Active Directory. In particolare, il computer non deve usare i server DNS che appartengono al proprio ISP. Se gli indirizzi del server DNS non sono corretti, digitare gli indirizzi IP dei server DNS corretti nelle caselle Server DNS preferito e Server DNS alternativo.

  7. Selezionare Avanzate e quindi selezionare la scheda DNS .

  8. Fare clic per selezionare la casella di controllo Registra gli indirizzi di questa connessione in DNS e quindi selezionare OK tre volte.

  9. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd e quindi selezionare OK.

  10. Digitare ipconfig /flushdns e quindi premere INVIO. Digitare ipconfig /registerdns e quindi premere INVIO.

  11. Riavviare il computer per rendere effettive le modifiche.

Se i computer client nella rete sono configurati per ottenere automaticamente gli indirizzi IP, assicurarsi che il computer che esegue il servizio DHCP assegni gli indirizzi IP dei server DNS in grado di risolvere i record SRV e i nomi host in Active Directory.

Per determinare gli indirizzi IP usati da un computer per DNS, seguire questa procedura:

  1. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare ipconfig /all e quindi premere INVIO.
  3. Si notino le voci DNS elencate sullo schermo.

Se i computer configurati per ottenere gli indirizzi IP non usano automaticamente i server DNS corretti, vedere la documentazione relativa al server DHCP per informazioni su come configurare l'opzione server DNS. Assicurarsi inoltre che ogni computer possa risolvere l'indirizzo IP del dominio. A tale scopo, digitare ping Your_Domain_Name. Your_Domain_Root al prompt dei comandi e quindi premere INVIO. Digitare invece nslookup Your_Domain_Name.Your_Domain_Root, quindi premere INVIO.

Note

È previsto che questo nome host venga risolto nell'indirizzo IP di uno dei controller di dominio nella rete. Se il computer non riesce a risolvere questo nome o se il nome viene risolto nell'indirizzo IP errato, assicurarsi che la zona di ricerca diretta per il dominio contenga record host (uguali alla cartella padre) Host (A).

Per assicurarsi che la zona di ricerca diretta per il dominio contenga record host (uguale alla cartella padre) host (A) in un computer basato su Windows 2000, seguire questa procedura:

  1. In un controller di dominio che esegue DNS selezionare Start, scegliere Programmi, Strumenti di amministrazione e quindi DNS.

  2. Espandere Your_Server_Name, espandere Zone di ricerca diretta e quindi selezionare la zona di ricerca diretta per il dominio.

  3. Cercare (come la cartella padre) Record host (A).

  4. Se un record host (uguale a quello della cartella padre) (A) non esiste, seguire questa procedura per crearne uno:

    1. Scegliere Nuovo host dal menu Azione.
    2. Nella casella Indirizzo IP digitare l'indirizzo IP dell'adattatore di rete locale del controller di dominio.
    3. Fare clic per selezionare la casella di controllo Crea record del puntatore associato (PTR) e quindi selezionare Aggiungi host.
    4. Quando viene visualizzato il messaggio seguente, selezionare :

      (uguale alla cartella padre) non è un nome host valido. Aggiungere il record?

  5. Fare doppio clic sul record host (uguale alla cartella padre) host (A).

  6. Verificare che l'indirizzo IP corretto sia elencato nella casella Indirizzo IP.

  7. Se l'indirizzo IP nella casella Indirizzo IP non è valido, digitare l'indirizzo IP corretto nella casella Indirizzo IP e quindi selezionare OK.

  8. È invece possibile eliminare il record host (A) (uguale a quello della cartella padre) che contiene un indirizzo IP non valido. Per eliminare il record host (uguale alla cartella padre), fare clic con il pulsante destro del mouse su di esso e quindi scegliere Elimina.

  9. Se il server DNS è un controller di dominio che è anche un server di routing e accesso remoto, vedere Problemi di risoluzione dei nomi e connettività in un server di routing e accesso remoto che esegue anche DNS o WINS.

  10. In tutti i computer in cui si aggiungono, eliminano o modificano i record DNS digitare ipconfig /flushdns al prompt dei comandi e quindi premere INVIO.

Per assicurarsi che la zona di ricerca diretta per il dominio contenga record host (uguale alla cartella padre) host (A) in un computer basato su Windows Server 2003, seguire questa procedura:

  1. In un controller di dominio che esegue DNS selezionare Start, scegliere Strumenti di amministrazione e quindi DNS.

  2. Espandere Your_Server_Name, espandere Zone di ricerca diretta e quindi selezionare la zona di ricerca diretta per il dominio.

  3. Cercare il record host (uguale a quello della cartella padre) (A).

  4. Se il record host (uguale alla cartella padre) (A) non esiste, seguire questa procedura per crearne uno:

    1. Scegliere Nuovo host (A)dal menu Azione.
    2. Nella casella Indirizzo IP digitare l'indirizzo IP dell'adattatore di rete locale del controller di dominio.
    3. Fare clic per selezionare la casella di controllo Crea record del puntatore associato (PTR) e quindi selezionare Aggiungi host.
    4. Quando viene visualizzato il messaggio seguente, selezionare :

      (uguale alla cartella padre) non è un nome host valido. Aggiungere il record?

  5. Fare doppio clic sul record host (uguale alla cartella padre) host (A).

  6. Verificare che l'indirizzo IP corretto sia elencato nella casella Indirizzo IP.

  7. Se l'indirizzo IP si trova nella casella Indirizzo IP non è valido, digitare l'indirizzo IP corretto nella casella Indirizzo IP e quindi selezionare OK.

  8. È invece possibile eliminare il record Host (A) (uguale a quello della cartella padre) che contiene l'indirizzo IP non valido. Per eliminare il record Host (A), fare clic con il pulsante destro del mouse (uguale alla cartella padre) e quindi scegliere Elimina.

  9. Se il server DNS è un controller di dominio che è anche un server di routing e accesso remoto, vedere Problemi di risoluzione dei nomi e connettività in un server di routing e accesso remoto che esegue anche DNS o WINS.

  10. In tutti i computer in cui si aggiungono, eliminano o modificano i record DNS digitare ipconfig /flushdns al prompt dei comandi e quindi premere INVIO.

Passaggio 2: Esaminare le impostazioni di firma di Server Message Block nei computer client e nei server membri

Le impostazioni di firma SMB (Server Message Block) definiscono se i computer della rete firmano digitalmente le comunicazioni. Se le impostazioni di firma SMB non sono configurate correttamente, i computer client o i server membri potrebbero non essere in grado di connettersi ai controller di dominio.

Ad esempio, la firma SMB può essere richiesta dai controller di dominio, ma la firma SMB può essere disabilitata nei computer client. Se si verifica questo problema, Criteri di gruppo non può essere applicato correttamente. I computer client registrano quindi gli errori dell'ambiente utente (Userenv) nel registro applicazioni. In alcuni casi, le impostazioni di firma SMB per il servizio Server e il servizio workstation in un controller di dominio possono entrare in conflitto tra loro.

Ad esempio, la firma SMB può essere disabilitata per il servizio Workstation del controller di dominio, ma la firma SMB è necessaria per il servizio Server del controller di dominio. In questo scenario non è possibile aprire una o più condivisioni file locali del controller di dominio se si è connessi al server. Inoltre, non è possibile aprire snap-in Criteri di gruppo se si è connessi al server.
Per altre informazioni su come risolvere questo problema in un controller di dominio, vedere Non è possibile aprire condivisioni file o snap-in Criteri di gruppo in un controller di dominio.

Se si verificano errori di Criteri di gruppo solo nei computer client e nei server membri o se si determina che non è possibile aprire condivisioni file o snap-in Criteri di gruppo in un controller di dominio non si applica alla situazione, continuare a risolvere il problema.

Per impostazione predefinita, la firma SMB è abilitata ma non è necessaria per la comunicazione client nei computer client e nei server membri che eseguono Windows XP, Windows 2000 o Windows Server 2003. È consigliabile usare la configurazione predefinita perché i computer client possono usare la firma SMB quando è possibile, ma comunicheranno comunque con i server con firma SMB disabilitata.

Per configurare i computer client e i server membri in modo che la firma SMB sia abilitata ma non necessaria, è necessario modificare i valori per alcune voci del Registro di sistema. Per apportare modifiche al Registro di sistema nei computer client, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare regedit nella casella Apri e quindi selezionare OK.
  2. Espandere la sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. Nel riquadro destro fare clic con il pulsante destro del mouse su enablesecuritysignature e quindi scegliere Modifica.
  4. Nella casella Dati valore digitare 0 e quindi selezionare OK.
  5. Fare clic con il pulsante destro del mouse su requiresecuritysignature e quindi scegliere Modifica.
  6. Nella casella Dati valore digitare 0 e quindi selezionare OK.
  7. Espandere la sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. Nel riquadro destro fare clic con il pulsante destro del mouse su enablesecuritysignature e quindi scegliere Modifica.
  9. Nella casella Dati valore digitare 1 e quindi selezionare OK.
  10. Fare clic con il pulsante destro del mouse su requiresecuritysignature e quindi scegliere Modifica.
  11. Nella casella Dati valore digitare 0 e quindi selezionare OK.

Dopo aver modificato i valori del Registro di sistema, riavviare i servizi Server e Workstation. Non riavviare i computer perché potrebbe causare l'applicazione dei criteri di gruppo e le impostazioni di Criteri di gruppo potrebbero configurare nuovamente i valori in conflitto.

Dopo aver modificato i valori del Registro di sistema e aver riavviato i servizi Server e Workstation nei computer interessati, seguire questa procedura:

  1. Visualizzare le impostazioni di Criteri di gruppo per gli oggetti Criteri di gruppo o gli oggetti Criteri di gruppo applicabili agli account computer interessati.
  2. Assicurarsi che i criteri di gruppo non siano in conflitto con le impostazioni del Registro di sistema necessarie.
  3. Utilizzare l'Editor oggetti Criteri di gruppo per visualizzare le impostazioni dei criteri nella cartella seguente: Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

In un computer che esegue Windows Server 2003, le impostazioni di Criteri di gruppo di firma SMB hanno i nomi seguenti:

  • Server di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre)
  • Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client)
  • Client di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre)
  • Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server)

In un computer che esegue Windows 2000 Server, le impostazioni di Criteri di gruppo di firma SMB hanno i nomi seguenti:

  • Firmare digitalmente la comunicazione server (sempre)
  • Firmare digitalmente la comunicazione del server (quando possibile)
  • Firmare digitalmente le comunicazioni client (sempre)
  • Firmare digitalmente le comunicazioni client (quando possibile)

In genere, le impostazioni di Criteri di gruppo di firma SMB sono configurate come "Non definite". Se si definiscono le impostazioni di Criteri di gruppo per la firma SMB, assicurarsi di comprendere in che modo le impostazioni possono influire sulla connettività di rete.
Per altre informazioni sulle impostazioni di firma SMB, vedere Problemi relativi a client, servizi e programmi se si modificano le impostazioni di sicurezza e le assegnazioni dei diritti utente.

Se si modificano le impostazioni dell'oggetto Criteri di gruppo in un controller di dominio che esegue Windows 2000 Server, seguire questa procedura:

  1. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare secedit /refreshpolicy machine_policy /enforce e quindi premere INVIO.
  3. Riavviare i computer client interessati.
  4. Controllare nuovamente i valori di firma SMB nel Registro di sistema nei computer client per assicurarsi che non siano stati modificati in modo imprevisto.

Se si modificano le impostazioni dell'oggetto Criteri di gruppo in un controller di dominio che esegue Windows Server 2003, seguire questa procedura:

  1. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare gpupdate /force e quindi premere INVIO.
  3. Riavviare i computer client interessati.
  4. Controllare nuovamente i valori di firma SMB nel Registro di sistema nei computer client per assicurarsi che non siano stati modificati in modo imprevisto.

Se i valori di firma SMB nel Registro di sistema vengono modificati in modo imprevisto dopo il riavvio dei computer client, utilizzare uno dei metodi seguenti per visualizzare le impostazioni dei criteri applicate a un computer client:

  • In un computer basato su Windows XP usare lo snap-in MMC dei criteri risultante (Rsop.msc). Per altre informazioni sul set di criteri risultante, vedere Set di criteri risultante.

  • In Windows 2000 usare lo strumento da riga di comando Gpresult.exe per esaminare i risultati di Criteri di gruppo. Per effettuare questa operazione, seguire questi passaggi:

    1. Installare Gpresult.exe da Windows 2000 Resource Kit.

    2. Al prompt dei comandi digitare gpresult /scope computer e quindi premere INVIO.

    3. Nella sezione Oggetti Criteri di gruppo applicati dell'output prendere nota degli oggetti Criteri di gruppo applicati all'account computer.

    4. Confrontare gli oggetti Criteri di gruppo applicati all'account computer con le impostazioni dei criteri di firma SMB nel controller di dominio per questi oggetti Criteri di gruppo.

Passaggio 3: Assicurarsi che il servizio helper NetBIOS TCP/IP sia avviato in tutti i computer

Tutti i computer della rete devono eseguire il servizio helper NetBIOS TCP/IP.

Per verificare che il servizio helper NetBIOS TCP/IP sia in esecuzione in un computer basato su Windows XP, seguire questa procedura:

  1. Selezionare Start, quindi Pannello di controllo.
  2. Se Pannello di controllo si trova in Visualizzazione categorie, selezionare Passa alla visualizzazione classica.
  3. Fare doppio clic su Strumenti di amministrazione.
  4. Fare doppio clic su Servizi.
  5. Nell'elenco Servizi selezionare Helper NetBIOS TCP/IP. Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Status o Startup Type non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse su Helper NetBIOS TCP/IP e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio, se il servizio non è avviato, selezionare Avvia.
    4. Seleziona OK.

Per verificare che il servizio helper NetBIOS TCP/IP sia in esecuzione in un computer basato su Windows Server 2003, seguire questa procedura:

  1. Seleziona Start, punta Strumenti di amministrazione e quindi seleziona Servizi.
  2. Nell'elenco Servizi selezionare Helper NetBIOS TCP/IP. Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Status o Startup Type non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse su Helper NetBIOS TCP/IP e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio, se il servizio non è avviato, selezionare Avvia.
    4. Seleziona OK.

Per verificare che il servizio helper NetBIOS TCP/IP sia in esecuzione in un computer basato su Windows 2000, seguire questa procedura:

  1. Selezionare Start, scegliere Programmi, Strumenti di amministrazione e quindi Servizi.
  2. Nell'elenco Servizi selezionare Servizio helper NetBIOS TCP/IP. Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Status o Startup Type non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse sul servizio helper NetBIOS TCP/IP e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio, se il servizio non è avviato, selezionare Avvia.
    4. Seleziona OK.

Assicurarsi inoltre di non aver disabilitato uno o più dei servizi di sistema necessari usando oggetti Criteri di gruppo. Visualizzare queste impostazioni dei criteri usando l'Editor oggetti Criteri di gruppo nella Computer Configuration/Windows Settings/Security Settings/System Services cartella .

In Windows Server 2003 e Windows XP è possibile utilizzare lo snap-in MMC dei criteri risultante (Rsop.msc) per controllare tutte le impostazioni dei criteri applicate a un computer. A tale scopo, selezionare Start, selezionare Esegui, digitare rsop.msc nella casella Apri e quindi selezionare OK.

In Windows 2000 usare lo strumento da riga di comando Gpresult.exe per esaminare i risultati di Criteri di gruppo. Per effettuare questa operazione, seguire questi passaggi:

  1. Installare Gpresult.exe da Windows 2000 Resource Kit.
  2. Al prompt dei comandi digitare gpresult /scope computer e quindi premere INVIO.
  3. Nella sezione Oggetti Criteri di gruppo applicati dell'output prendere nota degli oggetti Criteri di gruppo applicati all'account computer.
  4. Confrontare gli oggetti Criteri di gruppo applicati all'account computer con le impostazioni dei criteri di firma SMB nel controller di dominio per questi oggetti Criteri di gruppo.

Note

Se il servizio helper NetBIOS TCP/IP è disabilitato in molti desktop, è possibile usare lo script di Microsoft Visual Basic di esempio seguente per avviare il servizio helper NetBIOS TCP/IP in tutti i computer di un'unità organizzativa contemporaneamente.

Microsoft fornisce esempi di programmazione a scopo puramente illustrativo, senza alcuna garanzia di qualsiasi tipo, sia espressa che implicita, ivi incluse, a mero titolo esemplificativo, le garanzie implicite di commerciabilità o idoneità per uno scopo particolare. In questo articolo si presuppone che l'utente conosca il linguaggio di programmazione in questione e gli strumenti utilizzati per creare ed eseguire il debug delle procedure. I tecnici del supporto Tecnico Microsoft possono aiutare a spiegare le funzionalità di una determinata procedura, ma non modificheranno questi esempi per fornire funzionalità aggiuntive o creare procedure per soddisfare i requisiti specifici.

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

Passaggio 4: Assicurarsi che Distributed File System (DFS) sia abilitato in tutti i computer

Tutti i controller di dominio devono eseguire il servizio File system distribuito perché la condivisione Sysvol è un volume DFS. Inoltre, il client DFS deve essere abilitato nel Registro di sistema in tutti i computer.

Per assicurarsi che il servizio File system distribuito sia in esecuzione nei controller di dominio basati su Windows Server 2003, seguire questa procedura:

  1. Seleziona Start, punta Strumenti di amministrazione e quindi seleziona Servizi.
  2. Nell'elenco Servizi selezionare Servizio file system distribuito. Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Status o Startup Type non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse su File system distribuito e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio, se il servizio non è avviato, selezionare Avvia.
    4. Seleziona OK.

Per assicurarsi che il servizio File system distribuito sia in esecuzione nei controller di dominio basati su Windows 2000 Server, seguire questa procedura:

  1. Selezionare Start, scegliere Programmi, Strumenti di amministrazione e quindi Servizi.
  2. Nell'elenco Servizi selezionare Servizio file system distribuito. Verificare che il valore nella colonna Stato sia Avviato. Verificare che il valore nella colonna Tipo di avvio sia Automatico. Se i valori Status o Startup Type non sono corretti, seguire questa procedura:
    1. Fare clic con il pulsante destro del mouse su File system distribuito e quindi scegliere Proprietà.
    2. Nell'elenco Tipo di avvio selezionare Automatico.
    3. Nell'area Stato del servizio, se il servizio non è avviato, selezionare Avvia.
    4. Seleziona OK.

Per assicurarsi che il client del file system distribuito sia abilitato in tutti i computer client, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare regedit nella casella Apri e quindi selezionare OK.
  2. Espandere la sottochiave seguente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Selezionare Mup e quindi nel riquadro destro cercare una voce di valore DWORD denominata DisableDFS.
  4. Se la voce DisableDFS esiste e i dati del valore sono 1, fare doppio clic su DisableDFS. Nella casella Dati valore digitare 0 e quindi selezionare OK. Se i dati del valore DisableDFS sono già 0 o se la voce DisableDFS non esiste, non apportare alcuna modifica.
  5. Chiudere l'editor del Registro di sistema.
  6. Se sono stati modificati i dati del valore DisableDFS , riavviare il computer.

Passaggio 5: Esaminare il contenuto e le autorizzazioni della cartella Sysvol

Per impostazione predefinita, la cartella Sysvol si trova nella %systemroot% cartella . La cartella Sysvol contiene gli oggetti Criteri di gruppo del dominio, le condivisioni Sysvol e Netlogon e la cartella di gestione temporanea del servizio Replica file .

Se le autorizzazioni per la cartella Sysvol o la condivisione Sysvol sono troppo restrittive, i criteri di gruppo non possono essere applicati correttamente e causare errori di ambiente utente (Userenv). Inoltre, gli errori userenv possono verificarsi se mancano gli oggetti Sysvol o Criteri di gruppo.
Per assicurarsi che la condivisione Sysvol sia disponibile, eseguire il comando net share al prompt dei comandi in ogni controller di dominio. Per effettuare questa operazione, seguire questi passaggi:

  1. Selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare net share e quindi premere INVIO.
  3. Individuare SYSVOL e NETLOGON nell'elenco delle cartelle.

Se le condivisioni Sysvol o Netlogon mancano da uno o più controller di dominio, è necessario risolvere la causa del problema.
Per altre informazioni su come risolvere i problemi relativi alle condivisioni Sysvol e Netlogon mancanti in Windows 2000 Server, vedere Risoluzione dei problemi relativi alle condivisioni SYSVOL e NETLOGON mancanti nei controller di dominio Windows.

Per altre informazioni su come ricompilare la condivisione Sysvol in Windows Server 2003, vedere Come ricompilare l'albero SYSVOL e il relativo contenuto in un dominio.

Dopo aver verificato che la condivisione Sysvol sia disponibile, assicurarsi che la cartella Sysvol, la condivisione Sysvol e la cartella radice del volume che contiene la cartella Sysvol siano configurate con le autorizzazioni corrette.

Inoltre, in Windows 2000 Server, al gruppo Everyone deve essere concessa l'autorizzazione Controllo completo per la cartella radice del volume che contiene la cartella Sysvol. In Windows Server 2003, al gruppo Everyone deve essere concessa l'autorizzazione speciale Lettura ed esecuzione per "Solo questa cartella" e al gruppo domain\Users devono essere concesse le autorizzazioni standard seguenti:

  • Lettura ed esecuzione
  • Contenuto della cartella elenco
  • Lettura

Inoltre, in Windows Server 2003, il gruppo domain\Users deve disporre delle autorizzazioni speciali seguenti:

  • Autorizzazioni di lettura e esecuzione per "Questa cartella, sottocartelle e file".
  • Creare l'autorizzazione Cartella/Accoda dati a "Questa cartella e sottocartelle".
  • Creare file/scrivere l'autorizzazione Dati solo per le sottocartelle.

Dopo aver verificato le autorizzazioni Sysvol, assicurarsi che la cartella Sysvol contenga gli oggetti Criteri di gruppo necessari. Per cercare gli oggetti Criteri di gruppo necessari, usare il programma Gpotool.exe di Windows 2000 o Windows Server 2003 Resource Kit.

Se si esegue il programma Gpotool.exe senza opzioni, analizza tutti gli oggetti Criteri di gruppo in tutti i controller di dominio nel dominio. Se si include l'opzione /checkacl , lo strumento analizza anche l'elenco di controllo di accesso Sysvol ( ACL). Per un output dettagliato quando si esegue il programma Gpotool.exe, usare l'opzione /verbose .

È invece possibile verificare manualmente il singolo oggetto Criteri di gruppo nella cartella SYSVOL. Ad esempio, se la descrizione nell'evento Userenv 1058 elenca il nome di un oggetto Criteri di gruppo, è possibile verificare manualmente il singolo oggetto Criteri di gruppo nella cartella SYSVOL. È possibile eseguire questa operazione per assicurarsi che contenga una cartella USER, una cartella MACHINE e un file Gpt.ini. Per verificare manualmente il singolo oggetto Criteri di gruppo nella cartella SYSVOL, seguire questa procedura:

  1. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  2. Digitare time/interactive/next: cmd.exe, quindi premere INVIO, dove Time è 1 o 2 minuti dopo rispetto all'ora corrente e viene scritto in formato ora di 24 ore. Ad esempio, 3 minuti dopo le 13:00 saranno 13:03 in formato ora di 24 ore.
  3. Al momento in cui si specifica nel comando precedente, viene visualizzata una nuova finestra del prompt dei comandi. Digitare net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID}, quindi premere INVIO, dove GUID è il GUID dell'oggetto Criteri di gruppo presente nella descrizione dell'evento Userenv. Ad esempio, se la descrizione dell'evento Userenv 1058 indica, "Il file deve essere presente nel percorso <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04 F984 F9}\gpt.ini>", il GUID usato nel comando è 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Digitare dir j:\*.*, quindi premere INVIO.
  5. Verificare che una cartella USER, una cartella MACHINE e un file Gpt.ini siano elencati nell'elenco di cartelle per l'unità I. Se una di queste cartelle e i file sono mancanti, è probabile che i computer della rete registrino errori Userenv nel registro applicazioni.

Se nella cartella Sysvol mancano uno o più oggetti Criteri di gruppo, eseguire l'Utilità di ripristino criteri di gruppo predefiniti di Windows Server 2003 (Dcgpofix.exe) o lo strumento di ripristino criteri di gruppo predefinito di Windows 2000 (Recreatedefpol.exe), per ricreare gli oggetti Criteri di gruppo predefiniti.

Il programma Dcgpofix.exe è incluso in Windows Server 2003. Per altre informazioni sul programma Dcgpofix.exe, eseguire il dcgpofix /? comando al prompt dei comandi.

Assicurarsi di impostare le esclusioni consigliate durante l'analisi dell'unità Sysvol con il software antivirus. L'analisi con software antivirus può bloccare l'accesso ai file necessari, ad esempio il file Gpt.ini. È necessario configurare queste esclusioni per tutte le analisi antivirus in tempo reale, pianificate e manuali.

Passaggio 6: Assicurarsi che il diritto di controllo dell'attraversamento bypass sia concesso ai gruppi necessari

Il diritto di controllo dell'attraversamento bypass deve essere concesso ai gruppi seguenti nei controller di dominio:

  • Amministratori
  • Utenti autenticati
  • Tutti
  • Accesso compatibile precedente a Windows 2000

Per verificare che il diritto di controllo dell'attraversamento bypass sia stato concesso in un controller di dominio basato su Windows Server 2003, seguire questa procedura:

  1. Selezionare Start, strumenti di amministrazione e quindi criteri di sicurezza del controller di dominio.
  2. Espandere Criteri locali e quindi selezionare Assegnazione diritti utente.
  3. Fare doppio clic su Ignora controllo attraversamento.
  4. Fare clic per selezionare la casella di controllo Definisci queste impostazioni dei criteri .
  5. Verificare che i gruppi Administrators, Authenticated Users, Everyone e Pre-Windows 2000 Compatible Access siano elencati per questa impostazione di criterio. Se uno di questi gruppi non è presente, seguire questa procedura:
    1. Selezionare Aggiungi utente o gruppo.
    2. Nella casella Nomi utente e gruppo digitare il nome del gruppo mancante e quindi selezionare OK.
  6. Selezionare OK per chiudere l'impostazione dei criteri.
  7. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  8. Digitare gpupdate /force e quindi premere INVIO.

Per verificare che il diritto di controllo dell'attraversamento bypass sia stato concesso in un controller di dominio basato su Windows 2000 Server, seguire questa procedura:

  1. Selezionare Start, scegliere Programmi, Strumenti di amministrazione e quindi Criteri di sicurezza del controller di dominio.
  2. Espandere Impostazioni di sicurezza, espandere Criteri locali e quindi selezionare Assegnazione diritti utente.
  3. Fare doppio clic su Ignora controllo attraversamento.
  4. Fare clic per selezionare la casella di controllo Definisci queste impostazioni dei criteri .
  5. Verificare che i gruppi Administrators, Authenticated Users, Everyone e Pre-Windows 2000 Compatible Access siano elencati per questa impostazione di criterio. Se uno di questi gruppi non è presente, seguire questa procedura:
    1. Selezionare Aggiungi.
    2. Nella casella Nomi utente e gruppo digitare il nome del gruppo mancante e quindi selezionare OK.
  6. Selezionare OK per chiudere l'impostazione dei criteri.
  7. Avviare un prompt dei comandi. A tale scopo, selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
  8. Digitare secedit /refreshpolicy machine_policy /enforce e quindi premere seleziona.

Passaggio 7: Assicurarsi che i controller di dominio non siano in uno stato di wrapping del journal

Per verificare se un controller di dominio si trova in uno stato di wrapping del journal, visualizzare il log del servizio Replica file in Visualizzatore eventi e cercare l'ID evento NTFRS 13568. L'ID evento 13568 è simile all'ID evento seguente:
Se l'ID evento NTFRS 13568 viene registrato in un controller di dominio, per ulteriori informazioni su come risolvere gli errori di wrapping del journal, vedere Come risolvere gli errori di journal_wrap nei set di repliche Sysvol e DFS.

Passaggio 8: Eseguire il comando Dfsutil /PurgeMupCache

Eseguire il programma Dfsutil.exe con l'opzione /PurgeMupCache per scaricare le informazioni memorizzate nella cache DFS/MUP locali. Il programma Dfsutil.exe è incluso negli strumenti di supporto di Windows 2000 Server e negli strumenti di supporto di Windows Server 2003.