Condividi tramite

Non è possibile aprire condivisioni file o snap-in Criteri di gruppo in un controller di dominio

Questo articolo descrive come risolvere un problema che si verifica quando la firma SMB è disabilitata per il servizio Workstation o Server in un controller di dominio.

Si applica a: Windows Server 2003
Numero KB originale: 839499

Riepilogo

Non è possibile aprire condivisioni file o snap-in Criteri di gruppo in un controller di dominio Windows Server 2003 o in un controller di dominio di Windows 2000 Server. Quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni nel controller di dominio, si ricevono richieste di password ripetute e non è possibile aprire le condivisioni. È possibile risolvere questo problema modificando il Registro di sistema.

Avviso

L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi. che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di tali problemi. La modifica del Registro di sistema è a esclusivo rischio dell'utente.

Sintomi

Scenario 1 - La firma SMB (Server Message Block) è disabilitata per il servizio workstation in un controller di dominio, ma la firma SMB è necessaria per il servizio server nello stesso controller di dominio

Windows Server 2003

Quando si tenta di aprire snap-in di Criteri di gruppo nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

Non si dispone dell'autorizzazione per eseguire questa operazione. Accesso negato.

Il controller di dominio registra gli eventi seguenti nel registro eventi dell'applicazione ogni cinque minuti:

Windows 2000 Server

Quando si tenta di aprire snap-in di Criteri di gruppo nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

Non si dispone dell'autorizzazione per eseguire questa operazione.

Accesso negato. Il controller di dominio registra l'evento seguente nel registro eventi dell'applicazione:

Quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni nel controller di dominio, si ricevono richieste di password ripetute e non è possibile aprire le condivisioni.

Scenario 2: la firma SMB è disabilitata per il servizio server in un controller di dominio, ma la firma SMB è necessaria per il servizio workstation nello stesso controller di dominio

Windows Server 2003

Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non avere i diritti appropriati.

L'account non è autorizzato ad accedere da questa stazione.

In una traccia di rete, se la firma SMB è abilitata e obbligatoria nel client ed è disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto e il client riceve l'errore seguente:

1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Il controller di dominio registra gli eventi seguenti nel registro eventi dell'applicazione ogni cinque minuti: quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni file nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

\\\Server_Name Share_Name non è accessibile. È possibile non disporre dell'autorizzazione per l'utilizzo di questa risorsa di rete. Contattare l'amministratore del server per sapere se si dispone dei permessi di accesso.

L'account non è autorizzato ad accedere da questa stazione.

Note

In una traccia di rete, se la firma SMB è abilitata e se la firma SMB è necessaria nel client e disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto. Inoltre, il client riceve il messaggio di errore seguente: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Windows 2000 Server

Quando si tenta di aprire snap-in di Criteri di gruppo nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

Impossibile aprire l'oggetto Criteri di gruppo. L'utente potrebbe non avere i diritti appropriati.

L'account non è autorizzato ad accedere da questa stazione.

Il controller di dominio registra l'evento seguente nel registro eventi dell'applicazione: quando si accede al controller di dominio in locale e quindi si tenta di aprire condivisioni file nel controller di dominio, viene visualizzato un messaggio di errore simile al seguente:

\\\Server_Name Share_Name non è accessibile.

L'account non è autorizzato ad accedere da questa stazione.

Note

In una traccia di rete, se la firma SMB è abilitata e se la firma SMB è necessaria nel client e disabilitata nel server, la connessione alla sessione TCP viene chiusa normalmente dopo la negoziazione del dialetto. Inoltre, il client riceve il messaggio di errore seguente: 1240 (ERROR_LOGIN_WKSTA_RESTRICTION)

Risoluzione

Per risolvere questo comportamento, seguire questa procedura:

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows XP.

Passaggio 1 : Modificare il Registro di sistema

Modificare il valore della voce del Registro di sistema enablesecuritysignature. A tale scopo, effettuare i passaggi seguenti:

  1. Nel controller di dominio fare clic su Start e quindi su Esegui.

  2. Copiare e quindi incollare (o digitare) il comando regedit nella casella Apri e quindi premere INVIO.

    Screenshot della finestra Esegui con regedit digitato nella casella Apri.

  3. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  4. Nel riquadro destro fare doppio clic su enablesecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.

  5. Fare doppio clic su requiresecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.

  6. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

  7. Nel riquadro destro fare doppio clic su enablesecuritysignature, digitare 1 nella casella Dati valore e quindi fare clic su OK.

  8. Fare doppio clic su requiresecuritysignature, digitare 0 nella casella Dati valore e quindi fare clic su OK.

Passaggio 2: riavviare il servizio Server e il servizio Workstation Dopo aver modificato i valori del Registro di sistema, riavviare il servizio Server e il servizio Workstation.

Importante

Non riavviare il controller di dominio, perché questa azione potrebbe causare la modifica dei valori del Registro di sistema dei criteri di gruppo ai valori precedenti.

Per riavviare il servizio Server e il servizio Workstation, seguire questa procedura:

  1. Fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Servizi.

  2. Fare clic con il pulsante destro del mouse su Server, quindi scegliere Riavvia.

    Screenshot della finestra Servizi con Server selezionato e un menu con Riavvia selezionato.

  3. Fare clic con il pulsante destro del mouse su Workstation e quindi scegliere Riavvia.

Note

Se viene chiesto di riavviare il computer, fare clic su .

Passaggio 3- Aggiornare la condivisione Sysvol

Aggiornare la condivisione Sysvol del controller di dominio. A tale scopo, effettuare i passaggi seguenti:

  1. Aprire la condivisione Sysvol del controller di dominio. A tale scopo, fare clic su Start, fare clic su Esegui, digitare \\Server_Name\Sysvol nella casella Apri e quindi premere INVIO.
  2. Se la condivisione Sysvol non viene aperta, ripetere il passaggio 1 - Modificare il Registro di sistema e il passaggio 2 - Riavviare i servizi server e workstation .
  3. Ripetere il passaggio 1: modificare il Registro di sistema e il passaggio 2: riavviare i servizi server e workstation in ogni controller di dominio interessato per assicurarsi che ogni controller di dominio possa accedere alla propria condivisione Sysvol.

Passaggio 4 - Configurare le impostazioni dei criteri SMB

Dopo la connessione alla condivisione Sysvol in ogni controller di dominio, aprire lo snap-in Criteri di sicurezza del controller di dominio e quindi configurare le impostazioni dei criteri di firma SMB. A tale scopo, effettuare i passaggi seguenti:

  1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazionee quindi fare clic su Criteri di sicurezza del controller di dominio.

  2. Nel riquadro sinistro espandere Criteri locali e quindi fare clic su Opzioni di sicurezza.

  3. Nel riquadro destro fare doppio clic su Server di rete Microsoft: Firma digitale delle comunicazioni (sempre).

    Note

    In Windows 2000 Server l'impostazione dei criteri equivalente è Firma digitale delle comunicazioni server (sempre).

    Importante

    Se nella rete sono presenti computer client che non supportano la firma SMB, non è necessario abilitare l'impostazione dei criteri Microsoft Network Server: Firma digitale delle comunicazioni (sempre). Se si abilita questa impostazione, è necessario disporre della firma SMB per tutte le comunicazioni client e i computer client che non supportano la firma SMB non saranno in grado di connettersi ad altri computer. Ad esempio, i client che eseguono Apple Macintosh OS X o Microsoft Windows 95 non supportano la firma SMB. Se la rete include client che non supportano la firma SMB, impostare questo criterio su disabilitato.

    Screenshot della finestra Impostazioni di sicurezza del controller di dominio predefinito con l'opzione Opzioni di sicurezza selezionata.

  4. Fare clic per selezionare la casella di controllo Definisci questa impostazione di criterio, fare clic su Abilitato e quindi su OK.

    Screenshot della finestra Server di rete Microsoft con l'impostazione Definisci questo criterio selezionata e abilitata.

  5. Fare doppio clic su Server di rete Microsoft: firmare digitalmente le comunicazioni (se il client accetta).

    Note

    Per Windows 2000 Server, l'impostazione dei criteri equivalente è Firma digitale delle comunicazioni server (quando possibile).

  6. Fare clic per selezionare la casella di controllo Definisci questa impostazione di criterio e quindi fare clic su Abilitato.

  7. Scegliere OK.

  8. Fare doppio clic su Client di rete Microsoft: firmare digitalmente le comunicazioni (sempre).

  9. Fare clic per deselezionare la casella di controllo Definisci questa impostazione di criterio e quindi fare clic su OK.

    Screenshot della finestra Server di rete Microsoft con la casella di controllo Definisci questa impostazione di criterio deselezionata.

  10. Fare doppio clic su Client di rete Microsoft: firmare digitalmente le comunicazioni (se il server accetta).

  11. Fare clic per deselezionare la casella di controllo Definisci questa impostazione di criterio e quindi fare clic su OK.

Passaggio 5- Eseguire l'utilità di aggiornamento criteri di gruppo

Eseguire l'utilità Aggiornamento Criteri di gruppo (Gpupdate.exe) con l'opzione force. A tale scopo, effettuare i passaggi seguenti:

  1. Fare clic su Start, quindi scegliere Esegui.

  2. Copiare e incollare (o digitare) il comando cmd nella casella Apri e quindi premere INVIO.

    Screenshot della finestra Esegui con cmd digitato nella casella Apri.

  3. Al prompt dei comandi, digitare gpupdate /force, quindi premere INVIO.

    Note

    L'utilità Aggiornamento Criteri di gruppo non esiste in Windows 2000 Server. In Windows 2000 Server, il comando equivalente è secedit /refreshpolicy machine_policy /enforce.

Passaggio 6- Controllare il registro eventi dell'applicazione

Dopo aver eseguito l'utilità Aggiornamento Criteri di gruppo, controllare il registro eventi dell'applicazione per assicurarsi che le impostazioni di Criteri di gruppo siano state aggiornate correttamente. Dopo l'aggiornamento di Criteri di gruppo, il controller di dominio registra l'ID evento 1704. Per aprire il log dell'applicazione in Visualizzatore eventi, seguire questa procedura:

  1. Fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Visualizzatore eventi.

  2. Nel riquadro sinistro fare clic su Applicazione.

    Screenshot della finestra Visualizzatore eventi con l'opzione Applicazione selezionata.

  3. Fare doppio clic sull'ID evento 1704 e verificare che l'impostazione di Criteri di gruppo sia stata applicata correttamente.

    Note

    L'origine dell'evento è SceCli.

    Screenshot del Finestra Proprietà evento per l'ID evento 1704.

Passaggio 7 - Controllare i valori del Registro di sistema

Controllare i valori del Registro di sistema modificati nel passaggio 1 - Modificare il Registro di sistema per assicurarsi che i valori del Registro di sistema non siano stati modificati.

Note

Questo passaggio assicura che un'impostazione di criteri in conflitto non venga applicata a un altro livello di unità organizzativa o di gruppo. Ad esempio, se il client di rete Microsoft: firma digitale delle comunicazioni (se il server accetta) viene configurato come "Non definito" nei criteri di sicurezza del controller di dominio, ma questo stesso criterio è configurato come disabilitato nei criteri di sicurezza del dominio, la firma SMB verrà disabilitata per il servizio workstation.

Passaggio 8- Controllare le impostazioni dei criteri di firma SMB usando lo snap-in Set di criteri risultante (RSoP)

Se i valori del Registro di sistema sono stati modificati dopo l'esecuzione dell'utilità Aggiornamento Criteri di gruppo, controllare le impostazioni dei criteri di firma SMB usando lo snap-in RSoP in Windows Server 2003. A tale scopo, effettuare i passaggi seguenti:

  1. Fare clic su Start, scegliere Esegui, digitare rsop.msc nella casella Apri e quindi fare clic su OK.

    Screenshot della finestra Esegui con rsop.msc digitato nella casella Apri.

  2. Nello snap-in RSoP le impostazioni di firma SMB si trovano nel percorso seguente: Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Criteri locali/Opzioni di sicurezza

    Note

    Se si esegue Windows 2000 Server, installare l'utilità Aggiornamento Criteri di gruppo da Windows 2000 Server Resource Kit e quindi digitare quanto segue al prompt dei comandi: gpresult /scope computer /v

  3. Dopo aver eseguito questo comando, viene visualizzato l'elenco Oggetti Criteri di gruppo applicati. Questo elenco mostra tutti gli oggetti Criteri di gruppo applicati all'account computer. Controllare le impostazioni dei criteri di firma SMB per tutti questi oggetti Criteri di gruppo.

Risorse aggiuntive

Questo comportamento si verifica se le impostazioni di firma SMB per il servizio workstation e per il servizio server si contrappone tra loro. Quando si configura il controller di dominio in questo modo, il servizio Workstation nel controller di dominio non può connettersi alla condivisione Sysvol del controller di dominio. Pertanto, non è possibile avviare snap-in criteri di gruppo. Inoltre, se i criteri di firma SMB vengono impostati dai criteri di sicurezza del controller di dominio predefiniti, il problema interessa tutti i controller di dominio nella rete. Pertanto, la replica di Criteri di gruppo nel servizio directory di Active Directory avrà esito negativo e non sarà possibile modificare Criteri di gruppo per annullare queste impostazioni.

Scenario 1: se si esegue lo strumento di diagnostica del controller di dominio (DcDiag.exe), si ricevono errori simili ai seguenti per Windows 2000 Server e per Windows Server 2003

Avvio del test: MachineAccount
Impossibile aprire la pipe con [SERVERNAME]:failed con 5: Accesso negato.
Impossibile ottenere NetBIOSDomainName
Non è possibile eseguire il test per l'SPN HOST
Non è possibile eseguire il test per l'SPN HOST
* SpN mancante :(null)
* SpN mancante :(null)
......................... SERVERNAME test MachineAccount non riuscito
Avvio del test: Servizi
Impossibile aprire Remote ipc su [SERVERNAME]:failed with 5: Access is denied (Impossibile aprire Remote ipc su [SERVERNAME]:failed with 5: Access is denied( Accesso negato).
......................... ServerNAME - Servizi di test non riusciti
Test iniziale: OggettiReplicati
......................... OGGETTI di test superati SERVERNAMEReplicated
Test iniziale: frssysvol
[SERVERNAME] Operazione net use o LsaPolicy non riuscita con errore 5. Accesso negato.
......................... SERVERNAME test non riuscito frssysvol
Test iniziale: frsevent
......................... SERVERNAME test non riuscito frsevent
Test iniziale: kccevent
Impossibile enumerare i record del registro eventi. L'errore Access viene negato.
......................... Kccevent del test SERVERNAME non riuscito
Test iniziale: systemlog
Impossibile enumerare i record del registro eventi. L'errore Access viene negato.
......................... Systemlog di test serverNAME non riuscito

Scenario 2: se si esegue lo strumento di diagnostica del controller di dominio, si ricevono errori simili ai seguenti per Windows 2000 Server e per Windows Server 2003

Server di test: Default-First-Site-Name\SERVERNAME
Test iniziale: Repliche
......................... Replica di test superata SERVERNAME
Test iniziale: NCSecDesc
......................... SERVERNAME ha superato il test NCSecDesc
Test iniziale: NetLogons
[SERVERNAME] Operazione net use o LsaPolicy non riuscita con errore 1240. L'account non è autorizzato ad accedere da questa stazione.
......................... NetLogons serverNAME non riuscito
Test iniziale: Pubblicità
......................... SERVERNAME superato test Advertising
Test iniziale: KnowsOfRoleHolders
......................... SERVERNAME superato test KnowsOfRoleHolders
Avvio del test: RidManager
......................... SERVERNAME ha superato il test RidManager
Avvio del test: MachineAccount
Impossibile aprire la pipe con [SERVERNAME]:failed con 1240: l'account non è autorizzato ad accedere da questa stazione.
Impossibile ottenere NetBIOSDomainName
Non è possibile eseguire il test per l'SPN HOST
Non è possibile eseguire il test per l'SPN HOST
* SpN mancante :(null)
* SpN mancante :(null)
......................... SERVERNAME test MachineAccount non riuscito
Avvio del test: Servizi
Impossibile aprire Remote ipc su [SERVERNAME]:failed with 1240: The account is not authorized to log in from this station.
......................... ServerNAME - Servizi di test non riusciti
Test iniziale: OggettiReplicati
......................... OGGETTI di test superati SERVERNAMEReplicated
Test iniziale: frssysvol
[SERVERNAME] Operazione net use o LsaPolicy non riuscita con errore 1240. L'account non è autorizzato ad accedere da questa stazione.
......................... SERVERNAME test non riuscito frssysvol
Test iniziale: frsevent
......................... SERVERNAME test non riuscito frsevent
Test iniziale: kccevent
Impossibile enumerare i record del registro eventi. Errore L'account non è autorizzato ad accedere da questa stazione. ......................... Kccevent del test SERVERNAME non riuscito
Test iniziale: systemlog
Impossibile enumerare i record del registro eventi. Errore L'account non è autorizzato ad accedere da questa stazione. ......................... Systemlog di test serverNAME non riuscito