close

本文提供網路上的電腦無法連線到網路網域控制站上 Sysvol 資料夾中 GPO) (群組原則物件的解決方案。
適用于:Windows 10 - 所有版本、Windows Server 2012 R2
原始 KB 編號: 887303

 

摘要
如果群組原則套用至網路上的電腦,您可能會遇到一或多個錯誤和事件。 若要判斷問題的原因,您必須針對網路上的電腦設定進行疑難排解。 請遵循下列步驟來針對問題的原因進行疑難排解:
1.    檢查伺服器和用戶端電腦上的 DNS 設定和網路屬性。
2.    檢查用戶端電腦上的伺服器訊息區簽署設定。
3.    請確定 TCP/IP NetBIOS 協助程式服務、Net Logon 服務和遠端程序呼叫 (RPC) 服務已在所有電腦上啟動。
4.    請確定已在所有電腦上啟用分散式檔案系統 (DFS) 。
5.    檢查 Sysvol 資料夾的內容和許可權。
6.    請確定已將略過周遊檢查許可權授與必要的群組。
7.    請確定網域控制站不是處於日誌包裝狀態。
8.    執行 dfsutil /purgemupcache 命令。

 

徵狀
在執行 Microsoft Windows Server 2003、Microsoft Windows XP 或 Microsoft Windows 2000 的電腦上,您會遇到下列一或多個徵兆:
•    群組原則設定不會套用至電腦。
•    群組原則網路上的網域控制站之間未完成複寫。
•    您無法開啟群組原則嵌入式管理單元。例如,您無法開啟網域控制站安全性原則嵌入式管理單元或網域安全性原則嵌入式管理單元。
•    如果您嘗試開啟群組原則嵌入式管理單元,您會收到下列其中一個錯誤訊息:
無法開啟群組原則物件。 您可能沒有適當的許可權。
詳細資料:帳戶未獲授權從此月臺登入。
您沒有執行此作業的許可權。
詳細資料:拒絕存取。
無法開啟群組原則物件。 您可能沒有適當的許可權。
詳細資料:系統找不到指定的路徑。
•    如果您嘗試存取任何網域控制站上的共用檔案,您會收到錯誤訊息。 即使您已登入伺服器,而且您嘗試存取本機共用,也會發生此徵兆。 具體而言,此徵兆可能會影響網域控制站 Sysvol 共用的存取。
•    如果您嘗試存取檔案共用,系統會重複提示您輸入密碼。
•    如果您嘗試存取檔案共用,您會收到類似下列其中一個錯誤訊息的錯誤訊息:
\\\ Server_NameShare_Name無法存取。 您可能沒有使用此網路資源的權限。 請連絡此伺服器的系統管理員,以瞭解您是否具有存取權限。
帳戶未獲授權從此月臺登入。
\\\ Server_NameShare_Name無法存取。
帳戶未獲授權從此月臺登入。
找不到網路路徑。
如果您在 Windows XP 或 Windows Server 2003 上檢視應用程式登入事件檢視器,您會看到類似下列事件的事件:
事件類型:錯誤
事件來源:Userenv
事件類別目錄:無
事件識別碼:1058
日期: 日期
時間:
Time
使用者:
User_Name
電腦:
Computer_Name
描述:Windows 無法存取 GPO CN=gpt.ini{31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com 的檔案。 檔案必須存在於位置 < \\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini> 。 (Error_Message) 。 已中止群組原則處理。 如需詳細資訊,請參閱 位於 https://support.microsoft.com 的說明及支援中心。
出現在事件識別碼 1058 中Error_Message 預留位置中的錯誤訊息可能是下列任一錯誤訊息:
•    找不到網路路徑。
•    拒絕存取。
•    無法從網域控制站讀取組態資訊,可能是因為電腦無法使用,或存取遭到拒絕。
事件類型:錯誤
事件來源:Userenv
事件類別目錄:無
事件識別碼:1030
日期:
日期
時間:
Time
使用者:
User_Name
電腦:
Computer_Name
描述:Windows 無法查詢群組原則物件的清單。 描述此原因的訊息先前是由原則引擎記錄。 如需詳細資訊,請參閱 位於 https://support.microsoft.com 的說明及支援中心。
一般而言,如果事件識別碼 1058 和事件識別碼 1030 發生,當電腦啟動時,用戶端電腦和成員伺服器會記錄這些識別碼。 網域控制站會每隔五分鐘記錄這些事件。
如果您在以 Windows 2000 為基礎的電腦上檢視應用程式登入事件檢視器,您會看到類似下列事件的事件:
事件類型:錯誤
事件來源:Userenv
事件類別目錄:無
事件識別碼:1000
日期:
Date
時間:
Time
使用者:NT AUTHORITY\SYSTEM
電腦:
Computer_Name
描述:Windows 無法存取登錄資訊,網 功能變數名稱稱.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol, (Error_Code) 。
出現在事件識別碼 1000 中 Error_Code 預留位置中的錯誤碼可能是下列任一錯誤碼:
•    5
•    51
•    53
•    1231
•    1240
•    1722

 

原因
如果網路上的電腦無法連線到特定的群組原則物件,就會發生這些問題。 具體而言,這些物件位於您網路網域控制站上的 Sysvol 資料夾中。

 

解決方案
 重要
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必仔細遵循這些步驟。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊,請參閱如何在 Windows 中備份及還原登錄。
若要解決此問題,您必須針對網路設定進行疑難排解,以縮小問題的原因,然後更正設定。 若要針對此問題的可能原因進行疑難排解,請遵循下列步驟:

步驟 1:檢查伺服器和用戶端電腦上的 DNS 設定和網路屬性
在本機區域連線屬性中,必須在所有伺服器和用戶端電腦上啟用 Microsoft Networks 版用戶端。 所有網域控制站上都必須啟用適用于 Microsoft 網路的檔案和印表機共用元件。
此外,網路上的每部電腦都必須使用 DNS 伺服器,以解析電腦所屬 Active Directory 樹系的 SRV 記錄和主機名稱。 一般而言,常見的設定錯誤是用戶端電腦使用屬於網際網路服務提供者的 DNS 伺服器, (ISP) 。
在已記錄 Userenv 錯誤的所有電腦上,檢查 DNS 設定和網路屬性。 此外,請檢查所有網域控制站上的這些設定,無論它們是否記錄 Userenv 錯誤。
若要確認網路中以 Windows XP 為基礎的電腦上的 DNS 設定和網路屬性,請遵循下列步驟:
1.    選取 [開始],然後選取 [控制台]。
2.    如果主控台設為 [類別檢視],請選取[切換至傳統檢視]。
3.    按兩下 [ 網路連線],以滑鼠右鍵按一下 [ 局域連線],然後選取 [ 屬性]。
4.    在 [ 一般] 索引標籤上,按一下以選取 [ Microsoft 網路的用戶端] 核取方塊。
5.    選 取 [網際網路通訊協定 (TCP/IP) ],然後選取 [ 屬性]。
6.    如果選取 [ 使用下列 DNS 伺服器位址 ],請確定慣用和替代 DNS 伺服器的 IP 位址是 DNS 伺服器的 IP 位址,可解析 Active Directory 中的 SRV 記錄和主機名稱。 具體而言,電腦不得使用屬於 ISP 的 DNS 伺服器。 如果 DNS 伺服器位址不正確,請在 [慣用 DNS 伺服器] 和 [替代 DNS伺服器] 方塊中輸入正確DNS 伺服器的 IP 位址。
7.    選取 [ 進階],然後選取 [DNS] 索引 標籤。
8.    按一下以選取 [ 在 DNS 中註冊此連線的位址 ] 核取方塊,然後選取 [ 確定] 三次。
9.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],輸入 cmd,然後選取 [ 確定]。
10.    輸入 ipconfig /flushdns,然後按 ENTER。 輸入 ipconfig /registerdns,然後按 ENTER。
11.    重新開機電腦,讓您的變更生效。
若要確認網路中以 Windows 2000 為基礎的電腦上的 DNS 設定和網路屬性,請遵循下列步驟:
1.    選取[開始],指向 [設定],然後選取 [主控台]。
2.    按兩下 [ 網路] 和 [撥號連線]。
3.    以滑鼠右鍵按一下 [ 區域連線],然後選取 [ 屬性]。
4.    在 [ 一般] 索引標籤上,按一下以選取 [ Microsoft 網路的用戶端] 核取方塊。
5.    如果電腦是網域控制站,請按一下以選取 [Microsoft 網路的檔案和印表機共用 ] 核取方塊。
 注意
在多宿主遠端存取服務器和 Microsoft Internet Security and Acceleration (ISA) 伺服器型伺服器上,您可以針對連線到網際網路的網路介面卡停用適用于 Microsoft 網路的檔案和印表機共用元件。 不過,必須為所有伺服器的網路介面卡啟用 Client for Microsoft Networks 元件。
6.    選 取 [網際網路通訊協定 (TCP/IP) ,然後按一下 [ 屬性]。
7.    如果選取 [ 使用下列 DNS 伺服器位址 ],請確定慣用和替代 DNS 伺服器的 IP 位址是 DNS 伺服器的 IP 位址,可解析 Active Directory 中的 SRV 記錄和主機名稱。 具體而言,電腦不得使用屬於 ISP 的 DNS 伺服器。 如果 DNS 伺服器位址不正確,請在 [慣用 DNS 伺服器] 和 [替代 DNS伺服器] 方塊中輸入正確DNS 伺服器的 IP 位址。
8.    選取 [ 進階],然後選取 [DNS] 索引 標籤。
9.    按一下以選取 [ 在 DNS 中註冊此連線的位址 ] 核取方塊,然後選取 [ 確定] 三次。
10.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 cmd,然後選取 [ 確定]。
11.    輸入 ipconfig /flushdns,然後按 ENTER。 輸入 ipconfig /registerdns,然後按 ENTER。
12.    重新啟動電腦。
若要確認網路中以 Windows Server 2003 為基礎的電腦上的 DNS 設定和網路屬性,請遵循下列步驟:
1.    選取[開始],指向[主控台],然後按兩下 [網路連線]。
2.    以滑鼠右鍵按一下區域連線,然後選取 [ 屬性]。
3.    在 [ 一般] 索引標籤上,按一下以選取 [ Microsoft 網路的用戶端] 核取方塊。
4.    如果電腦是網域控制站,請按一下以選取 [Microsoft 網路的檔案和印表機共用 ] 核取方塊。
 注意
在多宿主遠端存取服務器和 ISA 伺服器型伺服器上,您可以針對連線到網際網路的網路介面卡停用適用于 Microsoft 網路的檔案和印表機共用元件。 不過,必須為所有伺服器的網路介面卡啟用 Client for Microsoft Networks 元件。
5.    選 取 [網際網路通訊協定 (TCP/IP) ],然後選取 [ 屬性]。
6.    如果選取 [ 使用下列 DNS 伺服器位址 ],請確定慣用和替代 DNS 伺服器的 IP 位址是 DNS 伺服器的 IP 位址,可解析 Active Directory 中的 SRV 記錄和主機名稱。 具體而言,電腦不得使用屬於 ISP 的 DNS 伺服器。 如果 DNS 伺服器位址不正確,請在 [慣用 DNS 伺服器] 和 [替代 DNS伺服器] 方塊中輸入正確DNS 伺服器的 IP 位址。
7.    選取 [ 進階],然後選取 [DNS] 索引 標籤。
8.    按一下以選取 [ 在 DNS 中註冊此連線的位址 ] 核取方塊,然後選取 [ 確定] 三次。
9.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],輸入 cmd,然後選取 [ 確定]。
10.    輸入 ipconfig /flushdns,然後按 ENTER。 輸入 ipconfig /registerdns,然後按 ENTER。
11.    重新開機電腦,讓您的變更生效。
如果您網路中的用戶端電腦設定為自動取得其 IP 位址,請確定執行 DHCP 服務的電腦會指派 DNS 伺服器的 IP 位址,以解析 Active Directory 中的 SRV 記錄和主機名稱。
若要判斷電腦用於 DNS 的 IP 位址,請遵循下列步驟:
1.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 cmd,然後選取 [ 確定]。
2.    輸入 ipconfig /all,然後按 ENTER。
3.    請注意畫面上列出的 DNS 專案。
如果設定為自動取得 IP 位址的電腦未使用正確的 DNS 伺服器,請檢視 DHCP 伺服器的檔,以取得如何設定 DNS 伺服器選項的相關資訊。 此外,請確定每部電腦都可以解析網域的 IP 位址。 若要這樣做,請輸入 ping Your_Domain_Name。在 命令提示字元Your_Domain_Root,然後按 ENTER鍵。 請改為輸入 nslookup Your_Domain_Name。Your_Domain_Root,然後按 ENTER鍵。
 注意
此主機名稱應該會解析為網路上其中一個網域控制站的 IP 位址。 如果電腦無法解析此名稱,或名稱解析為錯誤的 IP 位址,請確定網域的正向對應區域包含的有效 (與主機) 主機 (A) 記錄 的父資料夾相同 。
若要確定網域的正向對應區域包含的有效 (與 Windows 2000 電腦上主 機) ( A) 記錄的父資料夾相同,請遵循下列步驟:
1.    在執行 DNS 的網域控制站上,選取 [ 開始]、指向 [ 程式]、指向 [ 系統管理工具],然後選取 [DNS]。
2.    展開 [Your_Server_Name],展開 [ 向前對應區域],然後選取網域的正向對應區域。
3.    尋找 與主機 (A) 記錄) 父資料夾相同的 (。
4.    如果 (與主機 (A) 記錄) 父資料夾相同 ,請遵循下列步驟來建立一筆:
a.    在 [ 動作] 功能表上,選取 [ 新增主機]。
b.    在 [ IP 位址] 方塊中,輸入網域控制站局域網路介面卡的 IP 位址。
c.    按一下以選取 [ 建立相關聯的指標 (PTR) 記錄 ] 核取方塊,然後選取 [ 新增主機]。
d.    當您收到下列訊息時,請選取 [ 是]:
(與父資料夾相同,) 不是有效的主機名稱。 您確定要新增此記錄嗎?
5.    按兩下 與主機 (A) 記錄) 父資料夾相同的 (。
6.    確認 IP 位址方塊中已列出正確的 IP 位址 。
7.    如果 [IP 位址 ] 方塊中的 IP 位址無效,請在 [ IP 位址 ] 方塊中輸入正確的 IP 位址,然後選取 [ 確定]。
8.    相反地,您可以刪除 與主機) 主機 ( 包含無效 IP 位址的) 記錄相同的 (。 若要刪除 與父資料夾相同的 () 主機 (A) 記錄,請以滑鼠右鍵按一下它,然後選取 [ 刪除]。
9.    如果 DNS 伺服器也是路由和遠端存取服務器的網域控制站,請參閱 路由和遠端存取服務器上也執行 DNS 或 WINS 的名稱解析和連線問題。
10.    在您新增、刪除或修改 DNS 記錄的所有電腦上,于命令提示字元輸入 ipconfig /flushdns ,然後按 ENTER鍵。
若要確定網域的正向對應區域包含的有效 (與 Windows Server 2003 電腦上主機) (A) 記錄的 父資料夾相同 ,請遵循下列步驟:
1.    在執行 DNS 的網域控制站上,選取 [ 開始],指向 [ 系統管理工具],然後選取 [DNS]。
2.    展開 [Your_Server_Name],展開 [ 向前對應區域],然後選取網域的正向對應區域。
3.    尋找 與主機 (A) 記錄) 父資料夾相同的 (。
4.    如果 (與主機 (A) 記錄) 父資料夾相同 ,請遵循下列步驟來建立一個:
a.    在 [ 動作] 功能表上,選 取 [新增主機 (A) 。
b.    在 [ IP 位址] 方塊中,輸入網域控制站局域網路介面卡的 IP 位址。
c.    按一下以選取 [ 建立相關聯的指標 (PTR) 記錄 ] 核取方塊,然後選取 [ 新增主機]。
d.    當您收到下列訊息時,請選取 [ 是]:
(與父資料夾相同,) 不是有效的主機名稱。 您確定要新增此記錄嗎?
5.    按兩下 與主機 (A) 記錄) 父資料夾相同的 (。
6.    確認 IP 位址方塊中已列出正確的 IP 位址 。
7.    如果 IP 位址在 [IP 位址 ] 方塊中無效,請在 [ IP 位址 ] 方塊中輸入正確的 IP 位址,然後選取 [ 確定]。
8.    相反地,您可以刪除 與主機) 主機 ( 包含無效 IP 位址的) 記錄相同的 (。 若要刪除主機 (A) 記錄,請以滑鼠右鍵按一下 (與父資料夾相同的) ,然後選取 [ 刪除]。
9.    如果 DNS 伺服器也是路由和遠端存取服務器的網域控制站,請參閱 路由和遠端存取服務器上也執行 DNS 或 WINS 的名稱解析和連線問題。
10.    在您新增、刪除或修改 DNS 記錄的所有電腦上,于命令提示字元輸入 ipconfig /flushdns ,然後按 ENTER鍵。

步驟 2:檢查用戶端電腦和成員伺服器上的伺服器訊息區簽署設定
[伺服器訊息區 (SMB) 簽署設定會定義網路上的電腦是否以數位方式簽署通訊。 如果未正確設定 SMB 簽署設定,用戶端電腦或成員伺服器可能無法連線到網域控制站。
例如,網域控制站可能需要 SMB 簽署,但用戶端電腦上可能會停用 SMB 簽署。 如果發生此問題,群組原則無法正確套用。 因此,用戶端電腦會記錄使用者環境 (Userenv) 應用程式記錄檔中的錯誤。 有時候,伺服器服務和網域控制站上工作站服務的 SMB 簽署設定可能會彼此衝突。
例如,網域控制站的工作站服務可能會停用 SMB 簽署,但網域控制站的伺服器服務需要 SMB 簽署。 在此案例中,如果您登入伺服器,就無法開啟網域控制站的一或多個本機檔案共用。 此外,如果您已登入伺服器,則無法開啟群組原則嵌入式管理單元。
如需如何在網域控制站上針對此問題進行疑難排解的詳細資訊,請參閱您無法在網域控制站上開啟檔案共用或群組原則嵌入式管理單元。
如果群組原則錯誤只發生在用戶端電腦和成員伺服器上,或者您判斷您無法在網域控制站上開啟檔案共用或群組原則嵌入式管理單元不適用於您的情況,請繼續針對問題進行疑難排解。
根據預設,SMB 簽署已啟用,但在執行 Windows XP、Windows 2000 或 Windows Server 2003 的用戶端電腦和成員伺服器上的用戶端通訊不需要。 建議您使用預設組態,因為用戶端電腦可以在可能時使用 SMB 簽署,但仍會與已停用 SMB 簽署的伺服器通訊。
若要設定用戶端電腦和成員伺服器,以便啟用 SMB 簽署,但不需要,您必須變更某些登錄專案的值。 若要在用戶端電腦上變更登錄,請遵循下列步驟:
1.    選取 [開始],再選取 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]。
2.    展開下列登錄子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
3.    在右窗格中,以滑鼠右鍵按一下 [ enablesecuritysignature],然後選取 [ 修改]。
4.    在 [ 值資料] 方塊中,輸入 0,然後選取 [ 確定]。
5.    以滑鼠右鍵按一下 [ requiresecuritysignature],然後選取 [ 修改]。
6.    在 [ 值資料] 方塊中,輸入 0,然後選取 [ 確定]。
7.    展開下列登錄子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
8.    在右窗格中,以滑鼠右鍵按一下 [ enablesecuritysignature],然後選取 [ 修改]。
9.    在 [ 值資料] 方塊中,輸入 1,然後選取 [ 確定]。
10.    以滑鼠右鍵按一下 [ requiresecuritysignature],然後選取 [ 修改]。
11.    在 [ 值資料] 方塊中,輸入 0,然後選取 [ 確定]。
變更登錄值之後,請重新開機伺服器和工作站服務。 請勿重新開機電腦,因為這可能會導致套用群組原則,而且群組原則設定可能會再次設定衝突的值。
變更登錄值並重新啟動受影響電腦上的伺服器和工作站服務之後,請遵循下列步驟:
1.    檢視適用于受影響電腦帳戶之 GPO 或 GPO 的群組原則設定。
2.    請確定群組原則不會與必要的登錄設定衝突。
3.    使用群組原則物件編輯器來檢視下列資料夾中的原則設定:Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options
在執行 Windows Server 2003 的電腦上,SMB 簽署群組原則設定具有下列名稱:
•    Microsoft 網路伺服器:數位簽署通訊 (一律)
•    Microsoft 網路伺服器:如果用戶端同意) ,則以數位方式簽署通訊 (
•    Microsoft 網路用戶端:數位簽署通訊 (一律)
•    Microsoft 網路用戶端:如果伺服器同意) ,則以數位方式簽署通訊 (
在執行 Windows 2000 Server 的電腦上,SMB 簽署群組原則設定具有下列名稱:
•    數位簽署伺服器通訊 (一律)
•    盡可能以數位方式簽署伺服器通訊 ()
•    以數位方式簽署用戶端通訊 (一律)
•    盡可能以數位方式簽署用戶端通訊 ()
一般而言,SMB 簽署群組原則設定會設定為「未定義」。 如果您定義 SMB 簽署群組原則設定,請確定您瞭解設定可能會如何影響網路連線。
如需 SMB 簽署設定的詳細資訊,請參閱 如果您變更安全性設定和使用者權限指派,可能會發生用戶端、服務和程式問題。
如果您在執行 Windows 2000 Server 的網域控制站上變更 GPO 設定,請遵循下列步驟:
1.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 cmd,然後選取 [ 確定]。
2.    輸入 secedit /refreshpolicy machine_policy /enforce,然後按 ENTER鍵。
3.    重新開機受影響的用戶端電腦。
4.    重新檢查用戶端電腦上登錄中的 SMB 簽署值,以確定它們未意外變更。
如果您在執行 Windows Server 2003 的網域控制站上變更 GPO 設定,請遵循下列步驟:
1.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 cmd,然後選取 [ 確定]。
2.    輸入 gpupdate /force,然後按 ENTER。
3.    重新開機受影響的用戶端電腦。
4.    重新檢查用戶端電腦上登錄中的 SMB 簽署值,以確定它們未意外變更。
如果登錄中的 SMB 簽署值在您重新開機用戶端電腦之後意外變更,請使用下列其中一種方法來檢視套用至用戶端電腦的套用原則設定:
•    在 Windows XP 型電腦上,使用原則 MMC 結果集嵌入式管理單元 (Rsop.msc) 。 如需原則結果集的詳細資訊,請參閱原則 的結果集。
•    在 Windows 2000 上,使用 Gpresult.exe 命令列工具來檢查群組原則結果。 如果要執行這項操作,請依照下列步驟執行:
1.    從 Windows 2000 資源套件安裝Gpresult.exe。
2.    在命令提示字元中,輸入 gpresult /scope 電腦,然後按 ENTER。
3.    在輸出的 [套用群組原則物件] 區段中,記下套用至電腦帳戶的群組原則物件。
4.    比較套用至這些群組原則物件之網域控制站上具有 SMB 簽署原則設定之電腦帳戶的群組原則物件。

步驟 3:確定 TCP/IP NetBIOS 協助程式服務已在所有電腦上啟動
網路上的所有電腦都必須執行 TCP/IP NetBIOS 協助程式服務。
若要確認 TCP/IP NetBIOS 協助程式服務正在 Windows XP 型電腦上執行,請遵循下列步驟:
1.    選取 [開始],然後選取 [控制台]。
2.    如果主控台在 [類別檢視] 中,請選取[切換至傳統檢視]。
3.    按兩下 [ 系統管理工具]。
4.    按兩下 [服務]。
5.    在 [ 服務] 清單中,選取 [TCP/IP NetBIOS 協助程式]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
a.    以滑鼠右鍵按一下 [TCP/IP NetBIOS 協助程式],然後選取 [ 屬性]。
b.    在 [ 啟動類型] 清單中,選取 [ 自動]。
c.    在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
d.    選取 [確定]。
若要確認 TCP/IP NetBIOS 協助程式服務正在以 Windows Server 2003 為基礎的電腦上執行,請遵循下列步驟:
1.    選 取 [開始],指向 [ 系統管理工具],然後選取 [ 服務]。
2.    在 [ 服務] 清單中,選取 [TCP/IP NetBIOS 協助程式]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
a.    以滑鼠右鍵按一下 [TCP/IP NetBIOS 協助程式],然後選取 [ 屬性]。
b.    在 [ 啟動類型] 清單中,選取 [ 自動]。
c.    在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
d.    選取 [確定]。
若要確認 TCP/IP NetBIOS 協助程式服務正在以 Windows 2000 為基礎的電腦上執行,請遵循下列步驟:
1.    選 取 [開始],指向 [ 程式],指向 [ 系統管理工具],然後選取 [ 服務]。
2.    在 [ 服務] 清單中,選取 [TCP/IP NetBIOS 協助程式服務]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
a.    以滑鼠右鍵按一下 [TCP/IP NetBIOS 協助程式服務],然後選取 [ 屬性]。
b.    在 [ 啟動類型] 清單中,選取 [ 自動]。
c.    在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
d.    選取 [確定]。
此外,請確定您尚未使用 群組原則 物件停用一或多個必要的系統服務。 使用資料夾中的 [群組原則 物件編輯 Computer Configuration/Windows Settings/Security Settings/System Services 器] 來檢視這些原則設定。
在 Windows Server 2003 和 Windows XP 上,您可以使用原則 MMC 結果集嵌入式管理單元 (Rsop.msc) 來檢查所有套用至電腦的原則設定。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 rsop.msc,然後選取 [ 確定]。
在 Windows 2000 上,使用 Gpresult.exe 命令列工具來檢查群組原則結果。 如果要執行這項操作,請依照下列步驟執行:
1.    從 Windows 2000 資源套件安裝Gpresult.exe。
2.    在命令提示字元中,輸入 gpresult /scope 電腦,然後按 ENTER。
3.    在輸出的 [套用群組原則物件] 區段中,記下套用至電腦帳戶的群組原則物件。
4.    比較套用至電腦帳戶的群組原則物件,以及這些群組原則物件網域控制站上的 SMB 簽署原則設定。
 注意
如果在許多桌上型電腦上停用 TCP/IP NetBIOS 協助程式服務,您可以使用下列範例 Microsoft Visual Basic 腳本,同時在組織單位 (OU) 的所有電腦上啟動 TCP/IP NetBIOS 協助程式服務。
Microsoft 提供的程式設計範例僅供說明之用,並不具任何明示或暗示的責任擔保。 這包括 (但不限於) 任何目的之適售性及適用性的暗示責任擔保。 本文假設您熟悉示範的程式設計語言,也熟悉用以建立和偵錯程序的工具。 Microsoft 支援工程師可以協助說明特定程式的功能,但不會修改這些範例來提供額外的功能或建構程式,以符合您的特定需求。
VB複製
Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

步驟 4:確定已在所有電腦上啟用分散式檔案系統 (DFS)
所有網域控制站都必須執行分散式檔案系統服務,因為 Sysvol 共用是 DFS 磁片區。 此外,必須在所有電腦的登錄中啟用 DFS 用戶端。
若要確定分散式檔案系統服務正在以 Windows Server 2003 為基礎的網域控制站上執行,請遵循下列步驟:
1.    選 取 [開始],指向 [ 系統管理工具],然後選取 [ 服務]。
2.    在 [ 服務] 清單中,選取 [分散式檔案系統 服務]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
a.    以滑鼠右鍵按一下 [分散式檔案系統],然後選取 [ 屬性]。
b.    在 [ 啟動類型] 清單中,選取 [ 自動]。
c.    在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
d.    選取 [確定]。
若要確定 分散式檔案系統 服務正在 Windows 2000 伺服器型網域控制站上執行,請遵循下列步驟:
1.    選 取 [開始],指向 [ 程式],指向 [ 系統管理工具],然後選取 [ 服務]。
2.    在 [ 服務] 清單中,選取 [分散式檔案系統 服務]。 確認 [ 狀態 ] 資料行下的值為 [ 已啟動]。 確認 [ 啟動類型 ] 資料行下的值為 [自動]。 如果 [狀態 ] 或 [ 啟動類型] 值 不正確,請遵循下列步驟:
a.    以滑鼠右鍵按一下 [分散式檔案系統],然後選取 [ 屬性]。
b.    在 [ 啟動類型] 清單中,選取 [ 自動]。
c.    在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
d.    選取 [確定]。
若要確定已在所有用戶端電腦上啟用分散式檔案系統用戶端,請遵循下列步驟:
1.    選取 [開始],再選取 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]。
2.    展開下列子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
3.    選取 [Mup],然後在右窗格中搜尋名為 DisableDFS的 DWORD 值專案。
4.    如果 DisableDFS 專案存在且值資料為 1,請按兩下 [DisableDFS]。 在 [ 值資料] 方塊中,輸入 0,然後選取 [ 確定]。 如果 DisableDFS 值資料已經是 0,或 DisableDFS 專案不存在,請勿進行任何變更。
5.    結束登錄編輯程式。
6.    如果您變更 DisableDFS 值資料,請重新開機電腦。

步驟 5:檢查 Sysvol 資料夾的內容和許可權
根據預設,Sysvol 資料夾位於 資料夾中 %systemroot% 。 Sysvol 資料夾包含網域的群組原則物件、Sysvol 和 Netlogon 共用,以及檔案複寫服務 (FRS) 暫存資料夾。
如果 Sysvol 資料夾或 Sysvol 共用的許可權太嚴格,則無法正確套用群組原則,並導致使用者環境 (Userenv) 錯誤。 此外,如果遺漏 Sysvol 共用或群組原則物件,可能會發生 Userenv 錯誤。
若要確定 Sysvol 共用可供使用,請在每個網域控制站的命令提示字元中執行 net share 命令。 如果要執行這項操作,請依照下列步驟執行:
1.    選 取 [開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 cmd,然後選取 [ 確定]。
2.    輸入 net share,然後按 ENTER。
3.    在資料夾清單中找出 SYSVOL 和 NETLOGON 。
如果一或多個網域控制站遺漏 Sysvol 或 Netlogon 共用,您必須針對問題原因進行疑難排解。
如需如何針對 Windows 2000 Server 中遺失的 Sysvol 和 Netlogon 共用進行疑難排解的詳細資訊,請參閱 針對 Windows 網域控制站上遺失的 SYSVOL 和 NETLOGON 共用進行疑難排解。
如需如何在 Windows Server 2003 中重建 Sysvol 共用的詳細資訊,請參閱 如何在網域中重建 SYSVOL 樹狀結構及其內容。
確定 Sysvol 共用可供使用之後,請確定 Sysvol 資料夾、Sysvol 共用和包含 Sysvol 資料夾之磁片區的根資料夾已設定正確的許可權。
此外,在 Windows 2000 Server 上,Everyone 群組必須獲得包含 Sysvol 資料夾之磁片區根資料夾的[完全控制] 許可權。 在 Windows Server 2003 上,Everyone 群組必須被授與「僅限此資料夾」的「讀 & 取執行」特殊許可權,且網域\使用者群組必須被授與下列標準許可權:
•    讀取 & 執行
•    列出資料夾內容
•    讀取
此外,在 Windows Server 2003 上,domain\Users 群組必須具有下列特殊許可權:
•    讀 & 取 「此資料夾、子資料夾和檔案」的「執行」許可權。
•    建立資料夾/將資料許可權附加至「此資料夾和子資料夾」。
•    [僅限子資料夾] 的 [建立檔案/ 寫入資料] 許可權。
確認 Sysvol 許可權之後,請確定 Sysvol 資料夾包含必要的群組原則物件。 若要尋找必要的群組原則物件,請使用 Windows 2000 或 Windows Server 2003 Resource Kit 中的Gpotool.exe程式。
如果您執行Gpotool.exe程式,但沒有任何選項,它會掃描網域中所有網域控制站上的所有群組原則物件。 如果您包含 /checkacl 參數,此工具也會掃描 ACL) (Sysvol 存取控制清單。 如需執行Gpotool.exe程式時的詳細輸出,請使用 /verbose 參數。
相反地,您可以手動驗證 SYSVOL 資料夾中的個別 GPO。 例如,如果 Userenv 1058 事件中的描述列出 GPO 的名稱,您可以手動驗證 SYSVOL 資料夾中的個別 GPO。 您可以這樣做,以確保它包含 USER 資料夾、MACHINE 資料夾和Gpt.ini檔。 若要手動驗證 SYSVOL 資料夾中的個別 GPO,請遵循下列步驟:
1.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 cmd,然後選取 [ 確定]。
2.    輸入 Time/interactive/next:cmd.exe,然後按 ENTER鍵,其中 Time 比目前時間晚 1 或 2 分鐘,並以 24 小時的時間格式撰寫。 例如,下午 1:00 之後的 3 分鐘會是 24 小時制格式的 13:03。
3.    當您在上一個命令中指定時,會開啟新的命令提示字元視窗。 Type net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID}, and then press ENTER, where GUID is the GUID of the GPO that is in the Userenv event description. 例如,如果 Userenv 1058 事件描述顯示, 「檔案必須出現在位置 < \\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini> 」,您在命令中使用的 GUID 是 31B2F340-016D-11D2-945F-00C04FB984F9。
4.    輸入 dir j:\*.*,然後按 ENTER。
5.    確認 I 磁片磁碟機的資料夾清單中已列出 USER 資料夾、MACHINE 資料夾和Gpt.ini檔案。 如果遺漏其中任何一個資料夾和檔案,網路上的電腦可能會在應用程式記錄檔中記錄 Userenv 錯誤。
如果 Sysvol 資料夾中遺漏一或多個群組原則物件,請執行 Windows Server 2003 Default 群組原則 Restore Utility (Dcgpofix.exe) 或 Windows 2000 Default 群組原則 Restore Tool (Recreatedefpol.exe) ,以重新建立預設群組原則物件。
windows Server 2003 隨附Dcgpofix.exe程式。 如需Dcgpofix.exe程式的其他資訊,請 dcgpofix /? 在命令提示字元中執行 命令。
當您使用防毒軟體掃描 Sysvol 磁片磁碟機時,請務必設定建議的排除專案。 使用防毒軟體掃描可能會封鎖對必要檔案的存取,例如Gpt.ini檔案。 您必須為所有即時、排程和手動防毒軟體掃描設定這些排除專案。

步驟 6:確定已將略過周遊檢查許可權授與必要的群組
略過周遊檢查許可權必須授與網域控制站上的下列群組:
•    系統管理員
•    已驗證的使用者
•    所有人
•    Windows 2000 之前相容存取
若要確認 Windows Server 2003 型網域控制站上已授與略過周遊檢查許可權,請遵循下列步驟:
1.    選 取 [開始],指向 [ 系統管理工具],然後選取 [網域控制站安全性原則]。
2.    展開 [ 本機原則],然後選取 [ 使用者權限指派]。
3.    按兩下 [ 略過周遊檢查]。
4.    按一下以選取 [ 定義這些原則設定] 複選 框。
5.    確認已針對此原則設定列出 [系統管理員]、[已驗證的使用者]、[所有人] 和 [Windows 2000 之前相容存取] 群組。 如果遺漏其中任何一個群組,請遵循下列步驟:
a.    選 取 [新增使用者] 或 [群組]。
b.    在 [ 使用者和組名] 方塊中,輸入遺漏群組的名稱,然後選取 [ 確定]。
6.    選取 [確定 ] 以關閉原則設定。
7.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 cmd,然後選取 [ 確定]。
8.    輸入 gpupdate /force,然後按 ENTER。
若要確認已在 Windows 2000 伺服器型網域控制站上授與略過周遊檢查許可權,請遵循下列步驟:
1.    選 取 [開始],指向 [程式],指向 [ 系統管理工具],然後選取 [網域控制站安全性原則]。
2.    依序展開 [安全性設定] 和 [ 本機原則],然後選取 [ 使用者權限指派]。
3.    按兩下 [ 略過周遊檢查]。
4.    按一下以選取 [ 定義這些原則設定] 複選 框。
5.    確認已針對此原則設定列出 [系統管理員]、[已驗證的使用者]、[所有人] 和 [Windows 2000 之前相容存取] 群組。 如果遺漏其中任何一個群組,請遵循下列步驟:
a.    選取[新增]。
b.    在 [ 使用者和組名] 方塊中,輸入遺漏群組的名稱,然後選取 [ 確定]。
6.    選取 [確定 ] 以關閉原則設定。
7.    啟動命令提示字元。 若要這樣做,請選取 [ 開始],選取 [ 執行],在 [ 開 啟] 方塊中輸入 cmd,然後選取 [ 確定]。
8.    輸入 secedit /refreshpolicy machine_policy /enforce,然後按 select 鍵。

步驟 7:確定網域控制站不是處於日誌包裝狀態
若要查看網域控制站是否處於日誌包裝狀態,請在事件檢視器中檢視檔案複寫服務記錄,並搜尋 NTFRS 事件識別碼 13568。 事件識別碼 13568 類似于下列事件識別碼:
如果在網域控制站上記錄 NTFRS 事件識別碼 13568,如需如何針對日誌包裝錯誤進行疑難排解的詳細資訊,請參閱 如何針對 Sysvol 和 DFS 複本集的journal_wrap錯誤進行疑難排解。

步驟 8:執行 Dfsutil /PurgeMupCache 命令
使用 參數執行Dfsutil.exe程式 /PurgeMupCache ,以排清本機 DFS/MUP 快取資訊。 Dfsutil.exe套裝程式含在 Windows 2000 Server 支援工具和 Windows Server 2003 支援工具中。

 

 

[參考]
https://learn.microsoft.com/zh-tw/troubleshoot/windows-server/group-policy/userenv-errors-occur-events-are-logged

arrow
arrow
    文章標籤
    windows server 群組原則
    全站熱搜
    創作者介紹
    創作者 M先生 的頭像
    M先生

    雨果

    M先生 發表在 痞客邦 留言(0) 人氣()