Расширенный клиент в SMS 2003 и Configuration Manager 2007 больше не работает после развертывания Windows XP с пакетом обновления 2 (SP2)

В этой статье описана проблема, из-за которой расширенный клиент больше не работает, если объект групповой политики (GPO) настроен на установку автоматическогорежима запуска службы узла агента SMS.

Исходная версия продукта:   Systems Management Server 2003, System Center Configuration Manager 2007
Исходный номер статьи базы знаний:   919592

Важно!

В этой статье приведены сведения о том, как упростить настройку безопасности или отключить функции безопасности на компьютере. Можно выполнить эти изменения, чтобы обойти определенную проблему. Перед внесением этих изменений рекомендуется оценить риски, связанные с реализацией этого обходного пути в конкретной среде. Если вы реализуете этот обходной путь, выполните все необходимые дополнительные действия, чтобы обеспечить защиту системы.

Симптомы

После развертывания Microsoft Windows XP с пакетом обновления 2 (SP2) на клиентских компьютерах, на которых запущен расширенный клиент в Microsoft Systems Management Server (SMS) 2003 или System Center Configuration Manager 2007, возникают следующие проблемы:

  • Расширенный клиент перестает правильно работать на клиентском компьютере. В этом случае расширенный клиент больше не получает политики SMS. Если вы попытаетесь запустить действие в расширенном клиенте на клиентском компьютере, появится следующее сообщение об ошибке:

    Не удалось запустить действие.

  • При просмотре файлов журнала SMS отображаются сведения, аналогичные приведенным ниже.

    В файле%WINDIR%\System32\CCM\Logs\CcmExec.log на клиентском компьютере

    Ошибка при вызове Коресумеклассобжектс. CcmExec <date> <time> 3304 (0x0CE8)
    Сбой инициализации этапа 1 (0x80004015). CcmExec <date> <time> 3304 (0x0CE8)
    Сбой инициализации этапа 1 (0x80004015). CcmExec <date> <time> 3304 (0x0CE8)

    В файле%WINDIR%\System32\CCM\Logs\execmgr.log на клиентском компьютере

    Командная строка = " \ \ <server> \ <share> $ \ <folder>\update\update.exe"/q/f/форцерестарт,
    Рабочий каталог = \ \ <server> \ <share> $ \ <folder> \ексекмгр <date> <time> 3292 (0x0CDC)
    Создан процесс для переданной команды линиксекмгр <date> <time> 3292 (0x0CDC)
    Возникновение события:
    [SMS_CodePage (437), SMS_LocaleID (1033)]
    экземпляр объекта Софтдистпрограмстартедевент
    {
    Адвертисементид = " <ID> ";
    ClientID = "GUID: <GUID> ";
    CommandLine = " \ " \ \ \ \ <server> \ \ <share> $ \ \ <folder> \ \ Update \ \update.exe\ "/q/f/форцерестарт";
    DateTime = " <date and time> . 572000 + 000";
    MachineName = " <computername> ";
    Паккаженаме = " <packagename> ";
    ProcessID = 228;
    Програмнаме = "автоматическое обновление с XP или XPSP1";
    Ситекоде = " <siteCode> ";
    ThreadID = 3292;
    UserContext = "NT AUTHORITY \ \систем";
    Воркингдиректори = " \ \ \ \ <server> \ \ <share> $ \ \ <folder> \ \ ";
    };
    ексекмгр <date> <time> 3292 (0x0CDC)
    Инициированное событие Started Program для AD: <ID> , Package: <package> , Program: автоматизированное обновление с XP или XPSP1execmgr <date> <time> 3292 (0x0CDC)
    Пользователь зарегистрировал off.exeкмгр <date> <time> 2656 (0x0A60)
    Автоматическое обновление программ из XP или XPSP1 выполняется, когда пользователь логгс оффексекмгр <date> <time> 2656 (0x0A60)
    Таймер диспетчера выполнения был fired.exeкмгр <date> <time> 1348 (0x0544)
    Обновлена политика для программы: MS04-028-JPEG Update for XP, Package: <package> , уведомлений: <ID> ексекмгр <date> <time> 1408 (0x0580)
    Код выхода программы 3010execmgr <date> <time> 2904 (0x0B58)
    Поиск MIF-файла для программы статусексекмгр <date> <time> 2904 (0x0B58)
    Скрипт для пакета: <package> , Program: автоматическое обновление из XP или XPsp1 выполнено с кодом выхода 3010execmgr <date> <time> 2904 (0x0B58)
    Возникновение события:
    [SMS_CodePage (437), SMS_LocaleID (1033)]
    экземпляр объекта Софтдистпрогрампрелимсукцессевент
    {
    Адвертисементид = " <ID> ";
    ClientID = "GUID: <GUID> ";
    DateTime = " <date> <time> . 781000 + 000";
    ExitCode = "3010";
    MachineName = " <computername> ";
    Паккаженаме = " <package> ";
    ProcessID = 228;
    Програмнаме = "автоматическое обновление с XP или XPSP1";
    Ситекоде = " <siteCode> ";
    ThreadID = 2904;
    };
    ексекмгр <date> <time> 2904 (0x0B58)
    Инициированная программа Прелим Success для AD: <ID> , Package: <package> , Program: автоматизированное обновление с XP или XPSP1execmgr <date> <time> 2904 (0x0B58)
    Выполнение программы для автоматического обновления с XP или XPSP1 завершено. Код выхода — 3010, состояние выполнения — Сукцессребутрекуиредексекмгр <date> <time> 2904 (0x0B58)
    Перезагрузка компьютера-Инитиатесистемшутдовнекс не удалась 1115execmgr <date> <time> 2904 (0x0B58)

    В файле диска: \ SMS_CCM \логс\смсклиуи.лог на сервере SMS

    Текущий назначенный сайт: <siteCode> смсклиуи <date> <time> 3320 (0x0CF8)
    Не удается получить Качеинфо. Ошибка: 0X80070005smscliui <date> <time> 3320 (0x0CF8)
    Код сайта SMS не был изменен. смсклиуи <date> <time> 3320 (0x0CF8)
    Текущий назначенный сайт: <siteCode> смсклиуи <date> <time> 3660 (0x0E4C)
    Не удается получить Качеинфо. Ошибка: 0X80070005smscliui <date> <time> 3660 (0x0E4C)
    Не удалось создать экземпляр класса CLSID_CCMClientAction, ошибка: 0x80070005smscliui <date> <time> 3660 (0x0E4C)

Причина

Эта проблема возникает, если объект групповой политики настроен на установку автоматическогорежима запуска службы узла агента SMS (CcmExec.exe).

Примечание

По умолчанию служба узла агента SMS не настроена с помощью групповой политики.

Решение 1: не определяйте службу узла агента SMS в групповой политике

Измените объект групповой политики, чтобы он больше не определял режим запуска для службы узла агента SMS. Для этого выполните следующие действия:

  1. Выполните вход на контроллер домена, а затем запустите средство "пользователи и компьютеры Active Directory". Для этого нажмите кнопку Пуск > Run, введите dsa.msc в поле Открыть , а затем нажмите кнопку ОК.

  2. Щелкните правой кнопкой мыши контейнер, в котором был создан объект групповой политики, и выберите пункт Свойства. Например, щелкните правой кнопкой мыши контейнер домена или щелкните подразделение правой кнопкой мыши и выберите пункт Свойства.

  3. Перейдите на вкладку Групповая политика , выберите объект групповой политики, в котором определена служба узла агента SMS , и нажмите кнопку изменить.

  4. В редакторе объектов групповой политики разверните узел Конфигурация компьютерапараметры > Windows Settings > безопасностиWindows, а затем выберите пункт системные службы.

  5. В правой области дважды щелкните узел Агент SMS, снимите флажок определить этот параметр политики , а затем нажмите кнопку ОК.

  6. Закройте редактор объектов групповой политики и нажмите кнопку ОК.

  7. Перезапустите клиентские компьютеры под управлением Windows XP с пакетом обновления 2 (SP2).

Решение 2: назначьте учетной записи NetworkService разрешение на полный доступ к объекту узла агента SMS

Предупреждение

При использовании этого обходного решения компьютер или сеть могут стать более уязвимыми для атак злоумышленников или вредоносных программ, например вирусов. Мы не рекомендуем использовать этот обходной способ, но предоставим эту информацию, чтобы вы могли использовать этот обходный способ самостоятельно. Ответственность за использование этого обходного пути несет пользователь.

Если назначить учетной записи NetworkService разрешения полного доступа к объекту узла агента SMS в групповой политике, вы можете оставить групповую политику автоматического запуска службы узла агента SMS. Для этого выполните следующие действия:

  1. Выполните вход на контроллер домена, а затем запустите средство "пользователи и компьютеры Active Directory". Для этого нажмите кнопку Пуск > Run, введите dsa.msc в поле Открыть , а затем нажмите кнопку ОК.

  2. Щелкните правой кнопкой мыши контейнер, в котором был создан объект групповой политики, и выберите пункт Свойства. Например, щелкните правой кнопкой мыши контейнер домена или щелкните подразделение правой кнопкой мыши и выберите пункт Свойства.

  3. Перейдите на вкладку Групповая политика , выберите объект групповой политики, в котором определена служба узла агента SMS , и нажмите кнопку изменить.

  4. В редакторе объектов групповой политики разверните узел Конфигурация компьютерапараметры > Windows Settings > безопасностиWindows, а затем выберите пункт системные службы.

  5. В правой области дважды щелкните узел Агент SMS, а затем выберите изменить безопасность.

  6. В диалоговом окне безопасность для узла агента SMS нажмите кнопку Добавить.

  7. Введите NetworkService в поле Введите имена выбираемых объектов , нажмите Проверить имена, а затем нажмите кнопку ОК.

  8. В поле разрешения для NetworkService установите флажок полный доступ в столбце Разрешить и нажмите кнопку ОК.

  9. В диалоговом окне Свойства узла агента SMS нажмите кнопку ОК.

  10. Закройте редактор объектов групповой политики и нажмите кнопку ОК.