當您將群組原則套用至執行 Windows Server 2003、Windows XP 或 Windows 2000 的電腦之後,便會發生 Userenv 錯誤,並記錄事件。

本文提供解決方法,可解決網路上的電腦無法連線至網路網域控制站上 Sysvol 資料夾中 (GPO) 的群組原則物件。

原始產品版本:   Windows 10-all edition,Windows Server 2012 R2
原始 KB 編號:   887303

摘要

若群組原則套用至網路上的電腦,您可能會遇到一或多個錯誤和事件。 若要判斷問題的原因,您必須疑難排解網路上電腦的設定。 請遵循下列步驟來疑難排解問題的原因:

  1. 檢查伺服器和用戶端電腦上的 [DNS 設定] 和 [網路] 屬性。
  2. 檢查用戶端電腦上的伺服器消息區塊簽署設定。
  3. 請確定所有電腦上都已啟動 TCP/IP NetBIOS Helper service、Net Logon 服務和遠端過程呼叫 (RPC) 服務。
  4. 確定所有電腦上已啟用 [分散式檔案系統 (DFS) 。
  5. 檢查 Sysvol 資料夾的內容和許可權。
  6. 請確定已將「略過遍歷檢查許可權授與必要的群組。
  7. 請確定網域控制站不在日誌回繞狀態。
  8. 執行 dfsutil /purgemupcache 命令。

徵狀

在執行 Microsoft Windows Server 2003、Microsoft Windows XP 或 Microsoft Windows 2000 的電腦上,您會遇到下列一或多項徵兆:

  • 不會將群組原則設定套用到電腦。

  • 在網路上的網域控制站之間不會完成群組原則複寫。

  • 您無法開啟 [群組原則] 嵌入式管理單元。例如,您無法開啟 [網域控制站安全性原則] 嵌入式管理單元或「網域安全性原則」嵌入式管理單元。

  • 如果您嘗試開啟群組原則嵌入式管理單元,您會收到下列其中一則錯誤訊息:

    無法開啟群組原則物件。 您可能沒有適當的許可權。
    詳細資訊:此帳戶未獲授權從此工作站登入。

    您沒有執行此作業的許可權。
    詳細資料:拒絕存取。

    無法開啟群組原則物件。 您可能沒有適當的許可權。
    詳細資料:系統找不到指定的路徑。

  • 如果您嘗試存取任何網域控制站上的共用檔案,您會收到錯誤訊息。 即使您已登入伺服器,但嘗試存取本機共用,也會發生這種現象。 具體而言,此症狀可能會影響對網域控制站之 Sysvol 共用的存取。

  • 如果您嘗試存取檔案共用,將會反復提示您輸入密碼。

  • 如果您嘗試存取檔案共用,您會收到類似下列其中一則錯誤訊息的錯誤訊息:

    \\Server_Name \無法存取 Share_Name 。 您可能沒有使用此網路資源的許可權。 請洽詢此伺服器的管理員,以找出您是否有存取許可權。
    此帳戶未獲授權從此工作站登入。

    \\Server_Name \無法存取 Share_Name
    此帳戶未獲授權從此工作站登入。

    找不到網路路徑。

[!注意] 如果您在 Windows XP 或 Windows Server 2003 的事件檢視器中查看應用程式記錄,您會看到與下列事件類似的事件:

事件類型:錯誤

事件來源: Userenv
事件類別:無
事件 ID: 1058

Date: date
時間:
Time
使用者:
User_Name
電腦:
Computer_Name
描述: Windows 無法存取 GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}、CN = 原則、CN=System、DC = domainname、DC=com 的檔案 gpt.ini。 檔案必須存在於 \ \ 功能變數名稱 <domainname. \ **** com\Policies \ {31B2F340-016D-11D2-945F-00C04FB984 com\sysvol F9} \gpt.ini>。 (Error_Message) 。 群組原則處理終止。 如需詳細資訊,請參閱 Help 和 Support Center at https://support.microsoft.com

出現在事件識別碼1058的 Error_Message placeholder 中的錯誤訊息可能是下列其中一項錯誤訊息:

  • 找不到網路路徑。

  • 拒絕存取。

  • 無法從網域控制站讀取設定資訊,原因是機器無法使用,或存取權遭到拒絕。

事件類型:錯誤
事件來源: Userenv
事件類別:無
事件 ID: 1030
日期:
Date
時間:
Time
使用者:
User_Name
電腦:
Computer_Name
描述: Windows 無法查詢群組原則物件的清單。 描述原因的訊息先前是由原則引擎記錄。 如需詳細資訊,請參閱 Help 和 Support Center at https://support.microsoft.com

一般來說,如果發生事件識別碼1058和事件識別碼1030,當電腦啟動時,用戶端電腦和成員伺服器便會記錄這些事件識別碼。 網域控制站會每隔五分鐘記錄這些事件。

當您在 Windows 2000 電腦上的事件檢視器中查看應用程式記錄檔時,會看到與下列事件類似的事件:

事件類型:錯誤
事件來源: Userenv

事件類別:無
事件 ID: 1000
日期:
Date
時間:
Time
使用者: NT AUTHORITY\SYSTEM
電腦:
Computer_Name
描述: Windows 無法存取 domainname 的登錄資訊 \ \ ****。 com\sysvol \ domainname. com\Policies \ {31B2F340-016D-11D2-945F-00C04FB984F 9} \Machine\registry.pol (Error_Code) 。

出現在事件識別碼1000中 Error_Code placeholder 的錯誤碼可能是下列其中一個錯誤碼:

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

原因

如果網路上的電腦無法連線至特定的群組原則物件,就會發生這些問題。 具體說來,這些物件位於網路網域控制站上的 Sysvol 資料夾中。

解決方案

重要

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎執行這些步驟。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需如何備份及還原登錄的詳細資訊,請參閱 how to 備份及還原 Windows 中的登錄

若要解決此問題,您必須疑難排解網路的設定,以縮小問題的原因,然後更正設定。 若要疑難排解可能的問題原因,請遵循下列步驟:

步驟1:檢查伺服器和用戶端電腦上的 DNS 設定和網路屬性

在 [本機區域線上內容] 中,所有伺服器和用戶端電腦上都必須啟用 Microsoft 網路的用戶端。 必須在所有網域控制站上啟用 [Microsoft 網路元件的檔案和印表機共用]。

此外,網路上的每一部電腦都必須使用 DNS 伺服器來解析電腦所屬之 Active Directory 樹系的 SRV 記錄及主機名稱。 一般來說,用戶端電腦若要使用屬於網際網路服務提供者的 DNS 伺服器, (ISP) 。

在所有已記錄 Userenv 錯誤的電腦上,檢查 DNS 設定和網路屬性。 此外,請在所有網域控制站上檢查這些設定,不論它們是否記錄 Userenv 錯誤。

若要驗證您網路中 Windows XP 電腦上的 DNS 設定和網路內容,請遵循下列步驟:

  1. 選取 [ 開始],然後選取 [ 控制台]。
  2. 如果 [控制台] 設定為 [類別] 視圖,請選取 [ 切換至經典 模式]。
  3. 連按兩下 [ 網路 連線],以滑鼠右鍵按一下 [ 本機區域 連線],然後選取 [ 屬性]。
  4. 在 [ 一般 ] 索引標籤上,按一下以選取 [ Microsoft 網路的用戶端 ] 核取方塊。
  5. 選取 [ 網際網路通訊協定 (TCP/IP)],然後選取 [ 屬性]。
  6. 如果選取了 [使用下列 dns 伺服器位址 ],請確定首選和備用 DNS 伺服器的 ip 位址是可解析 Active DIRECTORY 中 SRV 記錄及主機名稱之 DNS 伺服器的 ip 位址。 具體說來,電腦 mustn't 使用屬於您 ISP 的 DNS 伺服器。 如果 DNS 伺服器位址不正確,請在 [ 首選 dns 伺服器 ] 和 [ 替代 dns 伺服器 ] 方塊中輸入正確 dns 伺服器的 IP 位址。
  7. 選取 [ 高級],然後選取 [ DNS ] 索引標籤。
  8. 按一下以選取 [ 在 DNS 中登錄這個連線的位址 ] 核取方塊,然後選取三次 [確定]
  9. 啟動命令提示字元。 若要執行此動作,請選取 [ 開始],選取 [ 執行],輸入 Cmd,然後選取 [確定]
  10. 輸入 ipconfig/flushdns,然後按 enter 鍵。 輸入 ipconfig/registerdns,然後按 enter 鍵。
  11. 重新開機電腦,您的變更才會生效。

若要在您的網路中驗證 Windows 2000 電腦上的 DNS 設定和網路屬性,請遵循下列步驟:

  1. 選取 [ 開始],指向 [ 設定],然後選取 [ 控制台]。

  2. 連按兩下 [ 網路和撥號連線]。

  3. 以滑鼠右鍵按一下 [ 本機區域 連線],然後選取 [ 屬性]。

  4. 在 [ 一般 ] 索引標籤上,按一下以選取 [ Microsoft 網路的用戶端 ] 核取方塊。

  5. 如果電腦是網域控制站,請按一下以選取 [ Microsoft 網路的檔案和印表機共用 ] 核取方塊。

    注意

    在多穴遠端存取伺服器和 Microsoft Internet 安全性和加速 (ISA) 伺服器型伺服器上,您可以針對連接至網際網路的網路介面卡停用 Microsoft 網路元件的檔案和印表機共用。 不過,所有伺服器的網路介面卡都必須啟用 [Microsoft 網路元件] 的用戶端。

  6. 選取 [ 網際網路通訊協定 (TCP/IP)],然後按一下 [ 屬性]。

  7. 如果選取了 [使用下列 dns 伺服器位址 ],請確定首選和備用 DNS 伺服器的 ip 位址是可解析 Active DIRECTORY 中 SRV 記錄及主機名稱之 DNS 伺服器的 ip 位址。 具體而言,電腦不得使用屬於您 ISP 的 DNS 伺服器。 如果 DNS 伺服器位址不正確,請在 [ 首選 dns 伺服器 ] 和 [ 替代 dns 伺服器 ] 方塊中輸入正確 dns 伺服器的 IP 位址。

  8. 選取 [ 高級],然後選取 [ DNS ] 索引標籤。

  9. 按一下以選取 [ 在 DNS 中登錄這個連線的位址 ] 核取方塊,然後選取三次 [確定]

  10. 啟動命令提示字元。 若要執行此動作,請選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Cmd,然後選取 [確定]

  11. 輸入 ipconfig/flushdns,然後按 enter 鍵。 輸入 ipconfig/registerdns,然後按 enter 鍵。

  12. 將電腦重新開機。

若要驗證您網路中 Windows Server 2003 電腦上的 DNS 設定和網路內容,請遵循下列步驟:

  1. 選取 [ 開始],指向 [ 控制台],然後按兩下 [ 網路連接]。

  2. 以滑鼠右鍵按一下 [局域] 連線,然後選取 [ 屬性]。

  3. 在 [ 一般 ] 索引標籤上,按一下以選取 [ Microsoft 網路的用戶端 ] 核取方塊。

  4. 如果電腦是網域控制站,請按一下以選取 [ Microsoft 網路的檔案和印表機共用 ] 核取方塊。

    注意

    在多主遠端存取伺服器和 ISA Server 的伺服器上,您可以針對連接至網際網路的網路介面卡,停用 Microsoft 網路元件的檔案和印表機共用。 不過,所有伺服器的網路介面卡都必須啟用 [Microsoft 網路元件] 的用戶端。

  5. 選取 [ 網際網路通訊協定 (TCP/IP)],然後選取 [ 屬性]。

  6. 如果選取了 [使用下列 dns 伺服器位址 ],請確定首選和備用 DNS 伺服器的 ip 位址是可解析 Active DIRECTORY 中 SRV 記錄及主機名稱之 DNS 伺服器的 ip 位址。 具體說來,電腦 mustn't 使用屬於您 ISP 的 DNS 伺服器。 如果 DNS 伺服器位址不正確,請在 [ 首選 dns 伺服器 ] 和 [ 替代 dns 伺服器 ] 方塊中輸入正確 dns 伺服器的 IP 位址。

  7. 選取 [ 高級],然後選取 [ DNS ] 索引標籤。

  8. 按一下以選取 [ 在 DNS 中登錄這個連線的位址 ] 核取方塊,然後選取三次 [確定]

  9. 啟動命令提示字元。 若要執行此動作,請選取 [ 開始],選取 [ 執行],輸入 Cmd,然後選取 [確定]

  10. 輸入 ipconfig/flushdns,然後按 enter 鍵。 輸入 ipconfig/registerdns,然後按 enter 鍵。

  11. 重新開機電腦,您的變更才會生效。

如果您網路中的用戶端電腦已設定為自動取得 IP 位址,請確定執行 DHCP 服務的電腦會指派 DNS 伺服器的 IP 位址,以解析 Active Directory 中的 SRV 記錄及主機名稱。

若要判斷電腦在 DNS 中使用的 IP 位址,請遵循下列步驟:

  1. 啟動命令提示字元。 若要這麼做,請選取 [ 開始],選取 [ 執行],然後在 [ 開啟 ] 方塊中輸入 Cmd,然後選取 [確定]
  2. 輸入 ipconfig/all,然後按 enter 鍵。
  3. 請注意畫面上所列的 DNS 專案。

如果設定為自動取得 IP 位址的電腦未使用正確的 DNS 伺服器,請參閱您 DHCP 伺服器的檔,以取得如何設定 DNS 伺服器選項的相關資訊。 此外,請確定每一部電腦都可以解析網域的 IP 位址。 若要這麼做,請輸入 ping Your_Domain_Name。在命令提示字元中 Your_Domain_Root ,然後按 enter 鍵。 請改為輸入 nslookup Your_Domain_NameYour_Domain_Root,然後按 enter

注意

預期此主機名稱會解析為網路上其中一個網域控制站的 IP 位址。 如果電腦無法解析此名稱,或名稱解析為錯誤的 IP 位址,請確定網域的 [正向對應區域] 包含有效 的 (與父資料夾) 主機 () 記錄相同。

若要確定網域的正向對應區域包含的 () 主機 (Windows 2000 電腦上的) 記錄相同的有效,請遵循下列步驟:

  1. 在執行 DNS 的網域控制站上,選取 [ 開始],指向 [ 程式],指向 [系統 管理工具],然後選取 [ DNS]。

  2. 展開 Your_Server_Name,展開 [ 正向對應區域],然後為您的網域選取正向對應區域。

  3. 尋找與 父資料夾) 主機 () 記錄的 (相同。

  4. 如果) 記錄的 (與父資料夾) 主機 (不存在,請遵循下列步驟建立一個:

    1. 在 [ 動作 ] 功能表上,選取 [ 新增主機]。
    2. 在 [ IP 位址 ] 方塊中,輸入網域控制站的本機網路介面卡的 IP 位址。
    3. 按一下以選取 [ 建立關聯的指標 (PTR) 記錄 ] 核取方塊,然後選取 [ 新增主機]。
    4. 當您收到下列訊息時,請選取 [是]

      (與父資料夾相同) 不是有效的主機名稱。 您確定要新增此記錄嗎?

  5. 連按兩下 () 記錄中的「 父資料夾」) 主機] (。

  6. 確認 [ ip 位址 ] 方塊中列出的是正確的 IP 位址。

  7. 如果 [ ip 位址 ] 方塊中的 ip 位址無效,請在 [ ip 位址 ] 方塊中輸入正確的 ip 位址,然後選取 [確定]

  8. 相反地,您可以將 (與父資料夾) 主機 () 記錄中刪除,而該記錄包含不正確 IP 位址。 若要刪除與) 記錄) 主機 (的 (相同的父資料夾 ,請以滑鼠右鍵按一下它,然後選取 [ 刪除]。

  9. 如果 DNS 伺服器是也是路由和遠端存取伺服器的網域控制站,請參閱也會 執行 DNS 或 WINS 之路由和遠端存取伺服器上的名稱解析和連線問題

  10. 在您新增、刪除或修改 DNS 記錄的所有電腦上,于命令提示字元處輸入 ipconfig/flushdns ,然後按 enter 鍵。

若要確定網域的正向對應區域所包含的 () 主機 (Windows Server 2003 電腦上的) 記錄,請遵循下列步驟:

  1. 在執行 DNS 的網域控制站上,選取 [ 開始],指向 [系統 管理工具],然後選取 [ DNS]。

  2. 展開 Your_Server_Name,展開 [ 正向對應區域],然後為您的網域選取正向對應區域。

  3. 尋找 (與 父資料夾) 主機 () 記錄相同。

  4. 如果) 記錄的 (與父資料夾) 主機 (不存在,請遵循下列步驟建立一個:

    1. 在 [ 動作 ] 功能表上,選取 [ 新增主機 ()]。
    2. 在 [ IP 位址 ] 方塊中,輸入網域控制站的本機網路介面卡的 IP 位址。
    3. 按一下以選取 [ 建立關聯的指標 (PTR) 記錄 ] 核取方塊,然後選取 [ 新增主機]。
    4. 當您收到下列訊息時,請選取 [是]

      (與父資料夾相同) 不是有效的主機名稱。 您確定要新增此記錄嗎?

  5. 連按兩下 () 記錄中的「 父資料夾」) 主機] (。

  6. 確認 [ ip 位址 ] 方塊中列出的是正確的 IP 位址。

  7. [ip 位址 ] 方塊中輸入正確的 ip 位址時,請在 [ ip 位址 ] 方塊中輸入正確的 ip 位址,然後選取 [確定]

  8. 相反地,您可以將 () 主機 () 記錄中刪除,使其包含不正確 IP 位址。 若要刪除主機 () 記錄,請以滑鼠右鍵按一下 [ (與父資料夾) 相同],然後選取 [ 刪除]。

  9. 如果 DNS 伺服器是也是路由和遠端存取伺服器的網域控制站,請參閱也會 執行 DNS 或 WINS 之路由和遠端存取伺服器上的名稱解析和連線問題

  10. 在您新增、刪除或修改 DNS 記錄的所有電腦上,于命令提示字元處輸入 ipconfig/flushdns ,然後按 enter 鍵。

步驟2:檢查用戶端電腦和成員伺服器上的伺服器消息區塊簽署設定

伺服器消息區塊 (SMB) 簽署設定會定義網路上的電腦是否要數位簽署通訊。 如果未正確設定 SMB 簽署設定,用戶端電腦或成員伺服器可能無法連線至網域控制站。

例如,網域控制站可能需要 SMB 簽名,但在用戶端電腦上可能會停用 SMB 簽名。 如果發生此問題,將無法正確套用群組原則。 所以,用戶端電腦會記錄使用者環境 (Userenv) 應用程式記錄檔中的錯誤。 在某些情況下,網域控制站上的伺服器服務和工作站服務的 SMB 簽署設定可能會相互衝突。

例如,網域控制站的工作站服務可能會停用 SMB 簽署,但是網域控制站的伺服器服務需要 SMB 簽名。 在此情況下,如果您已登入伺服器,則無法開啟一個或多個網域控制站的本機檔案共用。 此外,如果您已登入伺服器,便無法開啟 [群組原則] 嵌入式管理單元。
如需如何在網域控制站上疑難排解這項問題的詳細資訊,請參閱 您無法在網域控制站上開啟檔案共用或群組原則增益集

若群組原則錯誤只會發生于用戶端電腦和成員伺服器上,或者您決定 無法在網域控制站上開啟檔案共用或群組原則增益集 ,則不會套用到您的情況,請繼續進行問題的疑難排解。

根據預設,在用戶端電腦與執行 Windows XP、Windows 2000 或 Windows Server 2003 的成員伺服器上,用戶端通訊所需的 SMB 簽名皆已啟用。 建議您使用預設設定,因為用戶端電腦可以盡可能使用 SMB 簽名,但仍會與已停用 SMB 簽名的伺服器進行通訊。

若要將用戶端電腦和成員伺服器設定為啟用 SMB 簽名,但不是必要的,您必須變更一些登錄專案的值。 若要在用戶端電腦上進行登錄變更,請遵循下列步驟:

  1. 選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Regedit,然後選取 [確定]
  2. 展開下列登錄子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. 在右窗格中,以滑鼠右鍵按一下 [ enablesecuritysignature],然後選取 [ 修改]。
  4. 在 [ 數值資料 ] 方塊中,輸入0,然後選取 [確定]
  5. 以滑鼠右鍵按一下 [ requiresecuritysignature],然後選取 [ 修改]。
  6. 在 [ 數值資料 ] 方塊中,輸入0,然後選取 [確定]
  7. 展開下列登錄子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. 在右窗格中,以滑鼠右鍵按一下 [ enablesecuritysignature],然後選取 [ 修改]。
  9. 在 [ 數值資料 ] 方塊中,輸入1,然後選取 [確定]
  10. 以滑鼠右鍵按一下 [ requiresecuritysignature],然後選取 [ 修改]。
  11. 在 [ 數值資料 ] 方塊中,輸入0,然後選取 [確定]

變更登錄值後,請重新開機伺服器及工作站服務。 不要重新開機電腦,因為這可能會造成套用群組原則,而且群組原則設定可能會再次設定衝突的值。

在受影響的電腦上變更登錄值並重新啟動伺服器和工作站服務之後,請遵循下列步驟:

  1. 查看適用于受影響電腦帳戶的 GPO 或 Gpo 的群組原則設定。
  2. 請確定群組原則不會與所需的登錄設定發生衝突。
  3. 使用群組原則物件編輯器來查看下列資料夾中的原則設定: Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

在執行 Windows Server 2003 的電腦上,SMB 簽署群組原則設定具有下列名稱:

  • Microsoft 網路伺服器:以數位方式簽署通訊 (永遠)
  • Microsoft 網路伺服器:在用戶端同意) 進行數位簽章的通訊 (
  • Microsoft 網路用戶端:以數位方式簽署通訊 (永遠)
  • Microsoft 網路用戶端:在伺服器同意) 進行數位簽章的通訊 (

在執行 Windows 2000 Server 的電腦上,SMB 簽署群組原則設定具有下列名稱:

  • 數位簽署伺服器通訊 (always)
  • 盡可能數位簽署伺服器通訊 ()
  • 以數位方式簽署用戶端通訊 (always)
  • 可能) 以數位方式簽署用戶端通訊 (

一般說來,SMB 簽署群組原則設定會設定為「未定義」。 如果您定義了 SMB 簽署群組原則設定,請確定您瞭解這些設定對網路連線的影響。
如需有關 SMB 簽署設定的詳細資訊,請參閱 當您變更安全性設定和使用者權限指派時,可能會發生用戶端、服務和程式問題

如果您變更執行 Windows 2000 伺服器的網域控制站上的 GPO 設定,請遵循下列步驟:

  1. 啟動命令提示字元。 若要執行此動作,請選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Cmd,然後選取 [確定]
  2. 輸入 secedit/refreshpolicy machine_policy/enforce],然後按 enter
  3. 重新開機受影響的用戶端電腦。
  4. 在用戶端電腦上的登錄中重新檢查 SMB 簽署值,以確保使用者未意外變更。

如果您變更執行 Windows Server 2003 的網域控制站上的 GPO 設定,請遵循下列步驟:

  1. 啟動命令提示字元。 若要執行此動作,請選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Cmd,然後選取 [確定]
  2. 輸入 gpupdate/force,然後按 enter 鍵。
  3. 重新開機受影響的用戶端電腦。
  4. 請重新檢查用戶端電腦上登錄中的 SMB 簽署值,以確保它們未意外變更。

當您重新開機用戶端電腦之後,如果登錄中的 SMB 簽名值意外變更,請使用下列其中一種方法來查看套用至用戶端電腦的套用原則設定:

  • 在 Windows XP 的電腦上,使用原則的結果集 MMC 嵌入式管理單元 (的 services.msc) 。 如需原則的結果集的詳細資訊,請參閱 原則的結果集

  • 在 Windows 2000 上,使用 Gpresult.exe 命令列工具檢查群組原則結果。 若要這麼做,請遵循下列步驟:

    1. 從 Windows 2000 資源套件安裝 Gpresult.exe。

    2. 在命令提示字元處,輸入 gpresult/scope computer,然後按 enter 鍵。

    3. 在輸出的 [已套用的群組原則物件] 區段中,記下已套用至電腦帳戶的群組原則物件。

    4. 針對這些群組原則物件,比較套用到具有網域控制站之 SMB 簽署原則設定之電腦帳戶的群組原則物件。

步驟3:確定所有電腦上均已啟動 TCP/IP NetBIOS Helper service

網路上的所有電腦都必須執行 TCP/IP NetBIOS Helper service。

若要確認 TCP/IP NetBIOS Helper 服務是否正在 Windows XP 電腦上執行,請遵循下列步驟:

  1. 選取 [ 開始],然後選取 [ 控制台]。
  2. 如果控制台位於類別模式中,請選取 [ 切換至經典 模式]。
  3. 連按兩下 [系統 管理工具]。
  4. 按兩下 [服務]。
  5. 在 [ 服務 ] 清單中,選取 [ TCP/IP NetBIOS Helper]。 確認 [ 狀態 ] 欄下的值是否已 啟動。 確認 [ 啟動類型 ] 欄下的值為 [ 自動]。 如果 [ 狀態 ] 或 [ 啟動類型 ] 值不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按一下 TCP/IP NetBIOS Helper],然後選取 [ 屬性]。
    2. 在 [ 啟動類型 ] 清單中,選取 [ 自動]。
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
    4. 選取 [確定]。

若要確認 TCP/IP NetBIOS Helper 服務是否正在 Windows Server 2003 電腦上執行,請遵循下列步驟:

  1. 選取 [ 開始],指向 [系統 管理工具],然後選取 [ 服務]。
  2. 在 [ 服務 ] 清單中,選取 [ TCP/IP NetBIOS Helper]。 確認 [ 狀態 ] 欄下的值是否已 啟動。 確認 [ 啟動類型 ] 欄下的值為 [ 自動]。 如果 [ 狀態 ] 或 [ 啟動類型 ] 值不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按一下 TCP/IP NetBIOS Helper],然後選取 [ 屬性]。
    2. 在 [ 啟動類型 ] 清單中,選取 [ 自動]。
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
    4. 選取 [確定]。

若要確認 TCP/IP NetBIOS Helper 服務是否正在 Windows 2000 電腦上執行,請遵循下列步驟:

  1. 選取 [ 開始],指向 [ 程式],指向 [系統 管理工具],然後選取 [ 服務]。
  2. 在 [ 服務 ] 清單中,選取 [ TCP/IP NetBIOS Helper Service]。 確認 [ 狀態 ] 欄下的值是否已 啟動。 確認 [ 啟動類型 ] 欄下的值為 [ 自動]。 如果 [ 狀態 ] 或 [ 啟動類型 ] 值不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按一下 TCP/IP NetBIOS Helper Service],然後選取 [ 屬性]。
    2. 在 [ 啟動類型 ] 清單中,選取 [ 自動]。
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
    4. 選取 [確定]。

此外,請確定您未使用群組原則物件停用一或多個必要的系統服務。 使用資料夾中的群組原則物件編輯器來查看這些原則設定 Computer Configuration/Windows Settings/Security Settings/System Services

在 Windows Server 2003 和 Windows XP 上,您可以使用原則的結果集 MMC 嵌入式管理單元,以 () 檢查套用至電腦的所有已套用原則設定。 若要執行此動作,請選取 [ 開始],選取 [ 執行],然後在 [ 開啟 ] 方塊中輸入 [Services.msc],然後選取 [確定]

在 Windows 2000 上,使用 Gpresult.exe 命令列工具檢查群組原則結果。 若要這麼做,請遵循下列步驟:

  1. 從 Windows 2000 資源套件安裝 Gpresult.exe。
  2. 在命令提示字元處,輸入 gpresult/scope computer,然後按 enter 鍵。
  3. 在輸出的 [已套用的群組原則物件] 區段中,記下已套用至電腦帳戶的群組原則物件。
  4. 將套用到電腦帳戶的群組原則物件,與這些群組原則物件的網域控制站上的 SMB 簽署原則設定進行比較。

注意

如果已在許多桌面上停用 TCP/IP NetBIOS Helper 服務,您可以使用下列的 Microsoft Visual Basic 腳本,在組織單位的所有電腦上同時啟動 TCP/IP NetBIOS Helper 服務 (OU) 。

Microsoft 提供的程式設計範例僅供說明之用,並不具任何明示或暗示的責任擔保。 這包括(但不限於)暗示擔保的適售性或特定用途適用性。 本文假設您熟悉所示範的程式設計語言,以及用來建立及偵錯工具的工具。 Microsoft 支援工程師可以協助說明特定程式的功能,但不會修改這些範例,以提供額外的功能或建立程式,以符合您的特定需求。

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

步驟4:確定所有電腦上已啟用分散式檔案系統 (DFS)

所有的網域控制站都必須執行分散式檔案系統服務,因為 Sysvol 共用是 DFS 磁片區。 此外,您必須在所有電腦的登錄中啟用 DFS 用戶端。

若要確定分散式檔案系統服務在以 Windows Server 2003 為基礎的網域控制站上執行,請遵循下列步驟:

  1. 選取 [ 開始],指向 [系統 管理工具],然後選取 [ 服務]。
  2. 在 [ 服務 ] 清單中,選取 [ 分散式檔案系統 服務]。 確認 [ 狀態 ] 欄下的值是否已 啟動。 確認 [ 啟動類型 ] 欄下的值為 [ 自動]。 如果 [ 狀態 ] 或 [ 啟動類型 ] 值不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按一下 [ 分散式檔案系統],然後選取 [ 屬性]。
    2. 在 [ 啟動類型 ] 清單中,選取 [ 自動]。
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
    4. 選取 [確定]。

若要確定 分散式檔案系統 服務正在 Windows 2000 伺服器型網域控制站上執行,請遵循下列步驟:

  1. 選取 [ 開始],指向 [ 程式],指向 [系統 管理工具],然後選取 [ 服務]。
  2. 在 [ 服務 ] 清單中,選取 [ 分散式檔案系統 服務]。 確認 [ 狀態 ] 欄下的值是否已 啟動。 確認 [ 啟動類型 ] 欄下的值為 [ 自動]。 如果 [ 狀態 ] 或 [ 啟動類型 ] 值不正確,請遵循下列步驟:
    1. 以滑鼠右鍵按一下 [ 分散式檔案系統],然後選取 [ 屬性]。
    2. 在 [ 啟動類型 ] 清單中,選取 [ 自動]。
    3. 在 [ 服務狀態 ] 區域中,如果服務未啟動,請選取 [ 啟動]。
    4. 選取 [確定]。

若要確定所有用戶端電腦上已啟用分散式檔案系統用戶端,請遵循下列步驟:

  1. 選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Regedit,然後選取 [確定]
  2. 展開下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. 選取 Mup,然後在右窗格中,搜尋名為 DisableDFS 的 DWORD 值專案。
  4. 如果 DisableDFS 專案存在,且數值資料是 1,則按兩下 [ DisableDFS]。 在 [ 數值資料 ] 方塊中,輸入0,然後選取 [確定]。 如果 DisableDFS 值資料已經是 0,或是 DisableDFS 專案不存在,請不要進行任何變更。
  5. 退出登錄編輯程式。
  6. 如果您變更了 DisableDFS 數值資料,請重新開機電腦。

步驟5:檢查 Sysvol 資料夾的內容和許可權

Sysvol 資料夾預設位於 %systemroot% 資料夾中。 Sysvol 資料夾包含網域的群組原則物件、Sysvol 和 Netlogon 共用,以及檔案複寫服務 (FRS) 暫存資料夾。

如果 Sysvol 資料夾或 Sysvol 共用的許可權過於嚴格,則無法正確套用群組原則,並造成使用者環境 (Userenv) 錯誤。 此外,如果 Sysvol 共用或群組原則物件遺失,也可能會發生 Userenv 錯誤。
若要確定 Sysvol 共用可用,請在每個網域控制站上的命令提示字元中執行 net share 命令。 若要這麼做,請遵循下列步驟:

  1. 選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Cmd,然後選取 [確定]
  2. 輸入 net share,然後按 ENTER
  3. 在資料夾清單中找出 SYSVOLNETLOGON

如果一或多個網域控制站中遺失 Sysvol 或 Netlogon 共用,您必須疑難排解問題的原因。
如需如何針對 Windows 2000 Server 中遺失的 Sysvol 和 Netlogon 共用進行疑難排解的詳細資訊,請參閱 疑難排解 windows 網域控制站上遺失的 sysvol 和 netlogon 共用

如需如何在 Windows Server 2003 中重建 Sysvol 共用的詳細資訊,請參閱 how to rebuild THE sysvol tree 及其 content in domain

確定 Sysvol 共用可用之後,請確定已使用正確的許可權設定包含 Sysvol 資料夾之卷的 Sysvol 資料夾、Sysvol 共用及根資料夾。 如需 Sysvol 共用和 Sysvol 資料夾所需許可權的詳細資訊,請參閱 事件識別碼1000,1001會在應用程式事件記錄檔中每隔五分鐘進行記錄

此外,在 Windows 2000 Server 上,[Everyone] 群組必須授與包含 Sysvol 資料夾之磁片區之根資料夾的「完全控制」許可權。 在 Windows Server 2003 上,必須授與 [所有人] 群組的 [讀取 & 執行特殊許可權] [只有此資料夾],且 domain\Users 群組必須授與下列標準許可權:

  • 讀取 & 執行
  • 列出資料夾內容
  • 讀取

此外,在 Windows Server 2003 上,domain\Users 群組必須具有下列特殊許可權:

  • & 讀取 [此資料夾、子資料夾和檔案] 的 [執行] 許可權。
  • 建立「此資料夾及子資料夾」的資料夾/附加資料許可權。
  • 建立「僅對子資料夾」的檔案/寫入資料許可權。

驗證 Sysvol 許可權之後,請確定 Sysvol 資料夾包含必要的「群組原則」物件。 若要尋找必要的群組原則物件,請使用 Windows 2000 或 Windows Server 2003 資源套件中的 Gpotool.exe 程式。

如果您執行 Gpotool.exe 程式,但沒有任何選項,它會掃描網域中所有網域控制站上的所有群組原則物件。 如果您包含 /checkacl 參數,該工具也會掃描 Sysvol 存取控制清單 (ACL) 。 如需執行 Gpotool.exe 程式時的詳細輸出,請使用 /verbose 參數。

相反地,您可以手動驗證 SYSVOL 資料夾中的個別 GPO。 例如,如果 Userenv 1058 事件中的描述列出 GPO 的名稱,您可以手動驗證 SYSVOL 資料夾中的個別 GPO。 您可以執行這項操作,確定它包含使用者資料夾、電腦資料夾及 Gpt.ini 檔。 若要手動驗證 SYSVOL 資料夾中的個別 GPO,請遵循下列步驟:

  1. 啟動命令提示字元。 若要執行此動作,請選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Cmd,然後選取 [確定]
  2. 時間 輸入/interactive/next: cmd.exe,然後按 enter,其中的 時間 是比現在還晚1或2分鐘,並以24小時制格式撰寫。 例如,1:00 p.m. 之後的3分鐘。 會以24小時的時間格式13:03。
  3. 在上一個命令中指定的時間,會開啟新的命令提示字元視窗。 輸入 net use j: \ \ domainname Com\sysvol\domainname.com\Policies \ {GUID},然後按 enter,其中 GUID 是 Userenv 事件描述中 GPO 的 guid。 例如,如果 Userenv 1058 事件描述說:「檔案必須存在於 <\ \ Domain_Name \ Domain_Name \ {31B2F340-016D-11D2-945F-00C04FB984 F9} \gpt.ini>,"您要在命令中使用的 GUID 為31B2F340-016D-11D2-945F-00C04FB984F9。
  4. 輸入 dir j: \ * . *,然後按 enter 鍵。
  5. 確認使用者資料夾、電腦資料夾及 Gpt.ini 檔列于 I 磁片磁碟機的資料夾清單中。 如果其中任何一個資料夾和檔案遺失,網路上的電腦可能會在應用程式記錄檔中記錄 Userenv 錯誤。

如果 Sysvol 資料夾中遺失一或多個群組原則物件,請執行 Windows Server 2003 預設群組原則還原實用程式 ( # A0) 或 Windows 2000 預設群組原則還原工具 ( # A1) ,以重新建立預設的群組原則物件。

Dcgpofix.exe 程式隨附于 Windows Server 2003。 如需 Dcgpofix.exe 程式的詳細資訊,請 dcgpofix /? 在命令提示字元中執行命令。

當您使用防毒軟體掃描 Sysvol 磁片磁碟機時,請務必設定建議的排除專案。 使用防毒軟體進行掃描時,可以封鎖對必要檔案的存取,例如 Gpt.ini 檔案。 您必須針對所有即時、排程和手動防病毒掃描,設定這些排除專案。

步驟6:確定已將略過遍歷檢查許可權授與必要的群組

「略過遍歷檢查」許可權必須授與網域控制站上的下列群組:

  • 系統管理員
  • 已驗證使用者
  • 所有人
  • Pre-Windows 2000 相容存取權

若要確認已在 Windows Server 2003 的網域控制站上授與略過遍歷檢查的許可權,請遵循下列步驟:

  1. 選取 [ 開始],指向 [系統 管理工具],然後選取 [ 網域控制站安全性原則]。
  2. 展開 [ 本機原則],然後選取 [ 使用者權利指派]。
  3. 按兩下 [ 略過遍歷檢查]。
  4. 按一下以選取 [ 定義這些原則設定 ] 核取方塊。
  5. 確認已列出此原則設定的系統管理員、已驗證使用者、所有人,以及 Pre-Windows 2000 相容存取權群組。 如果缺少這些群組中的任何一個,請遵循下列步驟:
    1. 選取 [ 新增使用者或群組]。
    2. 在 [ 使用者和組名 ] 方塊中,輸入遺失的群組名稱,然後選取 [確定]
  6. 選取 [確定] 以關閉原則設定。
  7. 啟動命令提示字元。 若要執行此動作,請選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Cmd,然後選取 [確定]
  8. 輸入 gpupdate/force,然後按 enter 鍵。

若要確認已在 Windows 2000 伺服器型網域控制站上授與「略過遍歷檢查」許可權,請遵循下列步驟:

  1. 選取 [ 開始],指向 [ 程式],指向 [系統 管理工具],然後選取 [ 網域控制站安全性原則]。
  2. 展開 [ 安全性設定],展開 [ 本機原則],然後選取 [ 使用者權利指派]。
  3. 按兩下 [ 略過遍歷檢查]。
  4. 按一下以選取 [ 定義這些原則設定 ] 核取方塊。
  5. 確認已列出此原則設定的系統管理員、已驗證使用者、所有人,以及 Pre-Windows 2000 相容存取權群組。 如果其中任何一個群組遺失,請遵循下列步驟:
    1. 選取 [新增]
    2. 在 [ 使用者和組名 ] 方塊中,輸入遺失的群組名稱,然後選取 [確定]
  6. 選取 [確定] 以關閉原則設定。
  7. 啟動命令提示字元。 若要執行此動作,請選取 [ 開始],選取 [ 執行],在 [ 開啟 ] 方塊中輸入 Cmd,然後選取 [確定]
  8. 輸入 secedit/refreshpolicy machine_policy/enforce],然後按 [選取]。

步驟7:確定網域控制站未處於日誌折疊狀態

若要查看網域控制站是否處於日誌回繞狀態,請在事件檢視器中查看檔案複寫服務記錄檔,然後搜尋 NTFRS 事件識別碼13568。 事件識別碼13568與下列事件類似 ID:
如果已在網域控制站上記錄 NTFRS 事件識別碼13568,如需如何疑難排解日誌回繞錯誤的詳細資訊,請參閱 how to 解答 Sysvol 和 DFS 複本集的 journal_wrap 錯誤

步驟8:執行 Dfsutil/PurgeMupCache 命令

使用開關執行 Dfsutil.exe 程式 /PurgeMupCache ,以清除本機 DFS/MUP 快取資訊。 Dfsutil.exe 套裝程式含在 Windows 2000 Server 支援工具和 Windows Server 2003 支援工具中。