發生Userenv 錯誤，並記錄事件- Windows Server

當您將群組原則套用至執行Windows Server 2003、Windows XP 或Windows ... 無法從網域控制站讀取設定資訊，原因是機器無法使用，或存取權遭到拒絕。

跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 編輯 Twitter LinkedIn Facebook 電子郵件 WeChat 目錄 當您將群組原則套用至執行WindowsServer2003、WindowsXP或Windows2000的電腦之後，就會發生Userenv錯誤，並記錄事件。

發行項 09/24/2021 2位參與者 此頁面有所助益嗎？ Yes No 還有其他意見反應嗎？ 系統會將意見反應傳送給Microsoft：按下[提交]按鈕，您的意見反應將用來改善Microsoft產品和服務。

隱私權原則。

送出 謝謝。

本文內容 本文提供解決方法，可解決網路上的電腦無法連線至網路網域控制站上Sysvol資料夾中(GPO)的群組原則物件。

適用于： Windows10-alledition，WindowsServer2012R2 原始KB編號： 887303 摘要 若群組原則套用至網路上的電腦，您可能會遇到一或多個錯誤和事件。

若要判斷問題的原因，您必須疑難排解網路上電腦的設定。

請遵循下列步驟來疑難排解問題的原因： 檢查伺服器和用戶端電腦上的[DNS設定]和[網路]屬性。

檢查用戶端電腦上的伺服器消息區塊簽署設定。

請確定所有電腦上都已啟動TCP/IPNetBIOSHelperservice、NetLogon服務和遠端過程呼叫(RPC)服務。

確定所有電腦上已啟用[分散式檔案系統(DFS)。

檢查Sysvol資料夾的內容和許可權。

請確定已將「略過遍歷檢查許可權授與必要的群組。

請確定網域控制站不在日誌回繞狀態。

執行dfsutil/purgemupcache命令。

徵狀 在執行microsoftWindowsServer2003、microsoftWindowsXP或microsoftWindows2000的電腦上，您會遇到下列一或多項徵兆： 不會將群組原則設定套用到電腦。

在網路上的網域控制站之間不會完成群組原則複寫。

您無法開啟[群組原則]嵌入式管理單元。

例如，您無法開啟[網域控制站安全性原則]嵌入式管理單元或「網域安全性原則」嵌入式管理單元。

如果您嘗試開啟群組原則嵌入式管理單元，您會收到下列其中一則錯誤訊息： 無法開啟群組原則物件。

您可能沒有適當的許可權。

詳細資訊：此帳戶未獲授權從此工作站登入。

您沒有執行此作業的許可權。

詳細資料：拒絕存取。

無法開啟群組原則物件。

您可能沒有適當的許可權。

詳細資料：系統找不到指定的路徑。

如果您嘗試存取任何網域控制站上的共用檔案，您會收到錯誤訊息。

即使您已登入伺服器，但嘗試存取本機共用，也會發生這種現象。

具體而言，此症狀可能會影響對網域控制站之Sysvol共用的存取。

如果您嘗試存取檔案共用，將會反復提示您輸入密碼。

如果您嘗試存取檔案共用，您會收到類似下列其中一則錯誤訊息的錯誤訊息： \\Server_Name\無法存取Share_Name。

您可能沒有使用此網路資源的許可權。

請洽詢此伺服器的管理員，以找出您是否有存取許可權。

此帳戶未獲授權從此工作站登入。

\\Server_Name\無法存取Share_Name。

此帳戶未獲授權從此工作站登入。

找不到網路路徑。

如果您在WindowsXP或WindowsServer2003的事件檢視器中查看應用程式記錄，您會看到與下列事件類似的事件： 事件類型：錯誤 事件來源：Userenv 事件類別：無 事件ID:1058 Date：date 時間： Time 使用者： User_Name 電腦： Computer_Name 描述：Windows無法存取GPOCN={31B2F340-016D-11D2-945F-00C04FB984F9}、CN=原則、CN=System、DC=domainname、DC=com的檔案gpt.ini。

檔案必須存在於\\功能變數名稱。

(Error_Message)。

群組原則處理終止。

如需詳細資訊，請參閱Help和SupportCenterathttps://support.microsoft.com。

出現在事件識別碼1058的Error_Messageplaceholder中的錯誤訊息可能是下列其中一項錯誤訊息： 找不到網路路徑。

拒絕存取。

無法從網域控制站讀取設定資訊，原因是機器無法使用，或存取權遭到拒絕。

事件類型：錯誤 事件來源：Userenv 事件類別：無 事件ID:1030 日期： Date 時間： Time 使用者： User_Name 電腦： Computer_Name 描述：Windows無法查詢群組原則物件的清單。

描述原因的訊息先前是由原則引擎記錄。

如需詳細資訊，請參閱Help和SupportCenterathttps://support.microsoft.com。

一般來說，如果發生事件識別碼1058和事件識別碼1030，當電腦啟動時，用戶端電腦和成員伺服器便會記錄這些事件識別碼。

網域控制站會每隔五分鐘記錄這些事件。

如果您在Windows2000電腦上的事件檢視器中查看應用程式記錄，您會看到與下列事件類似的事件： 事件類型：錯誤 事件來源：Userenv 事件類別：無 事件ID:1000 日期： Date 時間： Time 使用者：NTAUTHORITY\SYSTEM 電腦： Computer_Name 描述：Windows無法存取\\功能變數名稱\****com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol搭配(Error_Code)。

出現在事件識別碼1000中Error_Codeplaceholder的錯誤碼可能是下列其中一個錯誤碼： 5 51 53 1231 1240 1722 原因 如果網路上的電腦無法連線至特定的群組原則物件，就會發生這些問題。

具體說來，這些物件位於網路網域控制站上的Sysvol資料夾中。

解決方案 重要 這個章節、方法或工作包含修改登錄的步驟。

然而，不當修改登錄可能會發生嚴重的問題。

因此，請務必謹慎執行這些步驟。

為了有多一層保護，請先備份登錄再進行修改。

如此一來，您就可以在發生問題時還原登錄。

如需如何備份及還原登錄的詳細資訊，請參閱如何在Windows中備份及還原登錄。

若要解決此問題，您必須疑難排解網路的設定，以縮小問題的原因，然後更正設定。

若要疑難排解可能的問題原因，請遵循下列步驟： 步驟1：檢查伺服器和用戶端電腦上的DNS設定和網路屬性 在[本機區域線上內容]中，所有伺服器和用戶端電腦上都必須啟用Microsoft網路的用戶端。

必須在所有網域控制站上啟用[Microsoft網路元件的檔案和印表機共用]。

此外，網路上的每一部電腦都必須使用DNS伺服器來解析電腦所屬之ActiveDirectory樹系的SRV記錄及主機名稱。

一般來說，用戶端電腦若要使用屬於網際網路服務提供者的DNS伺服器，(ISP)。

在所有已記錄Userenv錯誤的電腦上，檢查DNS設定和網路屬性。

此外，請在所有網域控制站上檢查這些設定，不論它們是否記錄Userenv錯誤。

若要驗證您網路中WindowsXP電腦上的DNS設定和網路屬性，請遵循下列步驟： 選取[開始]，然後選取[控制台]。

如果[控制台]設定為[類別]視圖，請選取[切換至經典模式]。

連按兩下[網路連線]，以滑鼠右鍵按一下[本機區域連線]，然後選取[屬性]。

在[一般]索引標籤上，按一下以選取[Microsoft網路的用戶端]核取方塊。

選取[網際網路通訊協定(TCP/IP)]，然後選取[屬性]。

如果選取了[使用下列dns伺服器位址]，請確定首選和備用DNS伺服器的ip位址是可解析ActiveDIRECTORY中SRV記錄及主機名稱之DNS伺服器的ip位址。

具體說來，電腦mustn't使用屬於您ISP的DNS伺服器。

如果DNS伺服器位址不正確，請在[首選dns伺服器]和[替代dns伺服器]方塊中輸入正確dns伺服器的IP位址。

選取[高級]，然後選取[DNS]索引標籤。

按一下以選取[在DNS中登錄這個連線的位址]核取方塊，然後選取三次[確定]。

啟動命令提示字元。

若要執行此動作，請選取[開始]，選取[執行]，輸入Cmd，然後選取[確定]。

輸入ipconfig/flushdns，然後按enter鍵。

輸入ipconfig/registerdns，然後按enter鍵。

重新開機電腦，您的變更才會生效。

若要驗證您網路中Windows2000型電腦上的DNS設定和網路屬性，請遵循下列步驟： 選取[開始]，指向[設定]，然後選取[控制台]。

連按兩下[網路和撥號連線]。

以滑鼠右鍵按一下[本機區域連線]，然後選取[屬性]。

在[一般]索引標籤上，按一下以選取[Microsoft網路的用戶端]核取方塊。

如果電腦是網域控制站，請按一下以選取[Microsoft網路的檔案和印表機共用]核取方塊。

注意 在多穴遠端存取伺服器和MicrosoftInternet安全性和加速(ISA)伺服器型伺服器上，您可以針對連接至網際網路的網路介面卡停用Microsoft網路元件的檔案和印表機共用。

不過，所有伺服器的網路介面卡都必須啟用[Microsoft網路元件]的用戶端。

選取[網際網路通訊協定(TCP/IP)]，然後按一下[屬性]。

如果選取了[使用下列dns伺服器位址]，請確定首選和備用DNS伺服器的ip位址是可解析ActiveDIRECTORY中SRV記錄及主機名稱之DNS伺服器的ip位址。

具體而言，電腦不得使用屬於您ISP的DNS伺服器。

如果DNS伺服器位址不正確，請在[首選dns伺服器]和[替代dns伺服器]方塊中輸入正確dns伺服器的IP位址。

選取[高級]，然後選取[DNS]索引標籤。

按一下以選取[在DNS中登錄這個連線的位址]核取方塊，然後選取三次[確定]。

啟動命令提示字元。

若要執行此動作，請選取[開始]，選取[執行]，在[開啟]方塊中輸入Cmd，然後選取[確定]。

輸入ipconfig/flushdns，然後按enter鍵。

輸入ipconfig/registerdns，然後按enter鍵。

重新啟動電腦。

若要驗證您網路中WindowsServer2003電腦上的DNS設定和網路屬性，請遵循下列步驟： 選取[開始]，指向[控制台]，然後按兩下[網路連接]。

以滑鼠右鍵按一下[局域]連線，然後選取[屬性]。

在[一般]索引標籤上，按一下以選取[Microsoft網路的用戶端]核取方塊。

如果電腦是網域控制站，請按一下以選取[Microsoft網路的檔案和印表機共用]核取方塊。

注意 在多主遠端存取伺服器和ISAServer的伺服器上，您可以針對連接至網際網路的網路介面卡，停用Microsoft網路元件的檔案和印表機共用。

不過，所有伺服器的網路介面卡都必須啟用[Microsoft網路元件]的用戶端。

選取[網際網路通訊協定(TCP/IP)]，然後選取[屬性]。

如果選取了[使用下列dns伺服器位址]，請確定首選和備用DNS伺服器的ip位址是可解析ActiveDIRECTORY中SRV記錄及主機名稱之DNS伺服器的ip位址。

具體說來，電腦mustn't使用屬於您ISP的DNS伺服器。

如果DNS伺服器位址不正確，請在[首選dns伺服器]和[替代dns伺服器]方塊中輸入正確dns伺服器的IP位址。

選取[高級]，然後選取[DNS]索引標籤。

按一下以選取[在DNS中登錄這個連線的位址]核取方塊，然後選取三次[確定]。

啟動命令提示字元。

若要執行此動作，請選取[開始]，選取[執行]，輸入Cmd，然後選取[確定]。

輸入ipconfig/flushdns，然後按enter鍵。

輸入ipconfig/registerdns，然後按enter鍵。

重新開機電腦，您的變更才會生效。

如果您網路中的用戶端電腦已設定為自動取得IP位址，請確定執行DHCP服務的電腦會指派DNS伺服器的IP位址，以解析ActiveDirectory中的SRV記錄及主機名稱。

若要判斷電腦在DNS中使用的IP位址，請遵循下列步驟： 啟動命令提示字元。

若要這麼做，請選取[開始]，選取[執行]，然後在[開啟]方塊中輸入Cmd，然後選取[確定]。

輸入ipconfig/all，然後按enter鍵。

請注意畫面上所列的DNS專案。

如果設定為自動取得IP位址的電腦未使用正確的DNS伺服器，請參閱您DHCP伺服器的檔，以取得如何設定DNS伺服器選項的相關資訊。

此外，請確定每一部電腦都可以解析網域的IP位址。

若要這麼做，請輸入pingYour_Domain_Name。

在命令提示字元中Your_Domain_Root，然後按enter鍵。

請改為輸入nslookupYour_Domain_Name。

Your_Domain_Root，然後按enter。

注意 預期此主機名稱會解析為網路上其中一個網域控制站的IP位址。

如果電腦無法解析此名稱，或名稱解析為錯誤的IP位址，請確定網域的[正向對應區域]包含有效的(與父資料夾)主機()記錄相同。

若要確定網域的正向對應區域包含的(與父資料夾)主機(Windows2000電腦上的)記錄相同，請遵循下列步驟： 在執行DNS的網域控制站上，選取[開始]，指向[程式]，指向[系統管理工具]，然後選取[DNS]。

展開Your_Server_Name，展開[正向對應區域]，然後為您的網域選取正向對應區域。

尋找與父資料夾)主機()記錄的(相同。

如果)記錄的(與父資料夾)主機(不存在，請遵循下列步驟建立一個： 在[動作]功能表上，選取[新增主機]。

在[IP位址]方塊中，輸入網域控制站的本機網路介面卡的IP位址。

按一下以選取[建立關聯的指標(PTR)記錄]核取方塊，然後選取[新增主機]。

當您收到下列訊息時，請選取[是]： (與父資料夾相同)不是有效的主機名稱。

您確定要新增此記錄嗎？ 連按兩下()記錄中的「父資料夾」)主機](。

確認[ip位址]方塊中列出的是正確的IP位址。

如果[ip位址]方塊中的ip位址無效，請在[ip位址]方塊中輸入正確的ip位址，然後選取[確定]。

相反地，您可以將(與父資料夾)主機()記錄中刪除，而該記錄包含不正確IP位址。

若要刪除與)記錄)主機(的(相同的父資料夾，請以滑鼠右鍵按一下它，然後選取[刪除]。

如果DNS伺服器是也是路由和遠端存取伺服器的網域控制站，請參閱也會執行DNS或WINS之路由和遠端存取伺服器上的名稱解析和連線問題。

在您新增、刪除或修改DNS記錄的所有電腦上，于命令提示字元處輸入ipconfig/flushdns，然後按enter鍵。

若要確定網域的正向對應區域包含的(與父資料夾)主機(WindowsServer2003電腦上的)記錄相同，請遵循下列步驟： 在執行DNS的網域控制站上，選取[開始]，指向[系統管理工具]，然後選取[DNS]。

展開Your_Server_Name，展開[正向對應區域]，然後為您的網域選取正向對應區域。

尋找(與父資料夾)主機()記錄相同。

如果)記錄的(與父資料夾)主機(不存在，請遵循下列步驟建立一個： 在[動作]功能表上，選取[新增主機()]。

在[IP位址]方塊中，輸入網域控制站的本機網路介面卡的IP位址。

按一下以選取[建立關聯的指標(PTR)記錄]核取方塊，然後選取[新增主機]。

當您收到下列訊息時，請選取[是]： (與父資料夾相同)不是有效的主機名稱。

您確定要新增此記錄嗎？ 連按兩下()記錄中的「父資料夾」)主機](。

確認[ip位址]方塊中列出的是正確的IP位址。

在[ip位址]方塊中輸入正確的ip位址時，請在[ip位址]方塊中輸入正確的ip位址，然後選取[確定]。

相反地，您可以將()主機()記錄中刪除，使其包含不正確IP位址。

若要刪除主機()記錄，請以滑鼠右鍵按一下[(與父資料夾)相同]，然後選取[刪除]。

如果DNS伺服器是也是路由和遠端存取伺服器的網域控制站，請參閱也會執行DNS或WINS之路由和遠端存取伺服器上的名稱解析和連線問題。

在您新增、刪除或修改DNS記錄的所有電腦上，于命令提示字元處輸入ipconfig/flushdns，然後按enter鍵。

步驟2：檢查用戶端電腦和成員伺服器上的伺服器消息區塊簽署設定 伺服器消息區塊(SMB)簽署設定會定義網路上的電腦是否要數位簽署通訊。

如果未正確設定SMB簽署設定，用戶端電腦或成員伺服器可能無法連線至網域控制站。

例如，網域控制站可能需要SMB簽名，但在用戶端電腦上可能會停用SMB簽名。

如果發生此問題，將無法正確套用群組原則。

所以，用戶端電腦會記錄使用者環境(Userenv)應用程式記錄檔中的錯誤。

在某些情況下，網域控制站上的伺服器服務和工作站服務的SMB簽署設定可能會相互衝突。

例如，網域控制站的工作站服務可能會停用SMB簽署，但是網域控制站的伺服器服務需要SMB簽名。

在此情況下，如果您已登入伺服器，則無法開啟一個或多個網域控制站的本機檔案共用。

此外，如果您已登入伺服器，便無法開啟[群組原則]嵌入式管理單元。

如需如何在網域控制站上疑難排解這項問題的詳細資訊，請參閱您無法在網域控制站上開啟檔案共用或群組原則增益集。

若群組原則錯誤只會發生于用戶端電腦和成員伺服器上，或者您決定無法在網域控制站上開啟檔案共用或群組原則增益集，則不會套用到您的情況，請繼續進行問題的疑難排解。

根據預設，在用戶端電腦與執行WindowsXPWindows2000或WindowsServer2003的成員伺服器上，用戶端通訊所需的SMB簽名皆已啟用。

建議您使用預設設定，因為用戶端電腦可以盡可能使用SMB簽名，但仍會與已停用SMB簽名的伺服器進行通訊。

若要將用戶端電腦和成員伺服器設定為啟用SMB簽名，但不是必要的，您必須變更一些登錄專案的值。

若要在用戶端電腦上進行登錄變更，請遵循下列步驟： 選取[開始]，選取[執行]，在[開啟]方塊中輸入Regedit，然後選取[確定]。

展開下列登錄子機碼：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 在右窗格中，以滑鼠右鍵按一下[enablesecuritysignature]，然後選取[修改]。

在[數值資料]方塊中，輸入0，然後選取[確定]。

以滑鼠右鍵按一下[requiresecuritysignature]，然後選取[修改]。

在[數值資料]方塊中，輸入0，然後選取[確定]。

展開下列登錄子機碼：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters 在右窗格中，以滑鼠右鍵按一下[enablesecuritysignature]，然後選取[修改]。

在[數值資料]方塊中，輸入1，然後選取[確定]。

以滑鼠右鍵按一下[requiresecuritysignature]，然後選取[修改]。

在[數值資料]方塊中，輸入0，然後選取[確定]。

變更登錄值後，請重新開機伺服器及工作站服務。

不要重新開機電腦，因為這可能會造成套用群組原則，而且群組原則設定可能會再次設定衝突的值。

在受影響的電腦上變更登錄值並重新啟動伺服器和工作站服務之後，請遵循下列步驟： 查看適用于受影響電腦帳戶的GPO或Gpo的群組原則設定。

請確定群組原則不會與所需的登錄設定發生衝突。

使用群組原則物件編輯器來查看下列資料夾中的原則設定：ComputerConfiguration/WindowsSettings/SecuritySettings/LocalPolicies/SecurityOptions 在執行WindowsServer2003的電腦上，SMB簽署群組原則設定具有下列名稱： Microsoft網路伺服器：以數位方式簽署通訊(永遠) Microsoft網路伺服器：在用戶端同意)進行數位簽章的通訊( Microsoft網路用戶端：以數位方式簽署通訊(永遠) Microsoft網路用戶端：在伺服器同意)進行數位簽章的通訊( 在執行Windows2000Server的電腦上，SMB簽署群組原則設定具有下列名稱： 數位簽署伺服器通訊(always) 盡可能數位簽署伺服器通訊() 以數位方式簽署用戶端通訊(always) 可能)以數位方式簽署用戶端通訊( 一般說來，SMB簽署群組原則設定會設定為「未定義」。

如果您定義了SMB簽署群組原則設定，請確定您瞭解這些設定對網路連線的影響。

如需有關SMB簽署設定的詳細資訊，請參閱當您變更安全性設定和使用者權限指派時，可能會發生用戶端、服務和程式問題。

如果您變更執行Windows2000Server的網域控制站上的GPO設定，請遵循下列步驟： 啟動命令提示字元。

若要執行此動作，請選取[開始]，選取[執行]，在[開啟]方塊中輸入Cmd，然後選取[確定]。

輸入secedit/refreshpolicymachine_policy/enforce]，然後按enter。

重新開機受影響的用戶端電腦。

在用戶端電腦上的登錄中重新檢查SMB簽署值，以確保使用者未意外變更。

如果您變更執行WindowsServer2003的網域控制站上的GPO設定，請遵循下列步驟： 啟動命令提示字元。

若要執行此動作，請選取[開始]，選取[執行]，在[開啟]方塊中輸入Cmd，然後選取[確定]。

輸入gpupdate/force，然後按enter鍵。

重新開機受影響的用戶端電腦。

請重新檢查用戶端電腦上登錄中的SMB簽署值，以確保它們未意外變更。

當您重新開機用戶端電腦之後，如果登錄中的SMB簽名值意外變更，請使用下列其中一種方法來查看套用至用戶端電腦的套用原則設定： 在WindowsXP的電腦上，使用原則的結果集MMC嵌入式管理單元(Rsop)。

如需原則的結果集的詳細資訊，請參閱原則的結果集。

在Windows2000上，使用Gpresult.exe命令列工具檢查群組原則結果。

若要這麼做，請遵循下列步驟： 從Windows2000資源套件安裝Gpresult.exe。

在命令提示字元處，輸入gpresult/scopecomputer，然後按enter鍵。

在輸出的[已套用的群組原則物件]區段中，記下已套用至電腦帳戶的群組原則物件。

針對這些群組原則物件，比較套用到具有網域控制站之SMB簽署原則設定之電腦帳戶的群組原則物件。

步驟3：確定所有電腦上均已啟動TCP/IPNetBIOSHelperservice 網路上的所有電腦都必須執行TCP/IPNetBIOSHelperservice。

若要確認TCP/IPNetBIOSHelper服務是否正在WindowsXP的電腦上執行，請遵循下列步驟： 選取[開始]，然後選取[控制台]。

如果控制台位於類別模式中，請選取[切換至經典模式]。

連按兩下[系統管理工具]。

按兩下[服務]。

在[服務]清單中，選取[TCP/IPNetBIOSHelper]。

確認[狀態]欄下的值是否已啟動。

確認[啟動類型]欄下的值為[自動]。

如果[狀態]或[啟動類型]值不正確，請遵循下列步驟： 以滑鼠右鍵按一下TCP/IPNetBIOSHelper]，然後選取[屬性]。

在[啟動類型]清單中，選取[自動]。

在[服務狀態]區域中，如果服務未啟動，請選取[啟動]。

選取[確定]。

若要確認TCP/IPNetBIOSHelper服務是否正在WindowsServer2003電腦上執行，請遵循下列步驟： 選取[開始]，指向[系統管理工具]，然後選取[服務]。

在[服務]清單中，選取[TCP/IPNetBIOSHelper]。

確認[狀態]欄下的值是否已啟動。

確認[啟動類型]欄下的值為[自動]。

如果[狀態]或[啟動類型]值不正確，請遵循下列步驟： 以滑鼠右鍵按一下TCP/IPNetBIOSHelper]，然後選取[屬性]。

在[啟動類型]清單中，選取[自動]。

在[服務狀態]區域中，如果服務未啟動，請選取[啟動]。

選取[確定]。

若要確認TCP/IPNetBIOSHelper服務是否正在Windows2000的電腦上執行，請遵循下列步驟： 選取[開始]，指向[程式]，指向[系統管理工具]，然後選取[服務]。

在[服務]清單中，選取[TCP/IPNetBIOSHelperService]。

確認[狀態]欄下的值是否已啟動。

確認[啟動類型]欄下的值為[自動]。

如果[狀態]或[啟動類型]值不正確，請遵循下列步驟： 以滑鼠右鍵按一下TCP/IPNetBIOSHelperService]，然後選取[屬性]。

在[啟動類型]清單中，選取[自動]。

在[服務狀態]區域中，如果服務未啟動，請選取[啟動]。

選取[確定]。

此外，請確定您未使用群組原則物件停用一或多個必要的系統服務。

使用資料夾中的群組原則物件編輯器來查看這些原則設定ComputerConfiguration/WindowsSettings/SecuritySettings/SystemServices。

在WindowsServer2003和WindowsXP上，您可以使用原則的結果集MMC嵌入式管理(單元)，以檢查套用至電腦的所有已套用原則設定。

若要執行此動作，請選取[開始]，選取[執行]，然後在[開啟]方塊中輸入[Services.msc]，然後選取[確定]。

在Windows2000上，使用Gpresult.exe命令列工具檢查群組原則結果。

若要這麼做，請遵循下列步驟： 從Windows2000資源套件安裝Gpresult.exe。

在命令提示字元處，輸入gpresult/scopecomputer，然後按enter鍵。

在輸出的[已套用的群組原則物件]區段中，記下已套用至電腦帳戶的群組原則物件。

將套用到電腦帳戶的群組原則物件，與這些群組原則物件的網域控制站上的SMB簽署原則設定進行比較。

注意 如果在許多桌面上停用TCP/IPNetBIOSHelper服務，您可以使用下列範例MicrosoftVisualBasic腳本，在組織單位中的所有電腦上同時啟動TCP/IPNetBIOSHelper服務(OU)。

Microsoft提供的程式設計範例僅供說明之用，並不具任何明示或暗示的責任擔保。

這包括（但不限於）暗示擔保的適售性或特定用途適用性。

本文假設您熟悉所示範的程式設計語言，以及用來建立及偵錯工具的工具。

Microsoft支援工程師可以協助說明特定程式的功能，但不會修改這些範例，以提供額外的功能或建立程式，以符合您的特定需求。

SetobjDictionary=CreateObject("Scripting.Dictionary") i=0 SetobjOU=GetObject("LDAP://OU=Computers,OU=OUName,OU=OUName,DC=OUName, DC=OUName,DC=CompanyName, DC=com") objOU.Filter=Array("Computer") ForEachobjComputerInobjOU objDictionary.Addi,objComputer.CN i=i+1 Next ForEachobjItemInobjDictionary strComputer=objDictionary.Item(objItem) SetobjWMIService= GetObject("winmgmts:{impersonationLevel=impersonate}!\\"&strComputer& "\root\cimv2") SetcolServices=objWMIService.ExecQuery_ ("Select*fromWin32_ServicewhereName='LmHosts'") ForEachobjServiceIncolServices IfobjService.StartMode="Disabled"Then objService.Change(,,,,"Automatic") EndIf Next Next 步驟4：確定所有電腦上已啟用分散式檔案系統(DFS) 所有的網域控制站都必須執行分散式檔案系統服務，因為Sysvol共用是DFS磁片區。

此外，您必須在所有電腦的登錄中啟用DFS用戶端。

若要確定分散式檔案系統服務是在WindowsServer2003的網域控制站上執行，請遵循下列步驟： 選取[開始]，指向[系統管理工具]，然後選取[服務]。

在[服務]清單中，選取[分散式檔案系統服務]。

確認[狀態]欄下的值是否已啟動。

確認[啟動類型]欄下的值為[自動]。

如果[狀態]或[啟動類型]值不正確，請遵循下列步驟： 以滑鼠右鍵按一下[分散式檔案系統]，然後選取[屬性]。

在[啟動類型]清單中，選取[自動]。

在[服務狀態]區域中，如果服務未啟動，請選取[啟動]。

選取[確定]。

若要確定分散式檔案系統服務正在Windows2000伺服器型網域控制站上執行，請遵循下列步驟： 選取[開始]，指向[程式]，指向[系統管理工具]，然後選取[服務]。

在[服務]清單中，選取[分散式檔案系統服務]。

確認[狀態]欄下的值是否已啟動。

確認[啟動類型]欄下的值為[自動]。

如果[狀態]或[啟動類型]值不正確，請遵循下列步驟： 以滑鼠右鍵按一下[分散式檔案系統]，然後選取[屬性]。

在[啟動類型]清單中，選取[自動]。

在[服務狀態]區域中，如果服務未啟動，請選取[啟動]。

選取[確定]。

若要確定所有用戶端電腦上已啟用分散式檔案系統用戶端，請遵循下列步驟： 選取[開始]，選取[執行]，在[開啟]方塊中輸入Regedit，然後選取[確定]。

展開下列子機碼： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup 選取Mup，然後在右窗格中，搜尋名為DisableDFS的DWORD值專案。

如果DisableDFS專案存在，且數值資料是1，則按兩下[DisableDFS]。

在[數值資料]方塊中，輸入0，然後選取[確定]。

如果DisableDFS值資料已經是0，或是DisableDFS專案不存在，請不要進行任何變更。

退出登錄編輯程式。

如果您變更了DisableDFS數值資料，請重新開機電腦。

步驟5：檢查Sysvol資料夾的內容和許可權 Sysvol資料夾預設位於%systemroot%資料夾中。

Sysvol資料夾包含網域的群組原則物件、Sysvol和Netlogon共用，以及檔案複寫服務(FRS)暫存資料夾。

如果Sysvol資料夾或Sysvol共用的許可權過於嚴格，則無法正確套用群組原則，並造成使用者環境(Userenv)錯誤。

此外，如果Sysvol共用或群組原則物件遺失，也可能會發生Userenv錯誤。

若要確定Sysvol共用可用，請在每個網域控制站上的命令提示字元中執行netshare命令。

若要這麼做，請遵循下列步驟： 選取[開始]，選取[執行]，在[開啟]方塊中輸入Cmd，然後選取[確定]。

輸入netshare，然後按ENTER。

在資料夾清單中找出SYSVOL和NETLOGON。

如果一或多個網域控制站中遺失Sysvol或Netlogon共用，您必須疑難排解問題的原因。

如需如何疑難排解Windows2000Server中遺失之sysvol和netlogon共用的詳細資訊，請參閱Windows網域控制站上的疑難排解缺失sysvol和netlogon共用。

如需如何在WindowsServer2003中重建sysvol共用的詳細資訊，請參閱howtorebuildthesysvoltree及其contentindomain。

確定Sysvol共用可用之後，請確定已使用正確的許可權設定包含Sysvol資料夾之卷的Sysvol資料夾、Sysvol共用及根資料夾。

此外，在Windows2000Server上，「Everyone」群組必須授與包含Sysvol資料夾之磁片區之根資料夾的「完全控制」許可權。

在WindowsServer2003上，必須將「讀取&執行特殊」許可權授與「只有此資料夾」，且domain\Users群組必須授與下列標準許可權： 讀取&執行 列出資料夾內容 讀取 此外，在WindowsServer2003上，domain\Users群組必須具有下列特殊許可權： &讀取[此資料夾、子資料夾和檔案]的[執行]許可權。

建立「此資料夾及子資料夾」的資料夾/附加資料許可權。

建立「僅對子資料夾」的檔案/寫入資料許可權。

驗證Sysvol許可權之後，請確定Sysvol資料夾包含必要的「群組原則」物件。

若要尋找必要的群組原則物件，請使用Windows2000或WindowsServer2003資源套件中的Gpotool.exe程式。

如果您執行Gpotool.exe程式，但沒有任何選項，它會掃描網域中所有網域控制站上的所有群組原則物件。

如果您包含/checkacl參數，該工具也會掃描Sysvol存取控制清單(ACL)。

如需執行Gpotool.exe程式時的詳細輸出，請使用/verbose參數。

相反地，您可以手動驗證SYSVOL資料夾中的個別GPO。

例如，如果Userenv1058事件中的描述列出GPO的名稱，您可以手動驗證SYSVOL資料夾中的個別GPO。

您可以執行這項操作，確定它包含使用者資料夾、電腦資料夾及Gpt.ini檔。

若要手動驗證SYSVOL資料夾中的個別GPO，請遵循下列步驟： 啟動命令提示字元。

若要執行此動作，請選取[開始]，選取[執行]，在[開啟]方塊中輸入Cmd，然後選取[確定]。

在時間輸入/interactive/next：cmd.exe，然後按enter，其中的時間是比現在還晚1或2分鐘，並以24小時制格式撰寫。

例如，1:00p.m.之後的3分鐘。

會以24小時的時間格式13:03。

在上一個命令中指定的時間，會開啟新的命令提示字元視窗。

輸入netusej：\\domainnameCom\sysvol\domainname.com\Policies\{GUID}，然後按enter，其中GUID是Userenv事件描述中GPO的guid。

例如，如果Userenv1058事件描述說：「檔案必須存在於，"您要在命令中使用的GUID為31B2F340-016D-11D2-945F-00C04FB984F9。

輸入dirj：\*.*，然後按enter鍵。

確認使用者資料夾、電腦資料夾及Gpt.ini檔列于I磁片磁碟機的資料夾清單中。

如果其中任何一個資料夾和檔案遺失，網路上的電腦可能會在應用程式記錄檔中記錄Userenv錯誤。

如果Sysvol資料夾中遺失一或多個群組原則物件，請執行WindowsServer2003預設群組原則還原公用程式(Dcgpofix.exe)或Windows2000預設群組原則還原工具(Recreatedefpol.exe)，以重新建立預設的群組原則物件。

Dcgpofix.exe套裝程式含WindowsServer2003。

如需Dcgpofix.exe程式的詳細資訊，請dcgpofix/?在命令提示字元中執行命令。

當您使用防毒軟體掃描Sysvol磁片磁碟機時，請務必設定建議的排除專案。

使用防毒軟體進行掃描時，可以封鎖對必要檔案的存取，例如Gpt.ini檔案。

您必須針對所有即時、排程和手動防病毒掃描，設定這些排除專案。

步驟6：確定已將略過遍歷檢查許可權授與必要的群組 「略過遍歷檢查」許可權必須授與網域控制站上的下列群組： 系統管理員 已驗證使用者 所有人 Pre-Windows2000相容存取權 若要確認是否已在Windows伺服器2003型網域控制站上授與「繞過遍歷檢查」許可權，請遵循下列步驟： 選取[開始]，指向[系統管理工具]，然後選取[網域控制站安全性原則]。

展開[本機原則]，然後選取[使用者權利指派]。

按兩下[略過遍歷檢查]。

按一下以選取[定義這些原則設定]核取方塊。

確認已列出此原則設定的系統管理員、已驗證使用者、所有人，以及Pre-Windows2000相容存取權群組。

如果缺少這些群組中的任何一個，請遵循下列步驟： 選取[新增使用者或群組]。

在[使用者和組名]方塊中，輸入遺失的群組名稱，然後選取[確定]。

選取[確定]以關閉原則設定。

啟動命令提示字元。

若要執行此動作，請選取[開始]，選取[執行]，在[開啟]方塊中輸入Cmd，然後選取[確定]。

輸入gpupdate/force，然後按enter鍵。

若要確認是否已在Windows2000伺服器型網域控制站上授與「繞過遍歷檢查」許可權，請遵循下列步驟： 選取[開始]，指向[程式]，指向[系統管理工具]，然後選取[網域控制站安全性原則]。

展開[安全性設定]，展開[本機原則]，然後選取[使用者權利指派]。

按兩下[略過遍歷檢查]。

按一下以選取[定義這些原則設定]核取方塊。

確認已列出此原則設定的系統管理員、已驗證使用者、所有人，以及Pre-Windows2000相容存取權群組。

如果其中任何一個群組遺失，請遵循下列步驟： 選取[新增]。

在[使用者和組名]方塊中，輸入遺失的群組名稱，然後選取[確定]。

選取[確定]以關閉原則設定。

啟動命令提示字元。

若要執行此動作，請選取[開始]，選取[執行]，在[開啟]方塊中輸入Cmd，然後選取[確定]。

輸入secedit/refreshpolicymachine_policy/enforce]，然後按[選取]。

步驟7：確定網域控制站未處於日誌折疊狀態 若要查看網域控制站是否處於日誌回繞狀態，請在事件檢視器中查看檔案複寫服務記錄檔，然後搜尋NTFRS事件識別碼13568。

事件識別碼13568與下列事件類似ID: 如果已在網域控制站上記錄NTFRS事件識別碼13568，如需如何疑難排解日誌回繞錯誤的詳細資訊，請參閱howto解答Sysvol和DFS複本集的journal_wrap錯誤。

步驟8：執行Dfsutil/PurgeMupCache命令 使用開關執行Dfsutil.exe程式/PurgeMupCache，以清除本機DFS/MUP快取資訊。

Windows2000Server支援工具和WindowsServer2003支援工具組含Dfsutil.exe程式。

本文內容