locked
Roaming Profiles - Gruppenrichtlinienclient Zugriff verweigert RRS feed

  • Frage

  • Guten Nachmittag,

    ich habe folgendes Setup: 1x NAS mit LDAP Server und Freigaben, 2x Windows 8.1 Professional mit pGina.

    Ich hatte gelesen, dass man für Roaming Profiles nicht zwingend eine Domain bzw. einen Domänecontroller benötigt. Des Weitern hatte ich gelesen, dass auch mit pGina 3 die Funktion der Roaming Profiles über Windows möglich sein soll.

    Ich kann mich problemlos auf beiden Rechnern mit pGina authentifizieren, allerdings kann nur an einem Rechner das zugehörige Profil genutzt werden, Angenommen ich lege einen Benutzer "Test" in meinem LDAP Server an und melde mich an Computer A an, wird das Profil erstellt und auf erfolgreich beim Abmelden auf die NAS transportiert. Wenn ich mich nun an Computer B mit dem selben Benutzer "Test" anmelden möchte, authentifiziert mich pGina, allerdings komme ich dann nicht bis zum Desktop, da die Meldung "Die Anmeldung des Dienstes Gruppenrichtlinienclient ist fehlgeschlagen. Zugriff verweigert." erscheint. Auf Computer A kann ich mich weiterhin normal anmelden. Wenn ich das Profil nun auf beiden Rechnern lösche und mich an Computer A anmelden möchte, schlägt dies ebenfalls mit der oben genannten Fehlermeldung fehl, obwohl sich das Profil noch auf der Freigabe der NAS befindet. Ob ich mich das erste mal mit Computer A oder Computer B anmelde spielt keine Rolle, das Problem verhält sich dann auf den Computern genau umgekehrt.

    Im Ereignisprotokoll finde ich unter "Anwendung" folgende Fehler:

    1. Der Winlogon-Benachrichtigungsabonnent <GPClient> ist bei einem kritischen Benachrichtigungsereignis fehlgeschlagen.
    2. Der Winlogon-Benachrichtigungsabonnent <Sens> war nicht verfügbar, um das kritische Benachrichtigungsereignis zu verarbeiten.
    3. Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß, Kin Benutzereingriff erforderlich. DETAIL - 2 user registry handles leaked from \Registry\User\S-1-...: Process 884(...\svchost.exe) has opened key \Registry\User\S-1-..., Process 1536(...\Avira\AntiVir Desktop\avguard.exe) has opened key \Registry\User\S-1-...\Software\Microsoft\Windows NT\Current Version\Winlogon
    4. Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß, Kin Benutzereingriff erforderlich. DETAIL - 1 user registry handles leaked from \Registry\User\S-1-...: Process 884(...\svchost.exe) has opened key \Registry\User\S-1-..._CLASSES
    5. Der Desktopfenster-Manager wurde mit dem Code (0xd00002fe) abgebrochen.

    Ich habe es schon ohne aktiviertes Avira AntiVir versucht. Dort ist der Vorgang allerdings ebenfalls fehlgeschlagen. Ich wäre für Anregungen und Tipps sehr dankbar.

    Dienstag, 9. Dezember 2014 15:51

Antworten

  • > Windows 8.1 Professional mit pGina.
     
    Was auch immer pGina ist...
     
    > an und melde mich an Computer A an, wird das Profil erstellt und auf
    > erfolgreich beim Abmelden auf die NAS transportiert. Wenn ich mich nun
     
    Mit welchen Berechtigungen wird es da dann gespeichert?
     
    > an Computer B mit dem selben Benutzer "Test" anmelden möchte,
    > authentifiziert mich pGina, allerdings komme ich dann nicht bis zum
    > Desktop, da die Meldung "Die Anmeldung des Dienstes
    > Gruppenrichtlinienclient ist fehlgeschlagen. Zugriff verweigert."
     
    Scheint mir naheliegend - ich vermute mal, daß es sich um lokale
    Accounts handelt. Deren SID steht dann in der Registry (ntuser.dat)...
    Und die kann daher von einem anderen Account nicht als HKCU verwendet
    werden, da die Berechtigungen nicht stimmen. Abgesehen natürlich auch
    noch von den Berechtigungen auf Dateien und Ordner in diesem
    servergespeicherten Profil.
     
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 10. Dezember 2014 09:20

Alle Antworten

  • Hi,

    Am 09.12.2014 um 16:51 schrieb makap:

    Ich kann mich problemlos auf beiden Rechnern mit pGina
    authentifizieren, allerdings kann nur an einem Rechner das zugehörige
    Profil genutzt werden,

    Nur mal zum Test um die Struktur als Fehler auszuschliessen:
    Verlege den Profilpfad auf einen Windows Server mit folgenden Rechten
    http://msdn.microsoft.com/de-de/library/cc757013%28v=ws.10%29.aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 9. Dezember 2014 20:20
  • > Windows 8.1 Professional mit pGina.
     
    Was auch immer pGina ist...
     
    > an und melde mich an Computer A an, wird das Profil erstellt und auf
    > erfolgreich beim Abmelden auf die NAS transportiert. Wenn ich mich nun
     
    Mit welchen Berechtigungen wird es da dann gespeichert?
     
    > an Computer B mit dem selben Benutzer "Test" anmelden möchte,
    > authentifiziert mich pGina, allerdings komme ich dann nicht bis zum
    > Desktop, da die Meldung "Die Anmeldung des Dienstes
    > Gruppenrichtlinienclient ist fehlgeschlagen. Zugriff verweigert."
     
    Scheint mir naheliegend - ich vermute mal, daß es sich um lokale
    Accounts handelt. Deren SID steht dann in der Registry (ntuser.dat)...
    Und die kann daher von einem anderen Account nicht als HKCU verwendet
    werden, da die Berechtigungen nicht stimmen. Abgesehen natürlich auch
    noch von den Berechtigungen auf Dateien und Ordner in diesem
    servergespeicherten Profil.
     
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 10. Dezember 2014 09:20
  • Hallo Mark,

    das kann ich momentan leider nich testen, da ich keinen Windows Server habe und ich zurzeit leider auch keine Zeit habe einen solche aufzusetzen. Spätestens übernächste Woche kann ich das allerdings einmal testen und werde Rückmeldung geben.

    Mittwoch, 10. Dezember 2014 15:06
  • Hallo Martin,

    Mit welchen Berechtigungen wird es da dann gespeichert?

    Ich habe das alte Verzeichnis soeben einmal unbenannt und das Profil neu erstellen lassen um wirklich "frische" Berechtigungen zu haben. Als Besitzer ist eine auf meinem System unbekannte SID hinterlegt welche mit 1005 endet. Im Feld "Berechtigungseinträge" existiert ebenfalls ein Eintrag, bei welchem die vorderen Zahlen mit der des Besitzers übereinstimmen, jedoch endet sie auf 1000. In der Spalte Zugriff wird "Speziell" angezeigt, was in der Ansicht in Ändern, Lesen, Ausführen, Ordnerinhalt anzeigen, Lesen, Schreiben und Spezielle Berechtigungen resultiert.

    Die SID des Benutzerkontos wird in der Registry unter "Profiles List" mit abweichenden vorherigen Zahlen und der Endung 1007 angezeigt.

    Es liegt also ziemlich sicher ein Berechtigungsproblem vor, allerdings bin ich ratlos woher es kommt und was ich dagegen tun kann.

    Mittwoch, 10. Dezember 2014 15:43
  • > Besitzer ist eine auf meinem System unbekannte SID hinterlegt welche mit
    > 1005 endet. Im Feld "Berechtigungseinträge" existiert ebenfalls ein
     
    Dann guck auf dem anderen Computer :)
     
    > Es liegt also ziemlich sicher ein Berechtigungsproblem vor, allerdings
    > bin ich ratlos woher es kommt und was ich dagegen tun kann.
     
    Das kommt daher, dass Du keine Domäne hast und daher alle User - auch
    wenn sie gleich heißen - unterschiedliche Identitäten sind.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 10. Dezember 2014 15:58
  • Dann guck auf dem anderen Computer :)

    Dort gibt es zwar eine -1005 die hat aber bis auf die 1005 andere Werte und hat nichts mit dem Roaming zu tun. Der Benutzer ist ein Update Benutzer für die Geforce Treiber.

    Das kommt daher, dass Du keine Domäne hast und daher alle User - auch wenn sie gleich heißen - unterschiedliche Identitäten sind.

    Das klingt logisch, stellt das kein Problem dar?

    Donnerstag, 11. Dezember 2014 13:38
  • > Das klingt logisch, stellt das kein Problem dar?
     
    Für mich nicht. Für Deine servergespeicherten Profile sehr wohl.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 11. Dezember 2014 15:06