none
Utilisateurs du domaine non admins locaux (postes) ne peuvent se connecter

    Discussion générale

  • Bonjour, 

    depuis un certain temps déjà, les utilisateurs non administrateurs locaux ne peuvent se connecter sur une session Windows.

    Je vais m'expliquer plus clairement : 

    L'utilisateur entre son utilisateur / mot de passe de domaine et clique sur se logguer.

    L'ordinateur contacte le serveur AD pour vérification des identifiants et commence à dire "Veuillez patienter".

    Dès lors, juste avant "Préparation de votre Bureau", il se déconnecte automatiquement et revient sur la page de login.

    Je rencontre ce problème avec des ordinateurs qui ont été imagés. Ces images ont été réalisées hors domaine. Cependant, mon WDS avait une configuration permettant d'ajouter automatiquement les ordinateurs imagés par ce biais dans notre domaine. Celle-ci a été désactivée et les nouveaux ordinateurs imagés sont fonctionnels à souhait.

    Par contre, les 10 ordinateurs précédent ce changement me posent problème. Car nous souhaitons enlever les droits "Administrateurs locaux" aux utilisateurs de l'entreprise. Ce qui est normal....

    J'ai essayé de d'ajouter l'utilisateur local admin et puis de l'enlever après une connexion, rien n'y fait.

    J'ai essayé de sortir / re-ajouter l'ordinateur au domaine, sans amélioration.

    J'ai essayé de définir dans nos GPO les "Domain users" à la règle "Allow log on locally". Rien de mieux... Même plus de soucis se sont créer. J'ai immédiatement repassé cette règle à "Not defined".

    Sincèrement j'ai googlé pendant plusieurs heures, sans aucun résultat.

    Pourriez-vous m'aider à résoudre ce problème qui me pèse...

    Avec mes meilleures salutations, OctetSupport

    mercredi 16 août 2017 06:33

Toutes les réponses

  • Bonjour,

    Si vous vous connecter sans etre admin local puis en admin local ensuite et allez voir dans le journal d'évènement. Vous avez surement des messages dans la partie système sinon application qui devraient pouvoir aider à solutionner votre problème.


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mercredi 16 août 2017 07:21
  • Bonjour,

    Est-ce que vous êtes sur que les machines sont dans le Domain ?

    Les pc joignable depuis le pc et les AD

    Les gpo s’appliquent sur les machines

    Combien de machines avez-vous , est ce que le pb touche all machine

    Version de ad et des pc ?

    la carte reseau est elle bien configurée est pointe sur le bon dns ?

    Slts  


    Partager C'est avancer : Votez!SVP

    mercredi 16 août 2017 14:49
  • Tu as bien fait un sysprep avec option generalyse sur ton master ?

    Sinon en générale l'observateur d'événement donne pas mal d'info sur les problèmes d'ouverture de session.

    mercredi 16 août 2017 16:25
    Modérateur
  • Hello,

    si le problème n'apparait que sur quelques machines, et qu'il est résolu avec la nouvelle procédure de Masterisation, la solution la plus simple serait de remasteriser ces postes !

    Maintenant, si cela n'est pas possible ou qu'il n'y a pas d'urgence, on peut essayer d'analyser le problème.

    C'est souvent au niveau du dossier "c:\users" (c:\utilisateurs) et des permissions que se situe le problème. Il doit y avoir des informations dans le journal des événements...

    => Comparer les droits et l'héritage entre les machines fonctionnelles et les autres!

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 18 août 2017 07:18
    Modérateur
  • Bonjour

    à l'aide d'une machine qui n'a pas ce problème, merci de copier le dossier Default (c:\users\default) et coller sur une machine qui a le problème (faire une sauvegarde du dossier de destination pour un retour en arrière).

    vendredi 18 août 2017 14:08
  • Bonjour, 

    merci de votre réponse.

    "Est-ce que vous êtes sur que les machines sont dans le Domain ?"

    Oui elles le sont. Malheureusement elles ont été ajouté par le WDS automatiquement lors du déploiement.

    "Les pc joignable depuis le pc et les AD"

    Oui, aucun problème de ce côté-ci.

    "Les gpo s’appliquent sur les machines"

    Oui les GPO sont appliquées, ceci a été vérifié.

    "Combien de machines avez-vous , est ce que le pb touche all machine"

    Non, seulement les machines qui ont été déployées depuis WDS.

    "Version de ad et des pc ?"

    AD sur du Windows server 2012 R2 et mes machines clientes sont toutes des Windows 7 x64 Pro

    "la carte reseau est elle bien configurée est pointe sur le bon dns ?"

    Oui ;-) C'est du DHCP... 


    lundi 21 août 2017 06:16
  • Bonjour

    avez vous essayer de renommé un des pc qui a le pb et le rejoindre au domain ?

    slts


    Partager C'est avancer : Votez!SVP

    lundi 21 août 2017 10:24
  • Bonjour, 

    je ne peux me permettre de remasteriser ces machines... Pas assez de temps / migrations en cours.

    Tous ces dossiers ont exactement les mêmes droits.

    Mon observateur d'événements ne mentionne aucune erreur... 
    Ouverture de session avec des informations d'identifications explicites....

    Fermeture de session initiée pas l'utilisateur... 

    D'avance merci pour votre aide. Octet

    lundi 21 août 2017 11:41
  • Bonjour, 

    ceci ne corrige pas le problème.

    lundi 21 août 2017 11:41
  • Bonjour, 

    oui le sysprep a été effectué avec l'option generalise... Mon observateur d'événement ne me donne aucune indication probable d'erreur...

    lundi 21 août 2017 11:42
  • Bonjour, 

    oui le sysprep a été effectué avec l'option generalise... Mon observateur d'événement ne me donne aucune indication probable d'erreur...

    Bonjour,

    Avez vous effectuer le test suivant:

    1. Ajouter l'utilisateur dans le groupe admin local
    2. se connecter via l'utilisateur (création de profile)
    3. enlever l'utilisatuer du groupe admin local
    4. test la connexion

    C’est pour vérifier s'il s'agit problème de création de profile ou droit d'ouverture une session bureau à distance.

    Du coup il faut pas oublier d'ajouter l'utilisateur dans le groupe utilisateur bureau à distance local aussi.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    lundi 21 août 2017 11:54
    Modérateur
  • Est-ce qu'avec un compte admin local sur une des machines vous pourriez nous sortir un RSOP et vérifier qu'aucune GPO ne modifie les règles d'accès ?

    vérifiez en particulier le paramètre "Deny logon locally". 

    Il faudrait aussi jeter un œil sur la GP locale (gpedit.msc) et vérifier qu'il n'y a pas une erreur qui s'y serrait glissée.


    Cdt, Loïc V.  - Active Directory Expert - Blog: http://ms-sec.fr


    lundi 21 août 2017 12:13
  • Bonjour, 

    oui le sysprep a été effectué avec l'option generalise... Mon observateur d'événement ne me donne aucune indication probable d'erreur...

    Bonjour,

    Avez vous effectuer le test suivant:

    1. Ajouter l'utilisateur dans le groupe admin local
    2. se connecter via l'utilisateur (création de profile)
    3. enlever l'utilisatuer du groupe admin local
    4. test la connexion

    C’est pour vérifier s'il s'agit problème de création de profile ou droit d'ouverture une session bureau à distance.

    Du coup il faut pas oublier d'ajouter l'utilisateur dans le groupe utilisateur bureau à distance local aussi.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    Oui, ce test a été l'un de mes premiers effectué. Malheureusement, il crée le répertoire du profile et lorsque je lui enlève les droits local admin, impossible de se connecter...

    Je ne suis pas sûr de comprendre ce que vous entendez par "groupe utilisateur bureau à distance local" ?

    Merci de votre aide.

    Meilleures salutations, Octet

    lundi 21 août 2017 12:55
  • Est-ce qu'avec un compte admin local sur une des machines vous pourriez nous sortir un RSOP et vérifier qu'aucune GPO ne modifie les règles d'accès ?

    vérifiez en particulier le paramètre "Deny logon locally". 

    Il faudrait aussi jeter un œil sur la GP locale (gpedit.msc) et vérifier qu'il n'y a pas une erreur qui s'y serrait glissée.


    Cdt, Loïc V.  - Active Directory Expert - Blog: http://ms-sec.fr


    Bonjour, je m'excuse de vous demander ceci mais qu'est-ce qu'un RSOP, de plus je ne trouve pas cette information sur google :/

    Je vais aller vérifier le paramètre Deny logon locally et vérifier dans la GP locale.

    D'avance merci.

    Octet

    lundi 21 août 2017 12:57
  • RSOP.MSC : Resultant Set Of Policy. 

    Cela permet de lister les GPO qui se sont appliquer le sur poste, de voir laquelle gagne et ce qui est modifié. GPRESULT fait un peu la même chose mais il est moins locace.


    Cdt, Loïc V. - Active Directory Expert - Blog: http://ms-sec.fr

    lundi 21 août 2017 13:06
  • RSOP.MSC : Resultant Set Of Policy. 

    Cela permet de lister les GPO qui se sont appliquer le sur poste, de voir laquelle gagne et ce qui est modifié. GPRESULT fait un peu la même chose mais il est moins locace.


    Cdt, Loïc V. - Active Directory Expert - Blog: http://ms-sec.fr

    Okay, merci pour l'information. J'ai effectué ce RSOP.msc, cependant, aucune stratégie locale ne présente de problème.
    lundi 21 août 2017 13:26
  • RSOP.MSC : Resultant Set Of Policy. 

    Cela permet de lister les GPO qui se sont appliquer le sur poste, de voir laquelle gagne et ce qui est modifié. GPRESULT fait un peu la même chose mais il est moins locace.


    Cdt, Loïc V. - Active Directory Expert - Blog: http://ms-sec.fr

    Okay, merci pour l'information. J'ai effectué ce RSOP.msc, cependant, aucune stratégie locale ne présente de problème.

    Par contre, j'ai une erreur lorsque je gpedit.msc. Cependant, je ne peux vous donner de lien ou image directement dans ce poste. C'est pourquoi je vais vous les décrire au mieux : 

    "Une erreur a été rencontrée lors de l'analyse. La ressource (string.Netlogon_AdressLookupOnPingBehavior) référencée dans l'attribut displayName est introuvable.

    Fichier C:\Windows\PolicyDefinitrion\Netlogon.admx ligne 258, colonne 321"

    "Une erreur a été rencontrée lors de l'analyse. La ressource string.PurgeRSOP référencée dasn l'attribut displayName est introuvable. Fichier C:\Windows PolicyDefinitions\GroupPolicy.admx ligne 494, colonne 41.."

    Pour le deny logon locally, il n'y a que la session invitée qui y est settée.

    lundi 21 août 2017 13:49
    • Faites un echec de connexion puis connetez-vous avec un compte admin.
    • Lancez PowerShell en mode administrateur
    • Exécutez la commande suivante :
    Get-EventLog -LogName Security -InstanceId 528 -Newest 5
    Si la commande retourne la dernière tentative, alors l'ouverture de session a bien été autorisé et ce n'est plus un problème de permission au niveau des stratégies. Il faudra dans ce cas aller plus en détails dans le mécanisme de chargement du profil (je commence les recherches).


    Cdt, Loïc V. - Active Directory Expert - Blog: http://ms-sec.fr

    lundi 21 août 2017 13:57
    • Faites un echec de connexion puis connetez-vous avec un compte admin.
    • Lancez PowerShell en mode administrateur
    • Exécutez la commande suivante :
    Get-EventLog -LogName Security -InstanceId 528 -Newest 5
    Si la commande retourne la dernière tentative, alors l'ouverture de session a bien été autorisé et ce n'est plus un problème de permission au niveau des stratégies. Il faudra dans ce cas aller plus en détails dans le mécanisme de chargement du profil (je commence les recherches).


    Cdt, Loïc V. - Active Directory Expert - Blog: http://ms-sec.fr

    Malheureusement sur votre command l'InstanceId n'est pas trouvlé

    Par contre, j'ai regardé d'un peu plus près les 300 derniers logs. 

    100695 août 21 16:19 FailureA... Microsoft-Windows...         4656 Un handle vers un objet a été demandé....

    J'ai ceci qui intervient entre l'ouverture et la fermeture de la session (l'échec comme demandé)

    lundi 21 août 2017 14:27
  • Si cet ID n'est pas présent, alors vous n'avez jamais ouvert de session au sens M$ :)

    On peut poursuivre la même analyse mais en cherchant les ID suivants (commencez par ceux en gras):

    • 529 : Échec d'ouverture de session. Une tentative de connexion a été effectuée avec un nom d'utilisateur inconnu ou avec un nom d'utilisateur connu avec un mot de passe incorrect.
    • 530 : Échec d'ouverture de session. Une tentative de connexion a été effectuée mais le compte d'utilisateur a essayé de se connecter en dehors de la période autorisée.
    • 531 : Échec d'ouverture de session. Une tentative de connexion a été effectuée à l'aide d'un compte désactivé.
    • 532 : Échec d'ouverture de session. Une tentative de connexion a été effectuée à l'aide d'un compte expiré.
    • 533 : Échec d'ouverture de session. Une tentative de connexion a été effectuée par un utilisateur qui n'est pas autorisé à se connecter sur cet ordinateur.
    • 534 : Échec d'ouverture de session. L'utilisateur a essayé de se connecter avec un type non autorisé.
    • 535 : Échec d'ouverture de session. Le mot de passe pour le compte spécifié a expiré.
    • 536 : Échec d'ouverture de session. Le service Accès réseau n'est pas actif.
    • 537 : Échec d'ouverture de session. La tentative de connexion a échoué pour d'autres raisons.
    • 539 : Échec d'ouverture de session. Le compte a été verrouillé au moment de la tentative de connexion.
    • 544 : L'authentification de mode principal a échoué car l'homologue n'a pas fourni un certificat valide ou que la signature n'a pas été validée.
    • 545 : L'authentification de mode principal a échoué en raison d'un échec Kerberos ou d'un mot de passe non valide.
    • 548 : Échec d'ouverture de session. L'ID de sécurité (SID) d'un domaine approuvé ne correspond pas au SID de domaine de compte du client.
    • 550 : Message de notification susceptible d'indiquer une attaque de refus de service.

    Cdt, Loïc V. - Active Directory Expert - Blog: http://ms-sec.fr

    lundi 21 août 2017 16:46
  • concernant l'event 4656, vous pouvez l'ignorer. c'est une erreur générique, elle peut correspondre à un peu tout :)

    Cdt, Loïc V. - Active Directory Expert - Blog: http://ms-sec.fr

    lundi 21 août 2017 16:48
  • concernant l'event 4656, vous pouvez l'ignorer. c'est une erreur générique, elle peut correspondre à un peu tout :)

    Cdt, Loïc V. - Active Directory Expert - Blog: http://ms-sec.fr

    Finalement, et malheureusement, j'ai pris une journée pour ré imager tous ces ordinateurs. 

    Il me fallait une solution efficace, malheureusement pas des plus rapide. Mais ceci me permettait de passer à autre chose. 

    Je vous remercie beaucoup pour le temps que vous m'avez consacré, tous.

    Merci beaucoup encore, bonne continuation, meilleures salutations.

    jeudi 12 octobre 2017 10:25