4
GPO Problem - Windows Anmeldung dauert lange
Hallo IT-Gemeinde,
wir haben vor kurzem unsere PC's von Windows 2000 auf XP umgestellt.
Seit dieser Umstellung braucht ein normaler User ohne Admin-Rechte 2:50 Minuten für eine Anmeldung. Ist der PC vorher schon an, geht die Anmeldung direkt durch.
Als Admin kann ich mich ebenfalls direkt anmelden. Lokale Anmeldung läuft ebenfalls direkt. In diesen beiden Fällen werden keine GPO's abgearbeitet.
Ich habe den Debug Modus der GPO einmal eingeschaltet. Diese liefert mir folgendes Ergebnis.
GPEDIT(848.84c) 08:04:07:437 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(848.84c) 08:04:12:046 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(c40.890) 08:22:32:390 CRSOPComponentData::BuildGPOList: GetObject for GPO RSOP_GPO.id="CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domänenname,DC=DCName,DC=de" failed with 0x80041002
- Das Problem betrifft alle User, die keine Admin Rechte haben.
- Die User dürfen zudem nicht auf C:\ schreiben.
- Zudem dürfen die User die Registry nicht editieren.
- Client-PCs haben ein XP mit SP3.
- Unsere beiden Domänencontroller sind Server 2003 mit aktuellem Updatestand.
Am Monitor steht während der Anmeldephase, Computereinstellungen werden übernommen.
Um Antworten wäre ich dankbar.
Vielen Dank!
wir haben vor kurzem unsere PC's von Windows 2000 auf XP umgestellt.
Seit dieser Umstellung braucht ein normaler User ohne Admin-Rechte 2:50 Minuten für eine Anmeldung. Ist der PC vorher schon an, geht die Anmeldung direkt durch.
Als Admin kann ich mich ebenfalls direkt anmelden. Lokale Anmeldung läuft ebenfalls direkt. In diesen beiden Fällen werden keine GPO's abgearbeitet.
Ich habe den Debug Modus der GPO einmal eingeschaltet. Diese liefert mir folgendes Ergebnis.
GPEDIT(848.84c) 08:04:07:437 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(848.84c) 08:04:12:046 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(c40.890) 08:22:32:390 CRSOPComponentData::BuildGPOList: GetObject for GPO RSOP_GPO.id="CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domänenname,DC=DCName,DC=de" failed with 0x80041002
- Das Problem betrifft alle User, die keine Admin Rechte haben.
- Die User dürfen zudem nicht auf C:\ schreiben.
- Zudem dürfen die User die Registry nicht editieren.
- Client-PCs haben ein XP mit SP3.
- Unsere beiden Domänencontroller sind Server 2003 mit aktuellem Updatestand.
Am Monitor steht während der Anmeldephase, Computereinstellungen werden übernommen.
Um Antworten wäre ich dankbar.
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 137957
Url: https://administrator.de/contentid/137957
Printed on: April 19, 2024 at 17:04 o'clock
4 Comments
Latest comment
Moin.
Eure Einsc hränkungen sind wohl nicht zu Ende gedacht. Gib an, was Du genau meinst mit
Eure Einsc hränkungen sind wohl nicht zu Ende gedacht. Gib an, was Du genau meinst mit
Die User dürfen zudem nicht auf C:\ schreiben
wo genau hast Du was wie verboten?Zudem dürfen die User die Registry nicht editieren.
Durch welche Beschränkung hast Du das erreicht? Gilt das auch für HKCU? Das wäre großer Schwachsinn.
Hi
Setz doch bitte mal die MaxTokenSize auf den Maximalwert und versuch dich nochmals mit Anmelden.
Diesen Eintrag in der Registry musst du unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters setzen
Erstelle einfach einen neuen Wert. Rechtsklick -> Neu -> DWORD -Wert -> Name muss sein: MaxTokenSize -> anschliessend den Wert auf ffff setzen (Hexadezimal)
Maschine neustarten und schauen wie es sich mit dem Anmelden verhält
Gruss
Setz doch bitte mal die MaxTokenSize auf den Maximalwert und versuch dich nochmals mit Anmelden.
Diesen Eintrag in der Registry musst du unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters setzen
Erstelle einfach einen neuen Wert. Rechtsklick -> Neu -> DWORD -Wert -> Name muss sein: MaxTokenSize -> anschliessend den Wert auf ffff setzen (Hexadezimal)
Maschine neustarten und schauen wie es sich mit dem Anmelden verhält
Gruss
Hallo zusammen,
erstmal danke für Eure Antworten.
Den Key habe ich gesetzt, hat aber leider nichts geholfen.
Zusätzliche Aussage; Ich habe einen virtuellen XP hochgezogen. Reine XP Installation mit allen Patches. Hier tritt das Problem nicht auf.
Das Problem tritt auf Rechnern auf, die ich automatisiert über eine Softwareverteilung aktiviere. In dieser Config hat der PC lokale Sicherheitseinstellungen.
Wie finde ich raus, ob sich diese Einstellungen mit meinen GPO's beißen? Das oben gepostete Log sagt es mir nicht
erstmal danke für Eure Antworten.
Den Key habe ich gesetzt, hat aber leider nichts geholfen.
Zusätzliche Aussage; Ich habe einen virtuellen XP hochgezogen. Reine XP Installation mit allen Patches. Hier tritt das Problem nicht auf.
Das Problem tritt auf Rechnern auf, die ich automatisiert über eine Softwareverteilung aktiviere. In dieser Config hat der PC lokale Sicherheitseinstellungen.
Wie finde ich raus, ob sich diese Einstellungen mit meinen GPO's beißen? Das oben gepostete Log sagt es mir nicht
Hallo zusammen,
bei uns hat sich das Problem gelöst.
Unser Mcafee hat einen Dienst namens McafeeMcShield. Der hat den Anmeldeprozess verzögert.
Danke für Euren Support
bei uns hat sich das Problem gelöst.
Unser Mcafee hat einen Dienst namens McafeeMcShield. Der hat den Anmeldeprozess verzögert.
Danke für Euren Support
