schumirene
Goto Top

GPO Problem - Windows Anmeldung dauert lange

Hallo IT-Gemeinde,

wir haben vor kurzem unsere PC's von Windows 2000 auf XP umgestellt.

Seit dieser Umstellung braucht ein normaler User ohne Admin-Rechte 2:50 Minuten für eine Anmeldung. Ist der PC vorher schon an, geht die Anmeldung direkt durch.
Als Admin kann ich mich ebenfalls direkt anmelden. Lokale Anmeldung läuft ebenfalls direkt. In diesen beiden Fällen werden keine GPO's abgearbeitet.

Ich habe den Debug Modus der GPO einmal eingeschaltet. Diese liefert mir folgendes Ergebnis.

GPEDIT(848.84c) 08:04:07:437 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(848.84c) 08:04:12:046 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(c40.890) 08:22:32:390 CRSOPComponentData::BuildGPOList: GetObject for GPO RSOP_GPO.id="CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domänenname,DC=DCName,DC=de" failed with 0x80041002


- Das Problem betrifft alle User, die keine Admin Rechte haben.
- Die User dürfen zudem nicht auf C:\ schreiben.
- Zudem dürfen die User die Registry nicht editieren.

- Client-PCs haben ein XP mit SP3.
- Unsere beiden Domänencontroller sind Server 2003 mit aktuellem Updatestand.

Am Monitor steht während der Anmeldephase, Computereinstellungen werden übernommen.


Um Antworten wäre ich dankbar.

Vielen Dank!

Content-ID: 137957

Url: https://administrator.de/contentid/137957

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

DerWoWusste
DerWoWusste 11.03.2010 um 11:36:01 Uhr
Goto Top
Moin.
Eure Einsc hränkungen sind wohl nicht zu Ende gedacht. Gib an, was Du genau meinst mit
Die User dürfen zudem nicht auf C:\ schreiben
wo genau hast Du was wie verboten?
Zudem dürfen die User die Registry nicht editieren.
Durch welche Beschränkung hast Du das erreicht? Gilt das auch für HKCU? Das wäre großer Schwachsinn.
nube-li
nube-li 11.03.2010 um 11:56:41 Uhr
Goto Top
Hi

Setz doch bitte mal die MaxTokenSize auf den Maximalwert und versuch dich nochmals mit Anmelden.

Diesen Eintrag in der Registry musst du unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters setzen

Erstelle einfach einen neuen Wert. Rechtsklick -> Neu -> DWORD -Wert -> Name muss sein: MaxTokenSize -> anschliessend den Wert auf ffff setzen (Hexadezimal)

Maschine neustarten und schauen wie es sich mit dem Anmelden verhält face-smile

Gruss
schumirene
schumirene 11.03.2010 um 16:55:10 Uhr
Goto Top
Hallo zusammen,

erstmal danke für Eure Antworten.

Den Key habe ich gesetzt, hat aber leider nichts geholfen.

Zusätzliche Aussage; Ich habe einen virtuellen XP hochgezogen. Reine XP Installation mit allen Patches. Hier tritt das Problem nicht auf.
Das Problem tritt auf Rechnern auf, die ich automatisiert über eine Softwareverteilung aktiviere. In dieser Config hat der PC lokale Sicherheitseinstellungen.
Wie finde ich raus, ob sich diese Einstellungen mit meinen GPO's beißen? Das oben gepostete Log sagt es mir nicht
schumirene
schumirene 16.03.2010 um 14:28:51 Uhr
Goto Top
Hallo zusammen,

bei uns hat sich das Problem gelöst.
Unser Mcafee hat einen Dienst namens McafeeMcShield. Der hat den Anmeldeprozess verzögert.

Danke für Euren Support