GPO Problem - Windows Anmeldung dauert lange
Hallo IT-Gemeinde,
wir haben vor kurzem unsere PC's von Windows 2000 auf XP umgestellt.
Seit dieser Umstellung braucht ein normaler User ohne Admin-Rechte 2:50 Minuten für eine Anmeldung. Ist der PC vorher schon an, geht die Anmeldung direkt durch.
Als Admin kann ich mich ebenfalls direkt anmelden. Lokale Anmeldung läuft ebenfalls direkt. In diesen beiden Fällen werden keine GPO's abgearbeitet.
Ich habe den Debug Modus der GPO einmal eingeschaltet. Diese liefert mir folgendes Ergebnis.
GPEDIT(848.84c) 08:04:07:437 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(848.84c) 08:04:12:046 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(c40.890) 08:22:32:390 CRSOPComponentData::BuildGPOList: GetObject for GPO RSOP_GPO.id="CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domänenname,DC=DCName,DC=de" failed with 0x80041002
- Das Problem betrifft alle User, die keine Admin Rechte haben.
- Die User dürfen zudem nicht auf C:\ schreiben.
- Zudem dürfen die User die Registry nicht editieren.
- Client-PCs haben ein XP mit SP3.
- Unsere beiden Domänencontroller sind Server 2003 mit aktuellem Updatestand.
Am Monitor steht während der Anmeldephase, Computereinstellungen werden übernommen.
Um Antworten wäre ich dankbar.
Vielen Dank!
wir haben vor kurzem unsere PC's von Windows 2000 auf XP umgestellt.
Seit dieser Umstellung braucht ein normaler User ohne Admin-Rechte 2:50 Minuten für eine Anmeldung. Ist der PC vorher schon an, geht die Anmeldung direkt durch.
Als Admin kann ich mich ebenfalls direkt anmelden. Lokale Anmeldung läuft ebenfalls direkt. In diesen beiden Fällen werden keine GPO's abgearbeitet.
Ich habe den Debug Modus der GPO einmal eingeschaltet. Diese liefert mir folgendes Ergebnis.
GPEDIT(848.84c) 08:04:07:437 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(848.84c) 08:04:12:046 CGroupPolicyObject::OpenLocalMachineGPO: Failed to create file system directory C:\WINDOWS\System32\GroupPolicy with 5
GPEDIT(c40.890) 08:22:32:390 CRSOPComponentData::BuildGPOList: GetObject for GPO RSOP_GPO.id="CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Domänenname,DC=DCName,DC=de" failed with 0x80041002
- Das Problem betrifft alle User, die keine Admin Rechte haben.
- Die User dürfen zudem nicht auf C:\ schreiben.
- Zudem dürfen die User die Registry nicht editieren.
- Client-PCs haben ein XP mit SP3.
- Unsere beiden Domänencontroller sind Server 2003 mit aktuellem Updatestand.
Am Monitor steht während der Anmeldephase, Computereinstellungen werden übernommen.
Um Antworten wäre ich dankbar.
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 137957
Url: https://administrator.de/contentid/137957
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
Moin.
Eure Einsc hränkungen sind wohl nicht zu Ende gedacht. Gib an, was Du genau meinst mit
Eure Einsc hränkungen sind wohl nicht zu Ende gedacht. Gib an, was Du genau meinst mit
Die User dürfen zudem nicht auf C:\ schreiben
wo genau hast Du was wie verboten?Zudem dürfen die User die Registry nicht editieren.
Durch welche Beschränkung hast Du das erreicht? Gilt das auch für HKCU? Das wäre großer Schwachsinn.
Hi
Setz doch bitte mal die MaxTokenSize auf den Maximalwert und versuch dich nochmals mit Anmelden.
Diesen Eintrag in der Registry musst du unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters setzen
Erstelle einfach einen neuen Wert. Rechtsklick -> Neu -> DWORD -Wert -> Name muss sein: MaxTokenSize -> anschliessend den Wert auf ffff setzen (Hexadezimal)
Maschine neustarten und schauen wie es sich mit dem Anmelden verhält
Gruss
Setz doch bitte mal die MaxTokenSize auf den Maximalwert und versuch dich nochmals mit Anmelden.
Diesen Eintrag in der Registry musst du unter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters setzen
Erstelle einfach einen neuen Wert. Rechtsklick -> Neu -> DWORD -Wert -> Name muss sein: MaxTokenSize -> anschliessend den Wert auf ffff setzen (Hexadezimal)
Maschine neustarten und schauen wie es sich mit dem Anmelden verhält
Gruss