Seit Upgrade auf 1703 keine Domänen-Benutzeranmeldung (ohne Adminrechte) mehr möglich (Benutzer wird sofort wieder abgemeldet)

Hallo Zusammen,

wir haben einige Clients auf Windows 10 Creators Update (1703) upgedatet.
Nun haben wir folgendes Problem:

wenn ein Benutzer (ohne Adminrechte) sich auf einem PC einloggen will, an dem er noch nie gearbeitet hat, wird er sofort wieder abgemeldet.
Domänenadmins funktionieren nach wie vor überall - auch Benutzer, die schon einmal (also vor dem Upgrade) an den betroffenen PCs angemeldet waren.

Wäre Euch sehr dankbar für Vorschläge - Gooooogle hat leider nur alte, nutzlose Ratschläge... :-) face-smile

blicksekunde

Content-Key: 335476

Url: https://administrator.de/contentid/335476

Ausgedruckt am: 18.09.2021 um 05:09 Uhr

Mitglied: ashnod
ashnod 19.04.2017 um 12:50:41 Uhr
Goto Top
Zitat von @blicksekunde:
wenn ein Benutzer (ohne Adminrechte) sich auf einem PC einloggen will, an dem er noch nie gearbeitet hat, wird er sofort wieder abgemeldet.
Domänenadmins funktionieren nach wie vor überall - auch Benutzer, die schon einmal (also vor dem Upgrade) an den betroffenen PCs angemeldet waren.


Moin,
gibt es dazu auch eine Fehlermeldung oder brauchbares aus den Log-Files?

VG
Ashnod
Mitglied: sabines
sabines 19.04.2017 aktualisiert um 13:04:33 Uhr
Goto Top
Zitat von @blicksekunde:
wenn ein Benutzer (ohne Adminrechte) sich auf einem PC einloggen will, an dem er noch nie gearbeitet hat, wird er sofort wieder abgemeldet.

Moin,

sicher, dass die sofort wieder abgemeldet werden oder können die sich gar nicht erst anmelden?
Nur zur Sicherheit, die User melden sich schon an der Domäne und nicht am PC lokal an?

Gruss
Mitglied: blicksekunde
blicksekunde 19.04.2017 um 13:24:40 Uhr
Goto Top
Leider kein Fehlermeldung und im Eventlog nichts Brauchbares zu dem Thema.
Mitglied: blicksekunde
blicksekunde 19.04.2017 um 13:26:30 Uhr
Goto Top
Moin, ja sofort.
Meldungen:

Anmeldung, dann sofort Abmeldung und man kann erneut versuchen sich einzuloggen...

Unter c:\users\ wird der neue Benutzer auch angelegt.
Mitglied: blicksekunde
blicksekunde 19.04.2017 um 13:27:17 Uhr
Goto Top
und ja, die User melden sich an der Domäne an und nicht lokal :-) face-smile
Mitglied: Pjordorf
Pjordorf 19.04.2017 um 13:43:43 Uhr
Goto Top
Hallo,

Zitat von @blicksekunde:
und ja, die User melden sich an der Domäne an und nicht lokal :-) face-smile
Und der betreffende DC sagt was im Log - Erfolgreich oder nicht Erfolgreich?
An den Profilen rumgemacht_? Was ist mit den lokalen Default Profil?
Und sicher das im betreffenden Ereignisprotokoll nichts verwertbares steht? Das wäre sehr ungewöhnlich....

Gruß,
Peter
Mitglied: SlainteMhath
SlainteMhath 19.04.2017 aktualisiert um 13:47:00 Uhr
Goto Top
Moin,

Unter c:\users\ wird der neue Benutzer auch angelegt.
- Stimmen da dann die Rechte auf das Profile Verzeichnis?
- Die Mitgleidschaften der AD-Gruppen in den lokalen Gruppen ist auch ok?
- Den Rechner schon mal aus der Domäne gechmissen und neu aufgenommen?


Und sicher das im betreffenden Ereignisprotokoll nichts verwertbares steht? Das wäre sehr ungewöhnlich....
Dem möchte ich beipflichten :) face-smile

lg,
Slainte
Mitglied: blicksekunde
blicksekunde 19.04.2017 um 14:52:17 Uhr
Goto Top
- Betreffender DC sagt nichts im Log (habe gerade nochmal nachgeschaut) - als ob sich der User niemals angemeldet hätte.
- An den Profilen wurde nichts geändert. Das lokale Default-Profil müsste ok sein, da man sich lokal auch mit und ohne Adminrechten anmelden kann,
die betroffenen Clients sind durchaus noch in der Lage neue Profile (so lange es lokal passiert) anzulegen - NUR die Domänenanmeldung funktioniert nicht mehr.

- die Rechte stimmen leider auch - das war gestern schon ein Lösungsansatz - hat aber nicht geklappt
- Mitgliedschaft ok
- Rechner schon 3-4x aus der Domäne geworfen und wieder beigetreten.


Lösung - wohl eher nicht!?!

- einen der PCs haben wir zurückgestellt auf 1607 und es funktioniert alles wieder einwandfrei.
das kann aber bei über 500 Clients nicht des Rätsels Lösung sein.
Mitglied: Pjordorf
Pjordorf 19.04.2017 um 15:16:40 Uhr
Goto Top
Hallo,

Zitat von @blicksekunde:
- Betreffender DC sagt nichts im Log (habe gerade nochmal nachgeschaut) - als ob sich der User niemals angemeldet hätte.
Dann war es wohl ein anderer DC oder gar ein anderes AD - sicher das versucht wurde sich mit Domänen credentials anzumelden?

- An den Profilen wurde nichts geändert. Das lokale Default-Profil müsste ok sein
Müsste - ist es das auch?

da man sich lokal auch mit und ohne Adminrechten anmelden kann,
Da greift das lokale Default nicht mehr. Das greift nur beim erstmaligen anmelden eines Benutzers. Mandatory Profile oder ein Domänenweites Default vorhanden?

die betroffenen Clients sind durchaus noch in der Lage neue Profile (so lange es lokal passiert) anzulegen - NUR die Domänenanmeldung funktioniert nicht mehr.
Was soll denn alles passieren wen ein Domänenenbenutzer sich anzumelden versucht?

das kann aber bei über 500 Clients nicht des Rätsels Lösung sein.
Bei Windows 10 evtl. doch die Lösung. Wenn ihr soviele Windows 10 Clients habt - wer hat das dann bei euch versäumt das auszutesten?

Gruß,
Peter
Mitglied: SlainteMhath
SlainteMhath 19.04.2017 um 15:32:26 Uhr
Goto Top
Die Frage die sich mir noch stellt: Warum setzt ihr bei 500 Clients nicht die Enterprise Version ein? Pro ist für den Einsatz in Unternehmen eher nicht geeignet.

Aber zum Thema:
Sind denn die Rechte auf das Default Profile korrekt?`Sprich: Darf der gemeine Domain-User das auch Lesen?
Mitglied: BassFishFox
BassFishFox 19.04.2017 um 20:00:03 Uhr
Goto Top
Warum setzt ihr bei 500 Clients nicht die Enterprise Version ein? Pro ist für den Einsatz in Unternehmen eher nicht geeignet.

Und 1703 ist noch garnicht draussen fuer Enterprise Versionen.

BFF
Mitglied: BassFishFox
BassFishFox 19.04.2017 um 20:37:38 Uhr
Goto Top
Hallo,

Windows 10 Pro und Domaene. Das wird wohl nix mehr. Microsoft will Enterprise verkaufen.
Ich vermute mal, dass wieder mal irgendwelche Sachen in Pro nicht mehr so funktionieren wie mit einer Ent.
So wie mit dem Sperrbildschirm, WSUS, usw.
Ausserdem werden Deine Server (welche Version hast Du denn? 2016?) vielleicht noch garnicht "ready" fuer 1703 sein. Mangels Updates/Upgrades oder sowas.

BFF
Mitglied: blicksekunde
blicksekunde 20.04.2017 um 00:20:29 Uhr
Goto Top
Hey, danke für die vielen Antworten. Bin ja noch relativ neu hier... und überrascht, dass sich sooo viele meiner Probleme annehmen. :-) face-smile

Evtl. noch zum besseren Verständnis:
Wir haben nat. NICHT ALLE Clients auf 1703 upgedatet! Wer würde den sowas machen? :--)

Lediglich in jeder Abteilung 1 PC... (d.h. auf die PCs kann vorrübergehend verzichtet werden!)

DIES ist der Test, bevor ALLE 1703 kriegen (ODER auch NICHT!)
Deswegen ist es sehr ärgerlich, wenn in der Testphase schon solche Probleme auftreten.

Nun aber nochmal zurück zu Euren Fragen:
"Darf der gemeine Domain-User das auch Lesen?" - JA, darf er
"Serverversion" - 2012R2 inkl. aller verfügbaren Updates.
"WSUS" - 2012R2 inkl. Windows 10 Pro, Version 1703, de-de, Einzelhandel - wie es Microsoft "liebevoll" nennt in einer Testgruppe

Warum 10 Pro und nicht Enterprise?
- Schwaben?! nee, Spass - haben bisher noch nicht EINE Funktion vermisst, die Enterprise im Vergleich zu Pro bietet. (sind aber immer offen für Verbesserungen und Tips)

LG und vorerst eine Gute Nacht,

blicksekunde
Mitglied: AMD9558
AMD9558 20.04.2017 um 10:30:43 Uhr
Goto Top
Hallo,

wir hatten das selbe Problem mit Windows 10 Pro in der Version 1607. Nach dem Upgrade auf 1607 konnten sich nur noch Domänen-Admins und lokale User anmelden. Ich würde dir empfehlen einfach ein gesyspreptes Image (am besten ohne Upgrades) auf die Kisten zu bügeln (vorrausgesetzt ihr habt einen WDS Server oder ähnliches). Installier am besten mal ein frisches Windows 10 1703 und häng die Kiste in die Domäne und prüfe, ob sich jeder Benutzer (oder ggf. ein Testbenutzer) anmelden kann.

Viele Grüße aus Wiesbaden

Yannik
Mitglied: Pjordorf
Pjordorf 20.04.2017 um 10:36:11 Uhr
Goto Top
Hallo,

Zitat von @blicksekunde:
Warum 10 Pro und nicht Enterprise?
Weil MS es so will.
Auf deren Webseiten steht:
Windows PRO = Firmeneinsatz bla bla bla. Aber ein Firmenkunde ist erst einer wenn er Volumen Lizenzen (Enterprise) gekauft hat und nutzt. Damit ist Pro wieder Heimspielerei. Das sieht man auch an den weg den die GPOs gehen (GPO = Domäneneinsatz = Firmeneinsatz)

Nein, es hat noch keiner MS verstanden.

Gruß,
Peter
Mitglied: fl14558
fl14558 21.04.2017 um 10:32:22 Uhr
Goto Top
Hallo,

ich habe auch einen Test-PC auf win10 1703 upgegradet und genau das gleicher Verhalten wie der Themenstarter. Domain-User die vor dem Upgrade auf dem PC waren können sich anmelden, aber wenn man einen neuen Domain-User anlegen will wird er nach ca. 1 Minute wieder abgemeldet. Es erschien einmal für den Bruchteil einer Sekunden etwas mit net.exe. War aber zu kurz. Der Domain-User wird im User-Verzeichniss angelegt.
Nach verschieden Test und durchsehen von Log-Dateien hab ich Win10 1703 neu aufgesetzt, PC in die Domain aufgenommen und man kann wieder neu Domain-User anmelden.
Falls jemand mal eine Lösung für das obengenannte Problem hat bitte posten.
Mitglied: ichbindernikolaus
ichbindernikolaus 21.04.2017 um 11:03:00 Uhr
Goto Top
ööhm... doch natürlich. Warum sollte es nicht?
2017-04-21 10_59_28-info
Mitglied: fl14558
fl14558 21.04.2017 um 11:32:55 Uhr
Goto Top
Und was hat das jetzt mit dem Problem zu tun?????
Mitglied: ichbindernikolaus
ichbindernikolaus 21.04.2017 um 11:37:38 Uhr
Goto Top
Mein Kommentar war eine Antwort auf BassFishFox, die im Verlauf der Diskussion entstanden ist. So what?

Und was hat deine Antwort mit dem Problem zu tun?????
Mitglied: fl14558
fl14558 21.04.2017 um 11:49:11 Uhr
Goto Top
War so nicht ersichtlich das es eine Antwort zu einem thread war der 5 Einträge drüber steht.
Die bestätigt das es ein Problem mit Win10 1703 nach dem Upgrade gibt, wenn man an so einem PC neue Domain-User anmelden will. Was ja teilweise angezweifelt wird....
Mitglied: cardisch
Lösung cardisch 25.04.2017 um 16:19:22 Uhr
Goto Top
Hi.

Das Problem betrifft auch die upgedateten Home-Editionen, man kann nur noch neu erstellte (lokale) Admin-Konten anmelden, entzieht man denen die Admin-Rechte werden die (auch laut Ereignisanzeige) sofort abgemeldet (Log: Benutzerinitiierte Abmeldung).
"Lösung":
von einem sauber (ungetestet) installierten System den Ordner \benutzer\Default auf das defekte kopieren oder von einem 1607 (getestet) .
Ist aber keine elegante Lösung.
Anderes Problem, vermutlich seit dem Update:
ist es möglich, dass man als Domänenadmin keine lokalen Konten mehr löschen kann ?!

Danke und Gruß

Carsten
Mitglied: blicksekunde
blicksekunde 28.04.2017 um 10:48:39 Uhr
Goto Top
Hallo casdisch,

guter Lösungsansatz, dieser hat einige auch schon bei einem Upgrade auf 1607 gerettet.
Brachte aber in unserem Fall nicht die gewünschte Lösung!

LÖSUNG:
Den Ordner c:\Benutzer\Default von einem funktionierenden 1607 Client kopieren (den alten haben wir in Default.def umbenannt)
- PROBLEM: Benutzer kann angemeldet werden, allerdings mit einem "temporären Profil"

Danach in der Registry unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
ALLE Profile mit der Endung .bak gelöscht


Nun können auch wieder neue Benutzer OHNE administrativer Rechte angemeldet werden.

Nochmal DANKE an alle, die sich beteiligt haben. :-) face-smile
Mitglied: MaceWindu
MaceWindu 16.06.2017 um 08:52:47 Uhr
Goto Top
Hallo,

Danke das du die Lösung gepostet hattest. Hatte auch bei bisher 2 Rechnern das selbe Problem. Nach Upgrade von 1511/1607 auf 1703 kann sich ein Standarduser nicht mehr anmelden. Springt nach wenigen Sekunden zurück zur Anmeldemaske. Hat der Benutzer lokale Admin-Rechte (oder ist Domänen-Admin) dann klappt die Anmeldung. Jedoch sind dann die Taskleiste und das Startmenü "eingefroren".

Habe den Default-Ordner von einem funktionierendem 1703 Rechner kopiert. Ev. vorhandene Einträge von fehlerhaften Anmeldekonten im genannten Registrierungseintrag gelöscht (keine .bak) vorhanden. Konnte so das beschriebene Problem mit "temporären Profil" nicht beobachten.

SG,
MaceWindu
Heiß diskutierte Beiträge
question
Netzwerkperformance - Mikrotik - Wo ist mein Fehler? gelöst BirdyBVor 1 TagFrageNetzwerke39 Kommentare

Moin zusammen, ich stehe gerade etwas auf dem Schlauch und weiß nicht so recht was mein Fehler ist. Gegeben ist mein heimisches Netzwerk: Also eigentlich ...

info
Hunderttausende MikroTik-Router sind seit 2018 angreifbarkilltecVor 1 TagInformationMikroTik RouterOS24 Kommentare

Mehrere MikroTik Router angreifbar. Hier der Link zu Heise: Hunderttausende MikroTik-Router sind seit 2018 angreifbar Gruß ...

question
Neue Firmennetzwerkstruktur und ein glühender KopfDerWachnerVor 1 TagFrageNetzwerke28 Kommentare

Moin zusammen, nun hab ich jahrelang hier nur mitgelesen, nun stehe ich allerdings selbst vor nem Problem was mir seit Tagen Kopfschmerzen bereitet. Also wir ...

general
Neue Herausforderungen auf unserer englischen SeiteFrankVor 1 TagAllgemeinOff Topic14 Kommentare

Auf unserer englischen Seite gibt es neue Herausforderungen: Find who restarted DB server und Wanted: Network Node Manager 6.4 wer kann helfen? Generell findet ihr ...

question
Windows Server 2012 R2 frisst SSDs (cbs.log)drahtbrueckeVor 1 TagFrageWindows Server14 Kommentare

Hallo, ich habe vor etwa 2 Monaten eine nur etwa 3 Monate alte SSD gegen eine neue getauscht (Samsung OEM Datacenter SSD SM883) in einem ...

question
RDS CALs und normale CALs - Wie richtig lizensierentim.riepVor 1 TagFrageWindows Server19 Kommentare

Hallo liebe User, ich habe eine Frage zur richtigen Lizensierung: Wenn eine natürliche Person zum Beispiel drei Accounts auf einem Windows Server 2016 hat, braucht ...

question
2 Netzwerkkarten für 2 verschieden Netze auf einem Windows-ServerglasscolaVor 18 StundenFrageWindows Server6 Kommentare

Hallo zusammen, im Rahmen meiner Bachelorthesis baue ich ein Labor auf, das folgend aussieht. Ich habe einen Server und auf ihm laufen 2 VMs (1 ...

info
Phishingwelle Volksbanklcer00Vor 1 TagInformationSicherheit10 Kommentare

Hallo zusammen, bei uns häufen sich gerade Phishing-Emails mit Ziel Volks-Raiffeisen-Bank. Geködert wird zum Teil auch mit der Erwähnung der SecureGo Smartphone-App. Grüße lcer ...