web-dev-qa-db-ja.com

グループポリシークライアントがログオンに失敗しました-アクセスが拒否されましたか?

背景

  • Server 2008 R2/Win7ドメインがあります。
  • SCCMを介して展開されたWindows7ワークステーションを使用している教師と生徒がいます。
  • 学生全員が共有プロファイルを参照します(\\dfsroot\\profiles\student、ntuser.datと、すべての学生がアクセスできるように設定された権限と所有権で設定された他のすべてのファイルとディレクトリを含みます)。
  • 移動プロファイルを使用しています。
  • オフラインファイルは無効になっています。

問題

サブセットの学生がWindows 7ワークステーションにログインできず、「グループポリシークライアントがログインに失敗しました:アクセスが拒否されました」というエラーが表示されます。これは、適用されるポリシーが少ない別の組織単位にワークステーションを移動すると停止しますが、プリンターのターゲティングやその他のそのような設定も混乱します。グループポリシーモデリングを行うことでわかる限り、常にログインできる学生アカウントと常に失敗する学生アカウントの間にグループポリシーの違いは基本的にありません。 。

パーミッションを何度もチェックしましたが、パーミッションが実際に間違っていた場合、サブセットのみが決定論的に影響を受けるのは奇妙に思えます。

教師やその他の学生以外のアカウントにはまったく問題はありませんが、アカウントごとに1つのプロファイルもあります。

私は次に何をすべきかについて本当に少し途方に暮れています。何か案は?

4
Matthew Iselin

問題は、ntuser.manのレジストリHive自体のアクセス許可にあることがわかりました。そのため、ファイル自体のアクセス許可は正しいものの、共有ユーザーはレジストリを読み込めませんでした。

これは、ntuser.man(regeditのLoad Hive)をロードし、ユーザーの1つだけではなく、グループ全体にアクセスできるようにアクセス許可が設定されていることを確認することで解決されました。

今はすべて正常に機能しているようです。

1
Matthew Iselin