web-dev-qa-db-ja.com

リモートデスクトップサーバーにログオンすると、「グループポリシークライアントサービスがログオンに失敗しました。アクセスが拒否されました」というエラーが表示されます。

問題を再現する手順...(Windows 2008 Server-DC、およびクライアントボックスとしてのWindows 7)

1) Create a new user in the domain.
   Example: user1
2) Set the user's "Remote Desktop Services User Profile" to a network path.
   Example: \\myserver\profiles\bullpin
3) Logon with user1 to the remote desktop (SERVER_A), then create a new shortcut to a web page.
   Example: http://google.com -> Named: Google
4) Logout with user1.
5) Create a new user in the domain.
   Example: user2
6) Set the user's "Remote Desktop Services User Profile" to the same network path.
   Example: \\myserver\profiles\bulpin
7) Logon with user2 to the remote desktop (SERVER_A).  YOU SHOULD GET AN ERROR!
   ERROR: "The Group Policy Client service failed the logon.  Access is denied"

更新:

以下の私の答えは問題を修正し、すべてがうまく機能しているように見えました。今、私はそもそもこれをどのようにして回避できるのかを探しています。エラーがまだ発生している間に権限を変更する必要はありません(30秒以内に続きます)。ユーザーがログオンする前にキーのアクセス許可を変更できますか?

注:HKEY_USERSの下のHiveにプロファイルを手動でロードする必要がある場合は、方法を説明してください。

ありがとう!

1
Arvo Bowen

ウェブやログなどで答えを探しています。面白いことがいくつか見つかりました...

SERVER_Aのログ(Windowsログ->アプリケーション)を見ると、次の2つのエントリが見つかりました...

1) The winlogon notification subscriber <GPClient> failed a critical notification event.
2) The winlogon notification subscriber <Sens> failed a notification event.

次に、周りを読んで、SERVER_Aの別のログ([アプリケーションとサービスのログ]-> [Microsoft]-> [Windows]-> [ユーザープロファイルサービス]-> [運用])を調べて、これらのエントリを見つけました...

1) Recieved user logon notification on session 1.
2) Registry file C:\Users\user1\ntuser.man is loaded at HKU\S-1-5-21-2420121206-1056658499-602520278-4624.
3) Registry file C:\Users\user1\AppData\Local\Microsoft\Windows\\UsrClass.dat is loaded at HKU\S-1-5-21-2420121206-1056658499-602520278-4624_Classes.
4) Finished processing user logon notification on session 1.
5) Recieved user logoff notification on session 1.
6) Finished processing user logoff notification on session 1.

ユーザーのプロファイルをレジストリに「ロード」するのは一体何なのか疑問に思い、いじり始めたところ、SERVER_AのレジストリHive(Run-> regedit.exeまたはWindowsKey + R-> regedit.exe)にキーがあることがわかりました。 「HKEY_USERS」と呼ばれます。その中に、参照されたGUIDが見つかりませんでした!!!だから物事を見て、私は考えました。通常どおりリモートデスクトップに接続してみてください。エラーメッセージが表示されますが、エラーメッセージでOKをクリックしないでください。ただそこに座らせてください。非常に迅速に(すぐにタイムアウトするため)SERVER_Aに移動し、F5でレジストリを更新し、GUIDエントリが表示されたことを確認しました!!!ログオンエラーメッセージがタイムアウトする前に、右クリックしましたGUID "HKU\S-1-5-21-2420121206-1056658499-602520278-4624"で、 "Permissions"に移動し、これが問題であることがわかりました...

My original user1 has rights to that key (HKU\S-1-5-21-2420121206-1056658499-602520278-4624) but there was no sign of user2!

だから問題を解決するために、私は次のことをしました...

Before the logon error timed-out I quickly updated the permissions to REMOVE the user1 entry and added a group that I had called "BullPin" which was a group created with user1 and user2 in it.
2
Arvo Bowen

この修正は私のために働きました:.OLDサフィックスを持つユーザーの移動プロファイルの名前を変更します。

問題のあるすべてのコンピュータで、ADMINとしてログインし、[コンピュータ]> [プロパティ]> [高度なシステム設定]> [ユーザープロファイル]を右クリックして、問題のあるユーザーのローカルプロファイルを削除します。

ログアウトしてユーザーと再度ログインすると、問題ありません。

1
Tom Wilkinson

Win 2008r2 RDCを接続しているときに、同じ問題に直面していました。

グループポリシークライアントサービスはログオンに失敗しました。アクセスが拒否されました。

C:\ Usersの特定のユーザーのフォルダーを削除して問題を修正しました。

1
Bhavik

別のRDSユーザープロファイルパスを指定しても問題はありません。ユーザーがログインすると、ntuser.datファイルはHKU\<SID of user>\...としてマウント(ロード)されます。ユーザーがログオフすると、Hiveはマウント解除(アンロード)され、すべての変更がプロファイル共有のユーザーのntuser.datに書き戻されます。

HKUのSIDは、ドメインの一意のID +ドメインのRIDマスターによって提供される相対ID(RID)で構成されます。詳細については、FSMOの役割を参照してください。

時々、ユーザーのレジストリをアンロードすることには欠陥があり、RDSプロファイルが破損する可能性があります。

0
megamorf