Действия по воссозданию проблемы ... (Windows 2008 Server - DC и Windows 7 в качестве клиента)
1) Create a new user in the domain.
Example: user1
2) Set the user's "Remote Desktop Services User Profile" to a network path.
Example: \\myserver\profiles\bullpin
3) Logon with user1 to the remote desktop (SERVER_A), then create a new shortcut to a web page.
Example: http://google.com -> Named: Google
4) Logout with user1.
5) Create a new user in the domain.
Example: user2
6) Set the user's "Remote Desktop Services User Profile" to the same network path.
Example: \\myserver\profiles\bulpin
7) Logon with user2 to the remote desktop (SERVER_A). YOU SHOULD GET AN ERROR!
ERROR: "The Group Policy Client service failed the logon. Access is denied"
Обновить:
Мой ответ ниже устранил проблему, и все, казалось, работало нормально. Теперь я хочу узнать, как мне вообще этого избежать? Без необходимости изменять разрешения, пока ошибка все еще отображается (в течение 30 секунд длится). Могу ли я изменить разрешения ключа до того, как пользователь попытается войти в систему?
Примечание. Если мне нужно вручную загрузить профиль в куст под HKEY_USERS, объясните, как это сделать.
Спасибо!
Покопавшись в Интернете, в логах и т.д., я нашел кое-что интересное ...
Глядя в журнал (Журналы Windows-> Приложение) SERVER_A, я обнаружил следующие 2 записи ...
1) The winlogon notification subscriber <GPClient> failed a critical notification event.
2) The winlogon notification subscriber <Sens> failed a notification event.
Затем, читая вокруг, у меня возникла идея заглянуть в другой журнал на SERVER_A (Журналы приложений и служб-> Microsoft-> Windows-> User Profile Service-> Operational) и нашел эти записи ...
1) Recieved user logon notification on session 1.
2) Registry file C:\Users\user1\ntuser.man is loaded at HKU\S-1-5-21-2420121206-1056658499-602520278-4624.
3) Registry file C:\Users\user1\AppData\Local\Microsoft\Windows\\UsrClass.dat is loaded at HKU\S-1-5-21-2420121206-1056658499-602520278-4624_Classes.
4) Finished processing user logon notification on session 1.
5) Recieved user logoff notification on session 1.
6) Finished processing user logoff notification on session 1.
Интересно, какого черта «загружать» профиль пользователя в реестр, я начал возиться и обнаружил, что куст реестра (Run-> regedit.exe или Windows Key + R-> regedit.exe) на SERVER_A имеет ключ называется "HKEY_USERS". Внутри я НЕ смог найти указанный GUID !!! Так что, глядя на вещи, у меня появилась идея. Попробуйте подключиться к удаленному рабочему столу как обычно, получите сообщение об ошибке, НО НЕ НАЖИМАЙТЕ ОК ПРИ ОШИБКЕ. Просто оставь это там. Очень быстро (потому что он скоро истечет) я перешел на SERVER_A и обновил реестр с помощью F5, и, конечно же, появилась запись GUID !!! До того, как истекло время ожидания сообщения об ошибке входа в систему, я щелкнул правой кнопкой мыши по GUID «HKU \ S-1-5-21-2420121206-1056658499-602520278-4624» и перешел в «Разрешения» и обнаружил, что это проблема ...
My original user1 has rights to that key (HKU\S-1-5-21-2420121206-1056658499-602520278-4624) but there was no sign of user2!
Итак, чтобы решить проблему, я сделал следующее ...
Before the logon error timed-out I quickly updated the permissions to REMOVE the user1 entry and added a group that I had called "BullPin" which was a group created with user1 and user2 in it.
Я столкнулся с той же проблемой при подключении Win 2008r2 RDC.
Службе клиента групповой политики не удалось войти в систему. Доступ запрещен.
Я исправил проблему, удалив папку конкретного пользователя в C: \ Users.
Это исправление сработало для меня: переименовать перемещаемый профиль пользователя с суффиксом .OLD.
На всех компьютерах, где возникла проблема, войдите в систему как АДМИНИСТРАТОР, щелкните правой кнопкой мыши КОМПЬЮТЕР> СВОЙСТВА> РАСШИРЕННЫЕ НАСТРОЙКИ СИСТЕМЫ> ПРОФИЛИ ПОЛЬЗОВАТЕЛЯ> удалите локальный профиль нарушившего пользователя.
Выйти и снова войти в систему с пользователем, все должно быть в порядке.
Не должно возникнуть никаких проблем, если вы укажете разные пути профиля пользователя RDS. Когда пользователи входят в систему, их файл ntuser.dat монтируется (загружается) как HKU\<SID of user>\... . Когда пользователь выходит из системы, куст размонтируется (выгружается), и все изменения записываются обратно в файл ntuser.dat пользователя в общей папке профиля.
SID в HKU состоит из уникального идентификатора домена + относительного идентификатора (RID), предоставленного мастером RID домена. См. Подробности в разделе «Роли FSMO».
Время от времени выгрузка реестра пользователя имеет свои недостатки, что может привести к повреждению профиля RDS.