Задний план
\\dfsroot\\profiles\student
, содержащий ntuser.dat и все другие файлы и каталоги, для которых установлены разрешения и права собственности, разрешающие доступ всем учащимся).Проблема
Мы нашли подмножество наших студентов не могут войти на рабочие станции Windows 7, появляется ошибка «Клиент групповой политики не смог войти: доступ запрещен». Это прекращается, если рабочая станция перемещается в другое организационное подразделение с меньшим количеством примененных политик, но это также мешает таргетингу для принтеров и другим подобным предпочтениям. Насколько мы можем судить, моделируя групповую политику, по существу нет различий в групповой политике между учетной записью студента, которая может всегда логин и студенческий аккаунт, который будет всегда потерпеть поражение.
Мы проверяли разрешения снова и снова, но мне кажется странным, что детерминированно затронуло бы только подмножество, если бы разрешения действительно были неправильными.
У учителей и других учетных записей, не являющихся учащимися, нет никаких проблем, но у них также есть один профиль для каждой учетной записи.
Я действительно не знаю, что делать дальше. Любые идеи?
Мы обнаружили, что проблема заключалась в разрешениях самого куста реестра в ntuser.man
. Таким образом, хотя разрешения были правильными для самого файла, реестр не мог быть загружен общими пользователями.
Это было решено загрузкой ntuser.man
(Загрузите Hive в regedit) и убедитесь, что разрешения для него установлены так, чтобы разрешить доступ всей группе пользователей, а не только одному.
Кажется, теперь все работает нормально.