主页 / server / 问题 / 528104
Accepted
Arvo Bowen
Asked: 2013-08-02 13:02:30 +0800 CST

登录到我的远程桌面服务器时,我收到错误“组策略客户端服务登录失败。访问被拒绝”

  • 772

重新创建问题的步骤...(Windows 2008 Server - DC 和 Windows 7 作为客户端)

1) Create a new user in the domain.
   Example: user1
2) Set the user's "Remote Desktop Services User Profile" to a network path.
   Example: \\myserver\profiles\bullpin
3) Logon with user1 to the remote desktop (SERVER_A), then create a new shortcut to a web page.
   Example: http://google.com -> Named: Google
4) Logout with user1.
5) Create a new user in the domain.
   Example: user2
6) Set the user's "Remote Desktop Services User Profile" to the same network path.
   Example: \\myserver\profiles\bulpin
7) Logon with user2 to the remote desktop (SERVER_A).  YOU SHOULD GET AN ERROR!
   ERROR: "The Group Policy Client service failed the logon.  Access is denied"

更新:

我在下面的回答解决了这个问题,一切似乎都很好。现在我正在寻找如何首先避免这种情况?无需在错误仍然出现时更改权限(在 30 秒内持续)。我可以在用户尝试登录之前更改密钥的权限吗?

注意:如果我必须手动在 HKEY_USERS 下的配置文件中加载配置文件,请说明如何操作。

谢谢!

windows-server-2008

4 个回答

  1. Best Answer

    在网络、日志等中挖掘答案。我发现了一些有趣的东西......

    查看 SERVER_A 的日志(Windows 日志-> 应用程序),我发现以下 2 个条目...

    1) The winlogon notification subscriber <GPClient> failed a critical notification event.
2) The winlogon notification subscriber <Sens> failed a notification event.

    然后四处阅读,我想到了查看 SERVER_A 上的另一个日志(应用程序和服务日志-> Microsoft-> Windows-> 用户配置文件服务-> 操作)并找到这些条目......

    1) Recieved user logon notification on session 1.
2) Registry file C:\Users\user1\ntuser.man is loaded at HKU\S-1-5-21-2420121206-1056658499-602520278-4624.
3) Registry file C:\Users\user1\AppData\Local\Microsoft\Windows\\UsrClass.dat is loaded at HKU\S-1-5-21-2420121206-1056658499-602520278-4624_Classes.
4) Finished processing user logon notification on session 1.
5) Recieved user logoff notification on session 1.
6) Finished processing user logoff notification on session 1.

    想知道将用户配置文件“加载”到注册表中到底是什么鬼,我开始胡闹,发现 SERVER_A 上的注册表配置单元(Run->regedit.exe 或 Windows Key+R->regedit.exe)有一个密钥称为“HKEY_USERS”。在里面我找不到引用的 GUID !!!所以调查事情我有一个想法。尝试像往常一样连接到远程桌面,收到错误消息,但不要在错误上单击确定。让它坐在那里。很快(因为它很快就会超时)我跳到 SERVER_A 并用 F5 刷新了注册表,果然出现了 GUID 条目!!!在该登录错误消息超时之前,我右键单击 GUID“HKU\S-1-5-21-2420121206-1056658499-602520278-4624”并转到“权限”并发现这是问题所在...

    My original user1 has rights to that key (HKU\S-1-5-21-2420121206-1056658499-602520278-4624) but there was no sign of user2!

    所以为了解决这个问题,我做了以下......

    Before the logon error timed-out I quickly updated the permissions to REMOVE the user1 entry and added a group that I had called "BullPin" which was a group created with user1 and user2 in it.
    • 2

  2. 我在连接 win 2008r2 RDC 时遇到了同样的问题。

    组策略客户端服务登录失败。访问被拒绝。

    我通过删除 C:\Users 中特定用户的文件夹解决了这个问题。

    • 2

  3. 此修复对我有用:使用 .OLD 后缀重命名用户的漫游配置文件。

    在所有有问题的计算机中,以管理员身份登录,右键单击计算机 > 属性 > 高级系统设置 > 用户配置文件 > 删除违规用户的本地配置文件。

    注销并使用用户重新登录,应该没问题。

    • 1

  4. 如果您指定不同的 RDS 用户配置文件路径,应该完全没有问题。当用户登录时,他们的 ntuser.dat 文件被挂载(加载)为HKU\<SID of user>\.... 当用户注销时,hive 将被卸载(卸载),所有更改都将写回配置文件共享中用户的 ntuser.dat。

    HKU 中的 SID 由域的唯一 id + 域的 RID Master 提供的相对 id (RID) 组成。有关详细信息,请参阅 FSMO 角色。

    不时卸载用户的注册表有其缺陷,因此可能导致 RDS 配置文件损坏。

    • 0

相关问题