Сервер не пускает юзеров с правами пользователя

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

Сервер не пускает юзеров с правами пользователя

Сервер 2008. Поднята терминалка.
Со вчерашнего дня перестал пускать по рдп всех пользователей не имеющих прав админа.
Доходит дело до "Подготовка рабочего стола" висит минуты 2 и отваливается с ошибкой:
"Вы подключены к удаленному компьютеру. Однако, произошла ошибка при инициализации пользовательской программы, поэтому будет выполнен выход из системы. Обратитесь к системному администратору" Скрин прилагаю.

Уточнение. Пользователей не имеющих прав админа не пускает и локально с консоли. После ввода пароля висит просто синий экран. Как буд-то не работает проводник explorer.exe.
Вручную запустить explorer.exe тоже не выходит. Диспетчер задач не запускается.
Так что терминалка не при чем.
Несколько раз сервер аварийно выключался из-за пропадания электричества. Из-за перепадов сгорел упс перед этим.

Права на explorer.exe такие: System, администраторы, пользователи - чтение и выполнение, чтение. Trustedinstaller - полные.

sfc /scannow находит поврежденные файлы, но исправить не может.
Все критические обновления установлены.
Антивирус ESET.

не пускает как новых юзеров, так и существующих.

Да, из под админа диспетчер задач тоже не запускается, просто ничего не происходит при его запуске.
Пока запускаю ярлыком на C:\Windows\SysWOW64\taskmgr.exe

Цитата:

Цитата fitter1977

sfc /scannow находит поврежденные файлы, но исправить не может.

После выполнения sfc /scannow выложите \Windows\Logs\CBS\CBS.log в архиве.

И посмотрите в журналах событий ошибки при неудачной попытке входа.

Лог sfc /scannow прикрепил.

В журнале событий такие записи при попытке логиниться:
Журнал Windows / Приложения

Имя журнала: Application
Подача: Microsoft-Windows-Winlogon
Дата: 15.11.2017 14:42:01
Код события: 6003
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: termserv
Описание:
Ошибка обработки критического события уведомления из-за недоступности подписчика уведомлений winlogon <Sens>.

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
<EventID Qualifiers="32768">6003</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.000Z" />
<EventRecordID>1361887</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security />
</System>
<EventData>
<Data>Sens</Data>
<Binary>D9060000</Binary>
</EventData>
</Event>

Имя журнала: Application
Подача: Microsoft-Windows-Winlogon
Дата: 15.11.2017 14:42:01
Код события: 4101
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: termserv
Описание:
Лицензия Windows проверена.

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Winlogon" />
<EventID Qualifiers="16384">4101</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.000Z" />
<EventRecordID>1361888</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security />
</System>
<EventData>
<Data>0x00000000</Data>
<Data>0x00000001</Data>
</EventData>
</Event>

Имя журнала: Application
Подача: Microsoft-Windows-CertificateServicesClient
Дата: 15.11.2017 14:42:01
Код события: 1
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:
Пользователь: TERMSERV\test
Компьютер: termserv
Описание:
Клиент служб сертификации запущен.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CertificateServicesClient" Guid="{73370bd6-85e5-430b-b60a-fea1285808a7}" />
<EventID>1</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.553Z" />
<EventRecordID>1361890</EventRecordID>
<Correlation />
<Execution ProcessID="4112" ThreadID="3604" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-21-1061663024-2165433620-2390536110-1045" />
</System>
<EventData>
</EventData>
</Event>

После появления ошибки при логине и нажатии кнопки ОК, происходит отлогинивания юзера и запись в журнал двух событий:

Имя журнала: Application
Подача: Microsoft-Windows-User Profiles Service
Дата: 15.11.2017 14:45:46
Код события: 1530
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: SYSTEM
Компьютер: termserv
Описание:
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

ПОДРОБНОСТИ -
1 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045\Printers\DevModePerUser

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />
<EventID Qualifiers="32768">1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:45:46.000Z" />
<EventRecordID>1361892</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">1 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045\Printers\DevModePerUser
</Data>
</EventData>
</Event>

Имя журнала: Application
Подача: Microsoft-Windows-User Profiles Service
Дата: 15.11.2017 14:45:47
Код события: 1530
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: SYSTEM
Компьютер: termserv
Описание:
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

ПОДРОБНОСТИ -
3 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045_Classes:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}\DefaultIcon
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />
<EventID Qualifiers="32768">1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:45:47.000Z" />
<EventRecordID>1361893</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">3 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045_Classes:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}\DefaultIcon
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID
</Data>
</EventData>
</Event>

В других журналах ничего нет о логине.

fitter1977, можете сделать лог Process Monitor следующим образом:

запустите Process Monitor под администратором;
попытайтесь зайти в систему под пользователем, чтобы получилась ошибка;
сохраните лог: меню File -> Save -> PML-формат;
заархивируйте и выложите на любой файлообменник, например dropmefiles.com.

http://dropmefiles.com/NAi0r
Все сделал.

fitter1977, на разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
правой кнопкой мыши -> Разрешения -> кнопка Дополнительно -> покажите скриншот.

Скрин прикрепляю.

fitter1977, добавьте туда разрешения:

Система - Полный доступ
Пользователи - Чтение

Кстати, в этой ветке подраздел taskmgr.exe есть, что там?

Добавление прав для ветку решило проблему с непусканием юзеров!
Вот скрин подраздела taskmgr.exe

Глянул на втором терминале эту ветку, подраздела taskmgr.exe там нет. Удалить и тут? В нем проблема запуска диспетчера задач?

Petya V4sechkin - если не сложно, научите как анализировать и искать ошибки в логе Process Monitor. Я ж так понял, Вы с помощью него вышли на эту ветку реестра?

Цитата:

Цитата fitter1977

подраздела taskmgr.exe там нет. Удалить и тут? В нем проблема запуска диспетчера задач?

Да, удалить.
Обычно вирусы оставляют такие следы.

И гляньте, что в других подразделах (egui.exe и iexplore.exe). Если там параметр debugger, тоже удалите.

Цитата:

Цитата fitter1977

если не сложно, научите как анализировать и искать ошибки в логе Process Monitor. Я ж так понял, Вы с помощью него вышли на эту ветку реестра?

Да, я посмотрел ошибки ACCESS DENIED в столбце Result.

Если хотите, можете почитать статьи в блоге Марка Руссиновича.

Огромадное спасибо! Удаление taskmgr.exe решило проблему с диспетчером устройств. Параметра debugger в egui.exe и iexplore.exe нет. Сравню эти ветки с другим терминалом. Но уже сейчас решены те две проблемы: невход юзеров и незапуск диспетчера задач!

Статьи непременно почитаю и постараюсь сам, используя, Process Monitor отлавливать проблемы!

СПАСИБО!

Добрый день.
Такая же беда
server 2008 терминалка.
Пускает только админов.
диспетчер задач удалось восстановить, а вот вход в систему обычным пользователям нет

a-minin, можете сделать лог Process Monitor.

Лог файл получается очень большой.

a-minin, ну а если заархивировать?

даже в архиве больше лимита

a-minin, лимит где?

Можно сохранить события с фильтром:
Result
is
ACCESS DENIED

a-minin, ну у вас та же проблема с разрешениями на Image File Execution Options.

Спасибо. Не посмотрел что добавлены были только пользователи терминала, а обычных не было.