2008 - Сервер не пускает юзеров с правами пользователя

Petya V4sechkin · Конфигурация компьютера

Цитата fitter1977:

sfc /scannow находит поврежденные файлы, но исправить не может.

После выполнения sfc /scannow выложите \Windows\Logs\CBS\CBS.log в архиве.

И посмотрите в журналах событий ошибки при неудачной попытке входа.

fitter1977 · Отправлено: **15:51, 15-11-2017** | #3

Лог sfc /scannow прикрепил.

В журнале событий такие записи при попытке логиниться:
Журнал Windows / Приложения

Имя журнала: Application
Подача: Microsoft-Windows-Winlogon
Дата: 15.11.2017 14:42:01
Код события: 6003
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: termserv
Описание:
Ошибка обработки критического события уведомления из-за недоступности подписчика уведомлений winlogon <Sens>.

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
<EventID Qualifiers="32768">6003</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.000Z" />
<EventRecordID>1361887</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security />
</System>
<EventData>
<Data>Sens</Data>
<Binary>D9060000</Binary>
</EventData>
</Event>

Имя журнала: Application
Подача: Microsoft-Windows-Winlogon
Дата: 15.11.2017 14:42:01
Код события: 4101
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: termserv
Описание:
Лицензия Windows проверена.

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Winlogon" />
<EventID Qualifiers="16384">4101</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.000Z" />
<EventRecordID>1361888</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security />
</System>
<EventData>
<Data>0x00000000</Data>
<Data>0x00000001</Data>
</EventData>
</Event>

Имя журнала: Application
Подача: Microsoft-Windows-CertificateServicesClient
Дата: 15.11.2017 14:42:01
Код события: 1
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:
Пользователь: TERMSERV\test
Компьютер: termserv
Описание:
Клиент служб сертификации запущен.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CertificateServicesClient" Guid="{73370bd6-85e5-430b-b60a-fea1285808a7}" />
<EventID>1</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:42:01.553Z" />
<EventRecordID>1361890</EventRecordID>
<Correlation />
<Execution ProcessID="4112" ThreadID="3604" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-21-1061663024-2165433620-2390536110-1045" />
</System>
<EventData>
</EventData>
</Event>

После появления ошибки при логине и нажатии кнопки ОК, происходит отлогинивания юзера и запись в журнал двух событий:

Имя журнала: Application
Подача: Microsoft-Windows-User Profiles Service
Дата: 15.11.2017 14:45:46
Код события: 1530
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: SYSTEM
Компьютер: termserv
Описание:
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

ПОДРОБНОСТИ -
1 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045\Printers\DevModePerUser

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />
<EventID Qualifiers="32768">1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:45:46.000Z" />
<EventRecordID>1361892</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">1 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045\Printers\DevModePerUser
</Data>
</EventData>
</Event>

Имя журнала: Application
Подача: Microsoft-Windows-User Profiles Service
Дата: 15.11.2017 14:45:47
Код события: 1530
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: SYSTEM
Компьютер: termserv
Описание:
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

ПОДРОБНОСТИ -
3 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045_Classes:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}\DefaultIcon
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />
<EventID Qualifiers="32768">1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-11-15T12:45:47.000Z" />
<EventRecordID>1361893</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>termserv</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="EVENT_HIVE_LEAK">
<Data Name="Detail">3 user registry handles leaked from \Registry\User\S-1-5-21-1061663024-2165433620-2390536110-1045_Classes:
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID\{AEAB07DD-2009-46CB-B688-3396698B6DFE}\DefaultIcon
Process 1152 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1061663024-2165433620-2390536110-1045_CLASSES\Wow6432Node\CLSID
</Data>
</EventData>
</Event>

В других журналах ничего нет о логине.

Petya V4sechkin · Конфигурация компьютера

fitter1977, можете сделать лог Process Monitor следующим образом:

запустите Process Monitor под администратором;
попытайтесь зайти в систему под пользователем, чтобы получилась ошибка;
сохраните лог: меню File -> Save -> PML-формат;
заархивируйте и выложите на любой файлообменник, например dropmefiles.com.

fitter1977 · Отправлено: **12:13, 16-11-2017** | #5

http://dropmefiles.com/NAi0r
Все сделал.

Petya V4sechkin · Конфигурация компьютера

fitter1977, на разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
правой кнопкой мыши -> Разрешения -> кнопка Дополнительно -> покажите скриншот.

fitter1977 · Отправлено: **12:54, 17-11-2017** | #7

Скрин прикрепляю.

Petya V4sechkin · Конфигурация компьютера

fitter1977, добавьте туда разрешения:

Система - Полный доступ
Пользователи - Чтение

Кстати, в этой ветке подраздел taskmgr.exe есть, что там?

fitter1977 · Отправлено: **14:29, 17-11-2017** | #9

Добавление прав для ветку решило проблему с непусканием юзеров!
Вот скрин подраздела taskmgr.exe

Глянул на втором терминале эту ветку, подраздела taskmgr.exe там нет. Удалить и тут? В нем проблема запуска диспетчера задач?

Petya V4sechkin - если не сложно, научите как анализировать и искать ошибки в логе Process Monitor. Я ж так понял, Вы с помощью него вышли на эту ветку реестра?

Petya V4sechkin · Конфигурация компьютера

Цитата fitter1977:

подраздела taskmgr.exe там нет. Удалить и тут? В нем проблема запуска диспетчера задач?

Да, удалить.
Обычно вирусы оставляют такие следы.

И гляньте, что в других подразделах (egui.exe и iexplore.exe). Если там параметр debugger, тоже удалите.

Цитата fitter1977:

если не сложно, научите как анализировать и искать ошибки в логе Process Monitor. Я ж так понял, Вы с помощью него вышли на эту ветку реестра?

Да, я посмотрел ошибки ACCESS DENIED в столбце Result.

Если хотите, можете почитать статьи в блоге Марка Руссиновича.