Bei einem Windows 7 PC in einer Domäne sind mir schon länger einige Merkwürdigkeiten aufgefallen. Aktuell habe ich festgestellt dass eine Gruppenrichtlinie die Remote Destop aktivieren sollte an diesem PC nicht angewendet wurde.
Im System-Ereignisprotokoll tauchten an dem PC bei jedem Hochfahren die beiden Events
40961 LSA (LsaSrv) und
1055 Group Policy
auf. Im Ereignistext ist jeweils von fehlendem Authentifizierungsprotokoll bzw. Problemen bei der Namensauflösung die Rede. DNS waren in den Eigenschaften der Netzwerkkarte korrekt eingetragen, nslookup konnte den Domain Controller sowohl per IP-Adresse als auch per FQDN korrekt auflösen. Ein Entfernen des PCs aus der Domäne und anschließendes Wiederhinzufügen hatte keine Änderung zur Folge.
Im Sicherheits-Ereignisprotokoll tauchte am Domain Controller der Event
4625 Überwachung gescheitert
auf. Im Ereignistext wurden unter „Konto, für das die Anmeldung fehlgeschlagen ist: Kontoname“ bzw. „… : Kontodomäne“ völlig falsche (wahrscheinlich uralte) Werte gemeldet mit denen natürlich keine erfolgreiche Anmeldung möglich war.
Ich habe lange gesucht wo diese falschen Anmeldedaten herkommen und bin schließlich in einem Forum fündig geworden (vorletztes Posting auf der Seite): Es existieren falsche/veraltete gespeicherte Anmeldeinformationen auf dem System, die für Teile der Anmeldung beim Hochfahren verwendet wurden.
Man kann diese gespeicherten Anmeldedaten löschen, wenn man folgende Schritte durchführt:
- Mit Hilfe von Sysinternals PSExec eine Eingabeaufforderung unter dem lokalen SYSTEM Konto öffnen („PsExec.exe -i -s cmd.exe„).
- Von dort mit „rundll32.exe keymgr.dll, KRShowKeyMgr“ den Dialog zur Verwaltung der vom SYSTEM Konto gespeicherten Anmeldeinformationen öffnen.
- Darin dann die in dem Event 4625 am Domain Controller erwähnten falschen/veralteten gespeichten Anmeldeinformationen löschen und den PC neu starten.
Beim darauf folgenden Hochfahren wurden die Gruppenrichtlinien endlich fehlerfrei angewendet.