Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird eine Situation beschrieben, in der VPN-Benutzer möglicherweise Ressourcenzugriffs- oder Konfigurationsprobleme auftreten, nachdem sich ihre Gruppenmitgliedschaft geändert hat.
Gilt für: Alle unterstützten Versionen von Windows Client
Symptome
Als Reaktion auf die Covid-19-Pandemie arbeiten jetzt immer mehr Nutzer, lernen und sozialisieren von zu Hause aus. Sie stellen mithilfe von VPN-Verbindungen eine Verbindung mit dem Arbeitsplatz her. Diese VPN-Benutzer melden, dass die Änderungen möglicherweise nicht wie erwartet wirksam werden, wenn sie zu Sicherheitsgruppen hinzugefügt oder aus diesen entfernt werden. Sie melden Symptome wie die folgenden:
- Änderungen am Netzwerkressourcenzugriff werden nicht wirksam.
- Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), die auf bestimmte Sicherheitsgruppen abzielen, gelten nicht ordnungsgemäß.
- Die Ordnerumleitungsrichtlinie wird nicht ordnungsgemäß angewendet.
- AppLocker-Regeln, die auf bestimmte Sicherheitsgruppen abzielen, funktionieren nicht.
- Anmeldeskripts, die zugeordnete Laufwerke erstellen, einschließlich Benutzerstartordner oder GPP-Laufwerkzuordnungen, funktionieren nicht.
- Der
whoami /groupsBefehl (an einer Eingabeaufforderung ausführen) meldet eine veraltete Liste der Gruppenmitgliedschaften für den lokalen Sicherheitskontext des Benutzers. - Der
gpresult /rBefehl (an einer Eingabeaufforderung ausgeführt) meldet eine veraltete Liste der Gruppenmitgliedschaften.
Wenn der Benutzer Windows sperrt und dann entsperrt, während der Client mit dem VPN verbunden bleibt, lösen sich einige dieser Symptome selbst. Einige Änderungen am Ressourcenzugriff werden z. B. wirksam. Wenn sich der Benutzer anschließend von Windows abmeldet und sich dann wieder anmeldet (alle Sitzungen schließen, die Netzwerkressourcen verwenden), lösen sich weitere Symptome ab. Anmeldeskripts funktionieren jedoch möglicherweise nicht ordnungsgemäß, und der gpresult /r Befehl spiegelt möglicherweise immer noch keine Änderungen der Gruppenmitgliedschaft wider. Der Benutzer kann das Problem nicht umgehen, indem er den runas Befehl verwendet, um eine neue Windows-Sitzung auf dem Client zu starten. Dieser Befehl verwendet nur die gleichen Anmeldeinformationen, um die neue Sitzung zu starten.
Der Umfang dieses Artikels umfasst Umgebungen, die Authentifizierungsmechanismusüberprüfung (Authentication Mechanism Assurance, AMA) in der Domäne implementiert haben und in denen Benutzer sich mithilfe einer Smartcard authentifizieren müssen, um auf Netzwerkressourcen zuzugreifen. Weitere Informationen finden Sie unter Beschreibung der AMA-Verwendung in interaktiven Anmeldeszenarien in Windows.
Ursache
In einer Büroumgebung ist es üblich, dass sich ein Benutzer am Ende des Arbeitstags von Windows abmeldet. Wenn sich der Benutzer am nächsten Tag anmeldet, ist der Client bereits mit dem Netzwerk verbunden und hat direkten Zugriff auf einen Domänencontroller. Unter diesen Bedingungen werden Änderungen an der Gruppenmitgliedschaft schnell wirksam. Der Benutzer hat die richtigen Zugriffsebenen am nächsten Tag (das nächste Mal, wenn sich der Benutzer anmeldet). Entsprechend werden Änderungen an der Gruppenrichtlinie innerhalb eines oder zwei Tage wirksam (nachdem sich der Benutzer ein oder zwei Mal angemeldet hat, je nach den richtlinien, die für die Anwendung geplant sind).
In einer privaten Umgebung kann der Benutzer die Verbindung mit dem VPN am Ende des Arbeitstags trennen und Windows sperren. Möglicherweise melden sie sich nicht ab. Wenn der Benutzer Windows (oder sich am nächsten Morgen anmeldet) entsperrt, stellt der Client keine Verbindung mit dem VPN her (und hat keinen Zugriff auf einen Domänencontroller), bis der Benutzer Windows entsperrt oder sich angemeldet hat. Der Client signiert den Benutzer bei Windows, indem er zwischengespeicherte Anmeldeinformationen verwendet, anstatt den Domänencontroller für neue Anmeldeinformationen zu kontaktieren. Windows erstellt einen Sicherheitskontext für den Benutzer, der auf den zwischengespeicherten Informationen basiert. Windows wendet gruppenrichtlinien auch asynchron an, basierend auf dem lokalen Gruppenrichtliniencache. Diese Verwendung zwischengespeicherter Informationen kann das folgende Verhalten verursachen:
- Der Benutzer hat möglicherweise Zugriff auf Ressourcen, über die er nicht verfügen sollte, und hat möglicherweise keinen Zugriff auf Ressourcen, über die er verfügen sollte.
- Gruppenrichtlinieneinstellungen werden möglicherweise nicht wie erwartet angewendet, oder die Gruppenrichtlinieneinstellungen sind veraltet.
Dieses Verhalten tritt auf, da Windows zwischengespeicherte Informationen verwendet, um die Leistung beim Anmelden von Benutzern zu verbessern. Windows verwendet auch zwischengespeicherte Informationen zum Anmelden von Benutzern in domänenverbundenen Clients, die nicht mit dem Netzwerk verbunden sind. Unerwartete Folgen treten auf, wenn der Client ausschließlich ein VPN zum Herstellen einer Verbindung mit dem Netzwerk verwendet, und der Client kann die VPN-Verbindung erst herstellen, nachdem sich der Benutzer angemeldet hat.
Wichtig
Dieses Verhalten ist nur im Szenario der interaktiven Anmeldung relevant. Der Zugriff auf Netzwerkressourcen funktioniert erwartungsgemäß, da die Netzwerkanmeldung keine zwischengespeicherten Informationen verwendet. Stattdessen stammen die Gruppeninformationen aus einer Domänencontrollerabfrage.
Auswirkungen auf den Benutzersicherheitskontext und die Zugriffssteuerung
Wenn der Client keine Verbindung mit einem Domänencontroller herstellen kann, wenn sich der Benutzer anmeldet, basiert Windows auf zwischengespeicherten Informationen im Benutzersicherheitskontext. Nachdem Windows den Benutzersicherheitskontext erstellt hat, wird der Kontext erst aktualisiert, wenn sich der Benutzer das nächste Mal anmeldet.
Angenommen, ein Benutzer wird einer Gruppe in Active Directory zugewiesen, während der Benutzer offline ist. Der Benutzer meldet sich bei Windows an und stellt dann eine Verbindung mit dem VPN bereit. Wenn der Benutzer ein Eingabeaufforderungsfenster öffnet und dann den whoami /groups Befehl ausführt, enthält die Liste der Gruppen nicht die neue Gruppe. Der Benutzer sperrt den Desktop, während er noch mit dem VPN verbunden ist. Der whoami /groups Befehl erzeugt weiterhin dasselbe Ergebnis. Schließlich meldet sich der Benutzer von Windows ab. Nachdem sich der Benutzer erneut angemeldet hat, erzeugt der whoami /groups Befehl das richtige Ergebnis.
Die Auswirkungen der zwischengespeicherten Informationen auf den Zugriff des Benutzers auf Ressourcen hängen von den folgenden Faktoren ab:
- Gibt an, ob sich die Ressourcen auf dem Client oder im Netzwerk befinden.
Ressourcen im Netzwerk erfordern einen zusätzlichen Authentifizierungsschritt (eine Netzwerkanmeldung anstelle einer interaktiven Anmeldung). Dieser Schritt bedeutet, dass die Gruppeninformationen, die die Ressource verwendet, um den Zugriff immer von einem Domänencontroller und nicht vom Clientcache zu ermitteln. - Gibt an, ob die Ressourcen Kerberos-Tickets oder andere Technologien (z. B. NTLM-Zugriffstoken) zum Authentifizieren und Autorisieren von Benutzern verwenden.
- Ausführliche Informationen dazu, wie sich zwischengespeicherte Informationen auf den Benutzerzugriff auf NTLM-gesicherte Ressourcen auswirken, finden Sie unter Ressourcen, die auf der NTLM-Authentifizierung basieren.
- Ausführliche Informationen dazu, wie sich zwischengespeicherte Informationen auf den Benutzerzugriff auf kerberosgeschützte Ressourcen auswirken, finden Sie unter Ressourcen, die auf Kerberos-Tickets basieren.
- Gibt an, ob der Benutzer eine vorhandene Ressourcensitzung fortsetzen oder eine neue Ressourcensitzung startet.
- Gibt an, ob der Benutzer den Client sperrt und entsperrt, während er mit dem VPN verbunden ist
Wenn der Benutzer den Client sperrt, während er mit dem VPN verbunden ist und ihn dann entsperrt, aktualisiert der Client seinen Cache von Benutzergruppen. Diese Änderung wirkt sich jedoch nicht auf den vorhandenen Benutzersicherheitskontext oder alle Sitzungen aus, die ausgeführt wurden, wenn der Benutzer den Client gesperrt hat. - Gibt an, ob sich der Benutzer beim Herstellen einer Verbindung mit dem VPN vom Client abmeldet und sich dann erneut anmeldet.
Die Auswirkungen der Abmeldung und anschließende Anmeldung unterscheiden sich je nachdem, ob der Benutzer den Client zuerst gesperrt und entsperrt hat, während er mit dem VPN verbunden ist. Wenn Sie den Client sperren und dann entsperren, wird der Cache der Benutzerinformationen aktualisiert, die der Client bei der nächsten Anmeldung verwendet.
Ressourcen, die auf der NTLM-Authentifizierung basieren
Diese Ressourcenkategorie umfasst Folgendes:
Die Benutzersitzung auf dem Client
Alle Ressourcensitzungen auf dem Client, die auf der NTLM-Authentifizierung basieren
Alle Ressourcensitzungen im Netzwerk, die auf der NTLM-Authentifizierung basieren
Wichtig
Wenn der Benutzer auf eine Ressource im Netzwerk zugreift, die die NTLM-Authentifizierung erfordert, stellt der Client zwischengespeicherte Anmeldeinformationen aus dem Benutzersicherheitskontext dar. Der Ressourcenserver fragt jedoch den Domänencontroller nach den neuesten Benutzerinformationen ab.
Diese Ressourcensitzungen, einschließlich der Benutzersitzung auf dem Client, laufen nicht ab. Sie werden weiterhin ausgeführt, bis der Benutzer die Sitzung beendet, z. B. wenn sich der Benutzer von Windows abmeldet. Durch Sperren und Entsperren des Clients werden die vorhandenen Sitzungen nicht beendet.
Ressourcen, die auf Kerberos-Tickets basieren
Wenn der Benutzer eine Verbindung mit dem VPN herstellt und dann versucht, auf eine Netzwerkressource zuzugreifen, die auf Kerberos-Tickets basiert, ruft das Kerberos Key Distribution Center (KDC) die Informationen des Benutzers aus Active Directory ab. Der KDC verwendet Informationen aus Active Directory, um den Benutzer zu authentifizieren und ein Ticketgewährungsticket (Ticket-Granting-Ticket, TGT) zu erstellen. Die Gruppenmitgliedschaftsinformationen im TGT sind zum Zeitpunkt der Erstellung des TGT aktuell.
Windows verwendet dann die TGT, um ein Sitzungsticket für die angeforderte Ressource abzurufen. Das Sitzungsticket verwendet wiederum die Gruppeninformationen aus dem TGT.
Der Client speichert das TGT zwischen und verwendet es bei jedem Start einer neuen Ressourcensitzung, unabhängig davon, ob lokal oder im Netzwerk. Der Client speichert auch das Sitzungsticket zwischen, sodass weiterhin eine Verbindung mit der Ressource hergestellt werden kann (z. B. wenn die Ressourcensitzung abläuft). Wenn das Sitzungsticket abläuft, sendet der Client das TGT erneut für ein neues Sitzungsticket.
Wichtig
Wenn sich die Gruppenmitgliedschaft des Benutzers ändert, nachdem der Benutzer Ressourcensitzungen gestartet hat, steuern die folgenden Faktoren, wann sich die Änderung tatsächlich auf den Ressourcenzugriff des Benutzers auswirkt:
- Eine Änderung der Gruppenmitgliedschaft wirkt sich nicht auf vorhandene Sitzungen aus.
Vorhandene Sitzungen werden fortgesetzt, bis sich der Benutzer abmeldet oder anderweitig die Sitzung beendet, oder bis die Sitzung abläuft. Wenn eine Sitzung abläuft, tritt eines der folgenden Punkte auf:- Der Client übermittelt das Sitzungsticket erneut oder sendet ein neues Sitzungsticket. Dieser Vorgang erneuert die Sitzung.
- Der Client versucht nicht erneut, eine Verbindung herzustellen. Die Sitzung wird nicht verlängert.
- Eine Änderung der Gruppenmitgliedschaft wirkt sich nicht auf die aktuelleN TGT oder sitzungstickets aus, die mit diesem TGT erstellt werden.
Der Ticketerteilungsdienst (TGS) verwendet die Gruppeninformationen des TGT, um ein Sitzungsticket zu erstellen, anstatt Active Directory selbst abzufragen. Die TGT wird erst verlängert, wenn der Benutzer den Client sperrt oder abmeldet oder bis das TGT abläuft (in der Regel 10 Stunden). Ein TGT kann 10 Tage verlängert werden.
Sie können den Befehl "klist" verwenden, um den Ticketcache eines Clients manuell zu löschen.
Notiz
Der Ticketcache speichert Tickets für alle Benutzersitzungen auf dem Computer. Sie können die klist Befehlszeilenoptionen verwenden, um den Befehl auf bestimmte Benutzer oder Tickets abzuzielen.
Auswirkungen auf Start- und Anmeldeprozesse
Der Gruppenrichtliniendienst ist optimiert, um die Anwendung von Gruppenrichtlinien zu beschleunigen und negative Auswirkungen auf die Clientleistung zu verringern. Weitere Informationen finden Sie unter "Grundlegendes zur Auswirkung der schnellen Anmeldeoptimierung und des schnellen Starts auf Gruppenrichtlinien". Dieser Artikel enthält eine ausführliche Erläuterung der Interaktion von Gruppenrichtlinien mit Start- und Anmeldeprozessen. Der Gruppenrichtliniendienst kann im Vordergrund (beim Start oder bei der Anmeldung) oder im Hintergrund (während der Benutzersitzung) ausgeführt werden. Der Dienst verarbeitet Gruppenrichtlinien auf folgende Weise:
- Asynchrone Verarbeitung bezieht sich auf Prozesse, die nicht vom Ergebnis anderer Prozesse abhängen.
- Synchrone Verarbeitung bezieht sich auf Prozesse, die vom Ergebnis der anderen abhängig sind. Daher muss bei synchronen Prozessen gewartet werden, bis der vorherige Prozess abgeschlossen ist, bevor der nächste Prozess gestartet werden kann.
In der folgenden Tabelle sind die Ereignisse zusammengefasst, die die Vordergrund- oder Hintergrundverarbeitung auslösen und ob die Verarbeitung synchron oder asynchron ist.
| Trigger | Synchron oder asynchron | Vordergrund oder Hintergrund |
|---|---|---|
| Computerstart oder Herunterfahren | Synchron oder asynchron | Vordergrund |
| Benutzeranmeldung oder Abmelden | Synchron oder asynchron | Vordergrund |
| Geplant (während der Benutzersitzung) | Asynchron | Hintergrund |
Benutzeraktion (gpupdate /force) |
Asynchron | Hintergrund |
Um Konfigurationsänderungen anzuwenden, erfordern einige clientseitige Erweiterungen (CSEs) eine synchrone Verarbeitung (beim Benutzeranmeldung oder Computerstart). In solchen Fällen identifiziert das CSE die Notwendigkeit einer Änderung während der Hintergrundverarbeitung. Wenn sich der Benutzer das nächste Mal anmeldet oder der Computer startet, schließt der CSE die Änderung im Rahmen der synchronen Verarbeitungsphase ab.
Einige dieser CSEs haben eine zusätzliche Komplikation: Sie müssen eine Verbindung mit Domänencontrollern oder anderen Netzwerkservern herstellen, während die synchrone Verarbeitung ausgeführt wird. Die Ordnerumleitung und Skript-CSEs sind zwei der CSEs in dieser Kategorie.
Dieses Design funktioniert effektiv in einer Büroumgebung. In einer Heimarbeitsumgebung kann sich der Benutzer jedoch möglicherweise nicht abmelden und wieder anmelden, während er mit der Domäne verbunden ist. Die synchrone Verarbeitung muss abgeschlossen werden, bevor der Client einen Domänencontroller oder einen anderen Server kontaktiert. Daher können einige Richtlinien nicht ordnungsgemäß angewendet oder aktualisiert werden.
Eine Änderung der Ordnerumleitung erfordert z. B. Folgendes:
- Synchrone Vordergrundverarbeitung (während der Benutzeranmeldung).
- Verbindung mit einem Domänencontroller. Die Verbindung muss verfügbar sein, während die Verarbeitung ausgeführt wird.
- Verbindung mit dem Dateiserver, der die Umleitungszielordner hostet. Die Verbindung muss verfügbar sein, während die Verarbeitung ausgeführt wird.
Tatsächlich kann diese Änderung zwei Anmeldungen umfassen. Während der ersten Anmeldung erkennt das Ordnerumleitungs-CSE auf dem Client die Notwendigkeit einer Änderung und fordert die synchrone Verarbeitung im Vordergrund an. Während der nächsten Anmeldung implementiert das CSE die Richtlinienänderung.
Auswirkungen auf die Gruppenrichtlinienberichterstattung
Der Gruppenrichtliniendienst verwaltet Gruppenmitgliedschaftsinformationen auf dem Client, in der Windows-Verwaltungsinstrumentation (WMI) und in der Registrierung. Der WMI-Speicher wird im Ergebnissatz des Richtlinienberichts (erstellt durch Ausführen gpresult /r) verwendet. Es wird nicht verwendet, um Entscheidungen darüber zu treffen, welche GPOs angewendet werden.
Notiz
Sie können die Ergebnisgruppe der Richtlinienberichtsfunktion deaktivieren, indem Sie die Richtlinienprotokollierungsrichtlinie deaktivieren.
Unter den folgenden Umständen aktualisiert der Gruppenrichtliniendienst die Gruppeninformationen in WMI nicht:
- Die Gruppenrichtlinie wird im Hintergrund ausgeführt. Beispielsweise bei regelmäßigen Aktualisierungen, nachdem der Computer gestartet wurde oder sich ein Benutzer angemeldet hat, oder wenn ein Benutzer den
gpupdate /forceBefehl ausführt, um die Gruppenrichtlinie zu aktualisieren. - Die Gruppenrichtlinie wird aus dem Gruppenrichtliniencache ausgeführt. Wenn sich der Benutzer beispielsweise anmeldet, während der Client keinen Zugriff auf einen Domänencontroller hat.
Dieses Verhalten bedeutet, dass die Gruppenliste auf einem NUR-VPN-Client immer veraltet ist, da der Gruppenrichtliniendienst während der Benutzeranmeldung keine Verbindung mit dem Netzwerk herstellen kann. Wenn Gruppenrichtlinien ausgeführt werden und die Gruppeninformationen in WMI nicht aktualisiert werden, zeichnet der Gruppenrichtliniendienst möglicherweise ein Ereignis auf, das wie folgt aussieht:
GPSVC(231c.2d14) 11:56:10:651 CSessionLogger::Log: Wiederherstellung alter Sicherheits grps
Sie können sicher sein, dass WMI und die Ausgabe gpresult /r nur aktualisiert werden, wenn die folgende Zeile im Gruppenrichtliniendienstprotokoll für das Konto angezeigt wird, das Sie untersuchen:
GPSVC(231c.2d14) 11:56:10:651 CSessionLogger::Log: Protokollierung neuer Sicherheits-Grps
Lösung
Um die in diesem Artikel beschriebenen Probleme zu beheben, verwenden Sie eine VPN-Lösung, die eine VPN-Verbindung mit einem Client herstellen kann, bevor sich der Benutzer anmeldet.
Problemumgehungen
Wenn Sie kein VPN verwenden können, das eine Clientverbindung herstellt, bevor sich der Benutzer anmeldet, können diese Problemumgehungen die in diesem Artikel beschriebenen Probleme beheben.
Problemumgehung für Benutzersicherheitskontext und Zugriffssteuerung
Nachdem Sie einer Gruppe einen Benutzer hinzugefügt oder einen Benutzer aus einer Gruppe entfernt haben, führen Sie die folgenden Schritte für den Benutzer aus. Dieses Verfahren bietet die einzige unterstützte Problemumgehung, die den Benutzersicherheitskontext auf Clients aktualisiert, die keine Verbindung mit dem VPN herstellen, bevor sich der Benutzer anmeldet.
Wichtig
Lassen Sie genügend Zeit für die Mitgliedschaftsänderung für die Replikation zwischen den Domänencontrollern zu, bevor Sie diesen Vorgang starten.
- Melden Sie sich beim Clientcomputer an, und stellen Sie dann wie üblich eine Verbindung mit dem VPN her.
- Wenn Sie sicher sind, dass der Clientcomputer mit dem VPN verbunden ist, sperren Sie Windows.
- Entsperren Sie den Clientcomputer, und melden Sie sich dann bei Windows ab.
- Melden Sie sich erneut bei Windows an.
Die Gruppenmitgliedschaftsinformationen (und der Ressourcenzugriff) sind jetzt auf dem neuesten Stand.
Sie können die Gruppenmitgliedschaftsinformationen überprüfen, indem Sie ein Eingabeaufforderungsfenster öffnen und dann ausführen whoami /all.
Notiz
Sie können das folgende Windows PowerShell-Skript verwenden, um die Schritte zum Sperren und Entsperren dieses Verfahrens zu automatisieren. In diesem Prozess muss sich der Benutzer bei Windows anmelden und sich nach ausführung des Skripts bei Windows abmelden.
$fullname = $env:userdnsdomain + "\" + "$env:username"
$MyCred = Get-Credential -Username $fullname -Message "Update Logon Credentials"
Start-Process C:\Windows\System32\cmd.exe -ArgumentList ("/C", "exit 0") -Credential $MyCred -WindowStyle Hidden -PassThru -Wait
Problemumgehung für Anmeldeprozesse, einschließlich Gruppenrichtlinien
Sie können einige Probleme beheben, indem Sie Konfigurationsänderungen manuell vornehmen, indem Sie Skriptänderungen vornehmen, sodass Skripts nach der Anmeldung des Benutzers ausgeführt werden können, oder indem Sie den Benutzer mit dem VPN verbinden und sich dann von Windows abmelden. Möglicherweise müssen Sie diese Ansätze kombinieren. Für Gruppenrichtlinien ist insbesondere der Schlüssel zu verstehen, wann und wie Gruppenrichtlinien funktionieren können.
Notiz
Zugeordnete Laufwerkverbindungen und Anmeldeskripts verfügen nicht über die gleichen synchronen Vordergrundverarbeitungsanforderungen wie Ordnerumleitungen, erfordern jedoch Domänencontroller- und Ressourcenserverkonnektivität.
Eine detaillierte Liste der Verarbeitungsanforderungen von Gruppenrichtlinien-CSEs finden Sie unter "Grundlegendes zur Auswirkung der Schnellen Anmeldeoptimierung und des schnellen Starts auf Gruppenrichtlinien".