Windows Featureupdate deaktiviert Benutzeraccounts

[Clay61]

Hallo zusammen,

ich habe im Betrieb die Aufgabe bekommen zu recherchieren warum Windows nach einem Featureupdate die Benutzerkonten deaktiviert. Im Betrieb weiß auch niemand warum das so ist. 

Als Test habe ich auf einem Laptop Windows 10 1809 installiert und danach auf 1909 geupdatet. Nach dem Update waren alle Benutzerkonten deaktiviert außer der Domänen Admin Account. Sogar der Lokale Admin wurde deaktiviert, wo vor dem Featureupdate alles noch aktiviert war. 

Ich habe mich im Netz etwas erkundigt, konnte leider nichts finden, was mir weiterhelfen konnte. 

Habt ihr vielleicht irgendwelche Ideen ? 

[Maniska]

vor 15 Minuten schrieb Clay61:

ich habe im Betrieb die Aufgabe bekommen zu recherchieren warum Windows nach einem Featureupdate die Benutzerkonten deaktiviert. Im Betrieb weiß auch niemand warum das so ist. 

Welche Benutzerkonten? Die Lokalen, oder auch Domänenkonten? Bei jedem Featureupdate oder nur bei einem bestimmten von X auf Y? Bzw bei einem Update auf oder über Version ABC hinaus?

vor 15 Minuten schrieb Clay61:

Als Test habe ich auf einem Laptop Windows 10 1809 installiert und danach auf 1909 geupdatet. Nach dem Update waren alle Benutzerkonten deaktiviert außer der Domänen Admin Account. Sogar der Lokale Admin wurde deaktiviert, wo vor dem Featureupdate alles noch aktiviert war.

Also ist das Gerät Teil einer Domäne, bleibt immer noch die Frage, welche Typen von Konten deaktiviert wurden.

Plus die Frage: was passiert bei einem Gerät das nicht Teil einer (dieser) Domäne ist?

vor 15 Minuten schrieb Clay61:

Habt ihr vielleicht irgendwelche Ideen ? 

Nur eine Glaskugel:

Gibt es eine aktive GPO die dieses Verhalten steuert, und erst ab Version ABC angewandt wird?

Wenn es nur bei Domänennotebooks passiert kann ich mir vorstellen dass es ein Sicherheitsfeature von Windows sein könnte, oder eine wildgewordene GPO.

Oder was ganz anderes, dafür ist die FEhlerbeschreibung etwas dünn

[Chief Wiggum]

vor 7 Minuten schrieb Maniska:

Wenn es nur bei Domänennotebooks passiert kann ich mir vorstellen dass es ein Sicherheitsfeature von Windows sein könnte

Wir haben Win10 von 1803 in Etappen bis 20H2 hochgehoben ohne dass ein lokaler Account deaktiviert worden ist.

 

vor 8 Minuten schrieb Maniska:

oder eine wildgewordene GPO.

Wäre jetzt auch eine Ecke, an der man suchen könnte. Sagt die Ereignisanzeige irgendwas hilfreiches aus?

[Clay61]

vor einer Stunde schrieb Maniska:

Welche Benutzerkonten? Die Lokalen, oder auch Domänenkonten? Bei jedem Featureupdate oder nur bei einem bestimmten von X auf Y? Bzw bei einem Update auf oder über Version ABC hinaus?

Wir haben auf den Laptops mehrere Konten, einmal den lokalen Administrator, einmal einen Domänen Administrator und natürlich normale Benutzerkonten. Beim testen habe ich halt festgestellt unter Computerverwaltung in der Benutzergruppe, dass alle Konten nach dem Update deaktiviert wurden außer der Domäne Admin. Mir ist auch schon vorgekommen, dass nur der Lokale Admin freigeschaltet war und alles andere deaktiviert war. 

Ob es bei jedem Featureupdate der Fall ist kann ich nicht sagen, da ich nur von 1809 auf 1909 geupdatet habe. 

Außerdem updaten wir die Laptops über unser Softwareverteilungssystem, ich weiß nicht was für eine große Rolle es spielen könnte. 

Das ist der aktuelle Stand den ich euch mitgeben kann, da ich auch neu angefangen habe mit der Ausbildung konnte ich damit auch nichts großartiges anfangen.  

[Chief Wiggum]

Domänenuser tauchen normalerweise nicht in der lokalen Benutzerverwaltung auf, maximal in lokalen Benutzergruppen. Sind die Domänen-Useraccounts nur lokal gesperrt oder auch in der Domäne?

[Maniska]

vor einer Stunde schrieb Chief Wiggum:

Wir haben Win10 von 1803 in Etappen bis 20H2 hochgehoben ohne dass ein lokaler Account deaktiviert worden ist.

Ich kann mich auch nicht daran erinnern dass so etwas passiert wäre, andererseits arbeitet bei uns auch keiner mit lokalen Usern auf den Clients, und der lokale Admin ist afaik auch überall deaktiviert.

Deswegen kann ich nicht beurteilen ob es eine Konstellation geben könnte in der das ein Bug oder Feature wäre.

vor 9 Minuten schrieb Clay61:

Wir haben auf den Laptops mehrere Konten, einmal den lokalen Administrator, einmal einen Domänen Administrator und natürlich normale Benutzerkonten.

So natürlich ist das nicht.

Auf einem Domänengerät gibt es, wie der Chief schon sagte keinen Benutzeraccounts. es gibt die Benutzergruppe "Domänenbenutzer" die dann Rechte auf dem Gerät haben, aber der Benutzer "Max.Mustermann@domäne.local" taucht im Regelfall nicht unter "Benutzer" auf.

vor 9 Minuten schrieb Clay61:

Beim testen habe ich halt festgestellt unter Computerverwaltung in der Benutzergruppe, dass alle Konten nach dem Update deaktiviert wurden außer der Domäne Admin. Mir ist auch schon vorgekommen, dass nur der Lokale Admin freigeschaltet war und alles andere deaktiviert war. 

Ok, doofe Frage am Rande:

Was war denn VOR dem Upgrade an/aus? Sind die Konten ggf vorher schon deaktiviert und es nur nie aufgefallen?

Wie gesagt, EIGENTLICH dürfte ein Featureupdate keine Auswirkungen auf die lokalen Benutzerkonten haben. Wenn es keine Treffer bei Google zu der Problemstellung gibt würde ich auch fast vermuten, dass es nicht am Update selbst liegen kann.

vor 9 Minuten schrieb Clay61:

Ob es bei jedem Featureupdate der Fall ist kann ich nicht sagen, da ich nur von 1809 auf 1909 geupdatet habe. 

Ok, dann schnapp dir morgen mal ein Gerät, schau vorher in die Benutzerverwaltung, und danach ob sich da was geändert hat.

vor 9 Minuten schrieb Clay61:

Außerdem updaten wir die Laptops über unser Softwareverteilungssystem, ich weiß nicht was für eine große Rolle es spielen könnte. 

Mach das Update einmal über die Softwareverteilung, und einmal "von Hand" und prüfe ob es da Unterschiede im Verhalten gibt. ggf. verdreht auch das was bei der Installation.

[Clay61]

vor 20 Minuten schrieb Chief Wiggum:

Sind die Domänen-Useraccounts nur lokal gesperrt oder auch in der Domäne?

Nur lokal. 

Also ich habe auf dem Laptop einen Admin Account mit dem ich mich auf allen Rechnern anmelden kann die im Netz sind. Das ist doch ein Domänen Admin oder ? 

vor 8 Minuten schrieb Maniska:

Was war denn VOR dem Upgrade an/aus? Sind die Konten ggf vorher schon deaktiviert und es nur nie aufgefallen?

Die waren vorher aktiviert. 

vor 9 Minuten schrieb Maniska:

Mach das Update einmal über die Softwareverteilung, und einmal "von Hand" und prüfe ob es da Unterschiede im Verhalten gibt. ggf. verdreht auch das was bei der Installation.

Werde ich auch mal ausprobieren am Montag. Dann melde ich mich wieder hier. 

[Chief Wiggum]

Gerade eben schrieb Clay61:

Also ich habe auf dem Laptop einen Admin Account mit dem ich mich auf allen Rechnern anmelden kann die im Netz sind. Das ist doch ein Domänen Admin oder ?

Nein. Einen Account den du in der lokalen Benutzerverwaltung als User findest ist ein lokaler User. Einen solchen lokalen Account mit Passwort kann man relativ easy per script oder GPO auf den Rechnern anlegen.

Meldest du dich mit domain\benutzer oder pcname\benutzer bzw .\benutzer an?

[Maniska]

vor 5 Minuten schrieb Chief Wiggum:

Meldest du dich mit domain\benutzer oder pcname\benutzer bzw .\benutzer an?

Wenn du es nicht weißt: unter dem Anmeldefeld steht im Regelfall "Anmelden an $Domäne" bzw "Anmelden an $Computername", sollte beides kryptisch sein und du nicht sicher sein, wenn du ".\" eingibst und es sich ändert, meldest du dich ansonsten mit einem Domänenaccount an.

 

[Clay61]

Achso dann hab ich das falsch verstanden sorry dafür. 

Wir haben somit zwei lokale Admin accounts und weitere Lokale accounts. Die Lokalen wurden nach dem Featureupdate gesperrt bis auf den einen Admin Account. 

Wie gesagt werde ich die anderen Methoden, die @Maniskagesagt hat am Montag ausprobieren und euch mitteilen, wie es lief.