Пользователь вводит правильный пароль, а вход не проходит. Почему?

Проверьте три вещи. Во-первых, раскладку и Caps Lock. Во-вторых, доступность контроллера домена и DNS. В-третьих, не сломано ли доверие компьютера домену (Test-ComputerSecureChannel).

Что означает 'Доверие между основной и рабочей станциями потеряно'?

Учётка компьютера в AD и локальный секрет разошлись: обычно из-за восстановления из бэкапа, клонирования или долгого отсутствия в сети. Решение — Reset-ComputerMachinePassword или повторный ввод машины в домен.

Почему появляется временный профиль?

ProfileList в реестре содержит запись с расширением .bak, либо повреждён NTUSER.DAT, либо нет прав на папку профиля. Удалите проблемную ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList и перелогиньтесь.

Как зайти, если сеть недоступна, а учётка доменная?

Windows хранит кеш последних 10 учётных записей. Если вход под этой учёткой ранее выполнялся на этой машине, вы войдёте и без связи с DC. Количество кешируемых входов задаётся ключом CachedLogonsCount в реестре.

Почему при RDP сразу выкидывает?

Частые причины: заполненная очередь сессий, нет прав Remote Desktop Users, испорченный профиль, конфликт NLA и просроченного сертификата. Проверяйте журнал TerminalServices-LocalSessionManager и сертификат Remote Desktop Session Host.

Windows 19 августа 2025 · 14 мин чтения

Диагностика проблем входа в Windows: методичный разбор от сетевого уровня до профиля

Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет я разобрал тысячи инцидентов «пользователь не может войти». Я всегда иду по одной и той же методичке — от простого к сложному, чтобы не тратить время на угадывание. В этой статье — та самая последовательность проверок, которая обычно закрывает проблему за 10–20 минут.

Уровень 1: банальное, но частое

Восемьдесят процентов обращений закрываются на этом этапе. Не пропускайте:

Раскладка клавиатуры. Ru вместо En.
Caps Lock горит.
Пользователь меняет регистр букв на планшете, а на ПК привык по-другому.
Не истёк ли пароль — бывает, что истечение ночью совпало с утренним звонком.
Не отключена ли учётка (DisableAccount через GPO по расписанию — частое решение для подрядчиков).

Быстрая проверка через PowerShell на контроллере домена:

Get-ADUser ivanov -Properties LockedOut, Enabled, PasswordExpired, PasswordLastSet, AccountExpirationDate |
  Format-List Name, Enabled, LockedOut, PasswordExpired, PasswordLastSet, AccountExpirationDate

Уровень 2: сеть и DNS

Если учётка жива и пароль правильный — проверяем, видит ли рабочая станция контроллер домена. Частая причина фразы «не удалось связаться с контроллером домена» — поломан DNS на клиенте, прописан публичный 8.8.8.8 вместо внутреннего DC.

ipconfig /all
nslookup corp.local
nltest /dsgetdc:corp.local
ping DC01 -n 4
Test-NetConnection DC01 -Port 88   # Kerberos
Test-NetConnection DC01 -Port 445  # SMB/NETLOGON

У нас на практике на одной из юридических компаний в Москве вся сеть не могла войти утром понедельника. Причина — сетевая карта Mellanox 40G на ядерном коммутаторе выдала link flap, DHCP отдал клиентам старый DNS. Починили перезагрузкой коммутатора, через 5 минут офис заработал.

Уровень 3: secure channel компьютера

Если сеть до DC есть, а вход в домен не проходит с ошибкой про доверие — проверяем secure channel:

Test-ComputerSecureChannel -Verbose

# Если вернуло False — сбрасываем пароль компьютера без ребута
Reset-ComputerMachinePassword -Server DC01 -Credential (Get-Credential)

Типичная причина поломки — машина восстановлена из снапшота старше 30 дней, или клон VM с тем же именем, или долгое отсутствие в сети. Reset-ComputerMachinePassword помогает в 90% случаев без выведения из домена.

Уровень 4: учётка заблокирована

Это классика. Проверяем и снимаем блокировку:

Search-ADAccount -LockedOut
Unlock-ADAccount -Identity ivanov

Если блокировка возвращается через 10–30 минут — источник где-то хранит старый пароль. Ищем на PDC-эмуляторе через EventID 4740:

$pdc = (Get-ADDomain).PDCEmulator
Get-WinEvent -ComputerName $pdc -FilterHashtable @{LogName='Security';Id=4740} -MaxEvents 5 |
  ForEach-Object { "{0}  {1}  FROM={2}" -f $_.TimeCreated, $_.Properties[0].Value, $_.Properties[1].Value }

Чаще всего это старый сохранённый пароль в Outlook на телефоне, в МФУ для Scan-to-Mail, в планировщике задач с устаревшим кредом. Убираем там — блокировки прекращаются.

Уровень 5: профиль пользователя

Если вход проходит, но сразу выкидывает или загружается «Временный профиль»:

Открываем regedit и смотрим HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.
Ищем ветку SID пользователя с суффиксом .bak — это признак повреждённого профиля.
Правильная ветка (без .bak) должна иметь ProfileImagePath, указывающий на C:\Users\user.
Если есть и основная, и .bak — переименовываем/удаляем дубликат, перелогиниваемся.

Для roaming-профилей проверяем доступность сетевой шары \\fs01\profiles$\%username% и права (пользователь должен быть владельцем своей папки). Если шара лежит на SMB 1.0 — это повод вынести на современный файл-сервер.

Уровень 6: GPO и logon scripts

Когда вход длится 2–3 минуты, сначала смотрите, где застряла обработка групповых политик:

gpresult /h C:\Temp\gpreport.html
# Открываем отчёт в браузере — там есть время применения каждой группы политик

Get-WinEvent -LogName 'Microsoft-Windows-GroupPolicy/Operational' -MaxEvents 100 |
  Select TimeCreated, Id, Message

Частые тормоза: сетевые диски через Drive Maps с недоступными DFS-нэймспейсами, login scripts на медленном файл-сервере, printers по IP вместо Per-User-Printers через GPP Item-Level Targeting.

Уровень 7: кеш кредов и смарт-карты

Windows кеширует 10 последних учёток. Если кеш побит или обнулён GPO «Interactive logon: Number of previous logons to cache» = 0 — без сети не войти. Проверяем:

Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" |
  Select CachedLogonsCount

Для смарт-карт и сертификатных логонов — ставьте в фокус сертификат Domain Controller, цепочку до корневого CA и OCSP. Просроченный или отозванный сертификат контроллера домена мгновенно обрушает вход по сертификату на всей сети.

Мини-кейс: «не могу войти, хотя всё менял»

Бухгалтер компании из Одинцово (32 рабочих места, домен на двух DC) в январе 2026 года не могла войти на свой ноутбук. Пароль меняли три раза, учётку разблокировали, профиль удаляли. Проблема держалась вторые сутки. Я зашёл удалённо через WinRM на DC01, запустил Test-ComputerSecureChannel для этого ноута — False. Ноут был восстановлен IT-подрядчиком из старого бэкапа недельной давности после отказа SSD.

Решение: Reset-ComputerMachinePassword с учёткой администратора домена, перезагрузка ноута, корректный вход. Общее время 4 минуты. За 15+ лет именно такие «невероятные» случаи — самые простые, если идти по методичке.

Починю вход пользователей в Windows

Разбор инцидентов аутентификации, восстановление профилей, наладка AD и GPO. Удалённая диагностика или выезд в офис, Москва и Московская область.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Пользователь вводит правильный пароль, а вход не проходит. Почему?: Проверьте раскладку, доступность DC и DNS, затем secure channel компьютера.
Что означает "Доверие между станциями потеряно"?: Разошлись пароли компьютера в AD и локально. Лечится Reset-ComputerMachinePassword.
Почему появляется временный профиль?: Повреждён NTUSER.DAT или ветка ProfileList в реестре с .bak. Удалите .bak-запись, перелогиньтесь.
Как зайти, если сеть недоступна, а учётка доменная?: Используется кеш последних входов. Если вход не выполнялся — в офлайне не пустит.
Почему при RDP сразу выкидывает?: Смотрите TerminalServices-LocalSessionManager, права Remote Desktop Users, сертификат RDP, состояние профиля.