Снова та же картина: пользователь вводит пароль — и всё, экран намертво встаёт на «Применение параметров» или «Подготовка Windows». Медленный логон — пожалуй, самая раздражающая проблема в корпоративной среде, где крутятся доменные политики, скрипты входа и перенаправленные профили. Виновников бывает несколько сразу: изношенный профиль, огромная цепочка GPO, контроллер домена, который еле отвечает, или скрипт, зависший где-то в фоне. Собрал 10 конкретных команд для методичного поиска виновника — от групповых политик до сетевых задержек.

Почему вход тормозит: основные причины

После ввода пароля Windows последовательно проходит несколько этапов: аутентификация через Kerberos, загрузка профиля, применение групповых политик компьютера и пользователя, выполнение скриптов входа и запуск сеанса. Споткнуться система может на любом из них — и тогда экран приветствия висит.

• Слишком много GPO или они конфликтуют между собой
• Контроллер домена не отвечает или репликация еле ползёт
• Профиль пользователя повреждён или раздулся до неприличных размеров
• Скрипты входа выполняются вечность или падают с ошибками
• Перенаправление папок через медленный канал

10 команд диагностики медленного логона

1. Отчёт по применённым групповым политикам

Команда gpresult собирает полный отчёт в HTML — со статусом каждой политики, временем применения и источником GPO:

gpresult /h C:\Temp\GPO_Report.html

Открываете файл в браузере. Время обработки политик перевалило за 30 секунд — ищите проблему в GPO, дальше можно не гадать.

2. Время применения политик из журнала событий

Событие ID 5312 в журнале GroupPolicy/Operational фиксирует момент завершения обработки политик. По временной метке сразу видно, сколько это заняло:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-GroupPolicy/Operational';ID=5312} | Select-Object TimeCreated, Message

Если между этим событием и фактическим входом пользователя — приличный разрыв, применение политик аномально затянулось. Это уже не норма.

3. Процессы, запустившиеся при входе

Команда показывает 20 последних запущенных процессов, отсортированных по времени старта:

Get-Process | Sort-Object StartTime -Descending | Select-Object -First 20

Антивирус, VPN-агент, какой-нибудь скрипт синхронизации — в нашей практике именно они чаще всего и съедают время логона.

4. Состояние профилей пользователей

WMI-команда выдаёт все профили на машине: путь, дату последнего использования и флаг специального профиля:

Get-WmiObject Win32_UserProfile | Select LocalPath, LastUseTime, Special

Профили с пустым LastUseTime или Special=True — первые кандидаты на удаление или восстановление.

5. Хронология входа через Winlogon

Журнал Winlogon/Operational — это подробная хронология от момента ввода пароля до появления рабочего стола:

Get-WinEvent -LogName 'Microsoft-Windows-Winlogon/Operational' | Select TimeCreated, Id, Message -First 20

Листайте события и ищите большие временны́е провалы между соседними записями. Там и зарыт виновник.

6. Проверка выбранного контроллера домена

Команда nltest покажет, на какой DC ходит клиент:

nltest /dsgetdc:DOMAINNAME

Замените DOMAINNAME именем вашего домена. Клиент ломится на DC из другого офиса? Настройте привязку сайтов в AD Sites and Services — это решается за полчаса.

7. Доступность LDAP-порта на DC

Проверяем порт LDAP (389) — он нужен для аутентификации:

Test-NetConnection DC_NAME -Port 389

TcpTestSucceeded : True — соединение есть. Но если задержка внутри LAN больше 10 мс — это уже повод серьёзно поговорить с сетевиками.

8. Размер и возраст профилей пользователей

Раздутый профиль плюс перенаправление папок через медленный канал — убийственное сочетание для времени входа:

dir "C:\Users" | Sort-Object LastWriteTime

Профили без активности год и больше — смело удаляйте через Свойства системы → Дополнительно → Параметры профилей пользователей. Ничего страшного не случится.

9. Время выполнения скриптов входа

Журнал Shell-Core/Operational пишет старт и завершение каждого logon-скрипта, назначенного через GPO:

Get-WinEvent -LogName 'Microsoft-Windows-Shell-Core/Operational' | ? {$_.Message -like "\*Logon Script\*"} | Select TimeCreated, Message

Скрипт выполняется дольше 10 секунд — это уже проблема. Выносите тяжёлые задачи в Scheduled Tasks с триггером при входе пользователя. Скрипту логона там делать нечего.

10. Журнал службы профилей пользователей

User Profile Service отвечает за загрузку и выгрузку профилей. Ошибки именно здесь объясняют большинство случаев с временными профилями и отказами входа — проверьте в первую очередь:

Get-WinEvent -LogName 'Microsoft-Windows-User Profile Service/Operational' | Select TimeCreated, Id, Message -First 20

ID 1509 и 1511 — проблемы загрузки профиля. ID 1534 — профиль выгружен с ошибками. Проверьте права на папку профиля и целостность NTUSER.DAT — в 80% случаев проблема именно там.

Сводная таблица: что ищем и где

Практические рекомендации

Данные собраны. Теперь — план действий, по порядку:

1. Начните с GPO-отчёта — время применения политик перевалило за 30 секунд? Идите в GPMC и отключайте политики по одной, пока не найдёте виновника. Долго, но надёжно.
2. Проверьте сеть до DC — задержка больше 10 мс или порт 389 закрыт? Это уже к сетевым администраторам, своими силами тут не обойтись.
3. Почистите старые профили — не было активности полгода и больше? Удаляйте без сожаления. Сеанс будет инициализироваться заметно быстрее.
4. Оптимизируйте скрипты входа — всё, что можно выполнить асинхронно, выносите в Scheduled Tasks. Скрипт логона должен укладываться в 3–5 секунд, не больше.
5. Пересмотрите синхронное применение политик — параметр «Всегда ждать сети» держит рабочий стол до полного применения всех GPO. Включайте только там, где это действительно критично.

Если хочется копнуть глубже — официальная документация: Microsoft Learn — Windows Server, Microsoft Learn — PowerShell