ID d'événement Windows 1704 – Winlogon : Échec du service de profil utilisateur

Commencez par examiner les détails complets de l'événement et les événements connexes pour comprendre l'étendue de l'échec du profil.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 1704 en utilisant l'option de filtre dans le volet Actions
4. Double-cliquez sur l'événement pour voir des informations détaillées, y compris le SID de l'utilisateur affecté
5. Vérifiez les événements connexes autour du même moment, en particulier les ID d'événement 1500, 1502 et 1511
6. Utilisez PowerShell pour recueillir des données d'événements complètes :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=1704} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

7. Exportez les événements pertinents pour une analyse plus approfondie :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=1704} | Export-Csv -Path "C:\Temp\Event1704_Analysis.csv" -NoTypeInformation

Examinez et réparez les entrées de registre corrompues dans la clé ProfileList qui peuvent empêcher le chargement correct du profil.

1. Ouvrez l'Éditeur du Registre en tant qu'administrateur en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
2. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
3. Cherchez les entrées SID en double ou les entrées avec des extensions .bak
4. Utilisez PowerShell pour auditer les entrées de registre de profil :

   Get-ChildItem "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" | ForEach-Object { Get-ItemProperty $_.PSPath | Select-Object PSChildName, ProfileImagePath, State }

5. Identifiez les entrées problématiques où le ProfileImagePath est manquant ou incorrect
6. Pour les entrées corrompues, renommez la clé SID problématique en ajoutant .old à la fin
7. Si une version .bak existe, renommez-la pour supprimer l'extension .bak
8. Redémarrez le système et testez la connexion utilisateur
9. Vérifiez la correction en utilisant PowerShell :

   Get-WmiObject -Class Win32_UserProfile | Where-Object {$_.Special -eq $false} | Select-Object LocalPath, SID, Loaded

Vérifiez qu'il existe un espace disque suffisant et que les autorisations appropriées sont définies sur les répertoires de profil utilisateur.

1. Vérifiez l'espace disque disponible sur le lecteur système :

   Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DriveType -eq 3} | Select-Object DeviceID, @{Name="Size(GB)";Expression={[math]::Round($_.Size/1GB,2)}}, @{Name="FreeSpace(GB)";Expression={[math]::Round($_.FreeSpace/1GB,2)}}

2. Examinez les autorisations du répertoire de profil utilisateur :

   Get-Acl "C:\Users\*" | Format-Table Path, Owner, AccessToString -Wrap

3. Naviguez vers C:\Users dans l'Explorateur de fichiers et vérifiez que les dossiers utilisateur existent et sont accessibles
4. Vérifiez les dossiers de profil avec des noms inhabituels ou des problèmes d'autorisations
5. Réinitialisez les autorisations sur un dossier de profil utilisateur problématique :

   $ProfilePath = "C:\Users\[USERNAME]"\nicacls $ProfilePath /reset /T /C

6. Vérifiez que le service de profil utilisateur est en cours d'exécution :

   Get-Service -Name "ProfSvc" | Select-Object Name, Status, StartType

7. Si le service est arrêté, démarrez-le :

   Start-Service -Name "ProfSvc"

8. Surveillez l'utilisation de l'espace disque lors du chargement du profil :

   while ($true) { Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DriveType -eq 3} | Select-Object DeviceID, @{Name="FreeSpace(GB)";Expression={[math]::Round($_.FreeSpace/1GB,2)}}; Start-Sleep 30 }

Utilisez les outils intégrés de Windows pour reconstruire un profil utilisateur corrompu tout en préservant les données utilisateur.

1. Créez une sauvegarde des données de l'utilisateur avant de continuer :

   $SourcePath = "C:\Users\[USERNAME]"\n$BackupPath = "C:\Temp\ProfileBackup_$(Get-Date -Format 'yyyyMMdd_HHmmss')"\nrobocopy $SourcePath $BackupPath /E /COPYALL /R:3 /W:10

2. Déconnectez l'utilisateur concerné et connectez-vous en tant qu'administrateur local
3. Ouvrez Propriétés système en appuyant sur Win + R, en tapant sysdm.cpl, et en appuyant sur Entrée
4. Cliquez sur l'onglet Avancé, puis cliquez sur Paramètres sous Profils utilisateur
5. Sélectionnez le profil corrompu et cliquez sur Supprimer
6. Alternativement, utilisez PowerShell pour supprimer le profil :

   $UserSID = (New-Object System.Security.Principal.NTAccount("[USERNAME]")).Translate([System.Security.Principal.SecurityIdentifier]).Value\nGet-WmiObject -Class Win32_UserProfile | Where-Object {$_.SID -eq $UserSID} | Remove-WmiObject

7. Supprimez l'entrée de registre du profil :

   Remove-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\$UserSID" -Recurse -Force

8. Demandez à l'utilisateur de se reconnecter pour créer un nouveau profil
9. Restaurez les données utilisateur à partir de la sauvegarde :

   $NewProfilePath = "C:\Users\[USERNAME]"\nrobocopy $BackupPath $NewProfilePath /E /XD "AppData\Local\Temp" "AppData\Local\Microsoft\Windows\Temporary Internet Files" /R:3 /W:10

Effectuer une analyse approfondie du système pour identifier les causes sous-jacentes des échecs du service de profil.

1. Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals
2. Définissez des filtres pour surveiller Winlogon.exe et les processus de profil associés:

   # Filtre pour les processus liés au profil\nProcess Name contains winlogon\nProcess Name contains userinit\nPath contains ProfileList

3. Reproduisez le problème de connexion pendant que ProcMon est en cours d'exécution
4. Analysez les données capturées pour les erreurs ACCESS DENIED ou PATH NOT FOUND
5. Exécutez le Vérificateur de fichiers système pour identifier les fichiers système corrompus:

   sfc /scannow

6. Vérifiez le journal SFC pour les détails:

   findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log > C:\Temp\SFC_Results.txt

7. Exécutez DISM pour réparer l'image Windows si SFC trouve des problèmes:

   DISM /Online /Cleanup-Image /RestoreHealth

8. Vérifiez l'historique de Windows Update pour les changements récents:

   Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10

9. Examinez les paramètres de stratégie de groupe affectant les profils utilisateur:

   gpresult /h C:\Temp\GPResult.html\nInvoke-Item C:\Temp\GPResult.html

10. Testez avec un nouveau compte utilisateur local pour isoler les problèmes liés au domaine:

    net user TestUser P@ssw0rd123 /add\nnet localgroup administrators TestUser /add