Пользователи снова жалуются: система долго грузится после ввода пароля, экран зависает на «Применение параметров» или «Подготовка Windows». Проблема медленного логона — одна из самых частых в корпоративных средах, где работают доменные политики, скрипты входа и перенаправленные профили. Причин может быть несколько: изношенный профиль, длинная цепочка GPO, медленный контроллер домена или скрипт, зависающий в фоне. В статье собраны 10 конкретных команд для методичного поиска виновника — от групповых политик до сетевых задержек.

Почему вход тормозит: основные причины

После ввода пароля Windows последовательно проходит несколько этапов: аутентификацию через Kerberos, загрузку профиля, применение групповых политик компьютера и пользователя, выполнение скриптов входа и запуск сеанса. Задержка на любом из этапов ведёт к зависанию экрана приветствия.

• Слишком много или конфликтующих групповых политик
• Медленная репликация или недоступность контроллера домена
• Повреждённый или раздутый профиль пользователя
• Скрипты входа с длительным выполнением или ошибками
• Проблемы с перенаправлением папок по медленной сети

10 команд диагностики медленного логона

1. Отчёт по применённым групповым политикам

Команда gpresult собирает полный отчёт в HTML, включая статус каждой политики, время применения и источник GPO:

gpresult /h C:\Temp\GPO_Report.html

Откройте файл в браузере. Если время обработки политик превышает 30 секунд — проблема в GPO.

2. Время применения политик из журнала событий

Событие ID 5312 в журнале GroupPolicy/Operational фиксирует завершение обработки политик. По временной метке видно, сколько длилось применение:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-GroupPolicy/Operational';ID=5312} | Select-Object TimeCreated, Message

Большой разрыв между этим событием и входом пользователя — признак аномально долгого применения политик.

3. Процессы, запустившиеся при входе

Команда показывает 20 последних запущенных процессов, отсортированных по времени старта:

Get-Process | Sort-Object StartTime -Descending | Select-Object -First 20

Антивирусное сканирование, VPN-агенты, скрипты синхронизации — частые нарушители логона.

4. Состояние профилей пользователей

WMI-команда показывает все профили: путь, дату последнего использования и флаг специального профиля:

Get-WmiObject Win32_UserProfile | Select LocalPath, LastUseTime, Special

Профили с пустым LastUseTime или Special=True — кандидаты на удаление или восстановление.

5. Хронология входа через Winlogon

Журнал Winlogon/Operational содержит подробную хронологию от ввода пароля до рабочего стола:

Get-WinEvent -LogName 'Microsoft-Windows-Winlogon/Operational' | Select TimeCreated, Id, Message -First 20

Ищите события с большим временным промежутком между соседними записями.

6. Проверка выбранного контроллера домена

Команда nltest покажет, к какому DC подключился клиент:

nltest /dsgetdc:DOMAINNAME

Замените DOMAINNAME именем вашего домена. Если клиент ходит на DC из другого офиса — настройте привязку сайтов в AD Sites and Services.

7. Доступность LDAP-порта на DC

Проверяем порт LDAP (389), который используется для аутентификации:

Test-NetConnection DC_NAME -Port 389

TcpTestSucceeded : True — нормальное соединение. Задержка более 10 мс внутри LAN — повод проверить сеть.

8. Размер и возраст профилей пользователей

Раздутый профиль при включённом перенаправлении папок по медленному каналу существенно замедляет вход:

dir "C:\Users" | Sort-Object LastWriteTime

Профили без активности год и более безопасно удалять через Свойства системы → Дополнительно → Параметры профилей пользователей.

9. Время выполнения скриптов входа

Журнал Shell-Core/Operational фиксирует старт и завершение каждого logon-скрипта, назначенного через GPO:

Get-WinEvent -LogName 'Microsoft-Windows-Shell-Core/Operational' | ? {$_.Message -like "\*Logon Script\*"} | Select TimeCreated, Message

Скрипт дольше 10 секунд — проблема. Выносите задачи в Scheduled Tasks с триггером при входе пользователя.

10. Журнал службы профилей пользователей

User Profile Service отвечает за загрузку и выгрузку профилей. Ошибки здесь объясняют большинство случаев с временными профилями и отказами входа:

Get-WinEvent -LogName 'Microsoft-Windows-User Profile Service/Operational' | Select TimeCreated, Id, Message -First 20

ID 1509 и 1511 — проблемы загрузки профиля. ID 1534 — профиль выгружен с ошибками. Проверьте права на папку профиля и целостность NTUSER.DAT.

Сводная таблица: что ищем и где

#	Команда	Что выявляет
1	gpresult /h	Все GPO и время их применения
2	WinEvent GroupPolicy ID 5312	Завершение обработки политик
3	Get-Process по StartTime	Процессы при логоне
4	Win32_UserProfile	Повреждённые и устаревшие профили
5	Winlogon/Operational	Хронология этапов входа
6	nltest /dsgetdc	Выбранный контроллер домена
7	Test-NetConnection :389	Доступность LDAP
8	dir C:\Users	Размер и возраст профилей
9	Shell-Core Logon Script	Время выполнения скриптов входа
10	User Profile Service/Operational	Ошибки загрузки профиля

Практические рекомендации

После сбора данных действуйте последовательно:

1. Начните с GPO-отчёта — время применения политик свыше 30 секунд? Идите в GPMC и отключайте политики по одной для локализации виновника.
2. Проверьте сеть до DC — задержка более 10 мс или закрытый порт 389 требуют вмешательства сетевых администраторов.
3. Удалите неиспользуемые профили — профили без активности более полугода безопасно удалять. Это ускоряет инициализацию сеанса.
4. Оптимизируйте скрипты входа — всё, что можно выполнить асинхронно, выносите в Scheduled Tasks. Скрипт логона не должен занимать более 3-5 секунд.
5. Пересмотрите синхронное применение политик — параметр Всегда ждать сети задерживает рабочий стол до полного применения всех GPO. Включайте только для критичных политик.