Jump to content

Servergespeicherte Profile mit Eigenleben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo an Alle,

 

Ich hoffe, dass mir hier jemand einen Tipp geben kann, oder sogar schon mal so was selber erlebt hat.

 

Folgendes:

Wir arbeiten hier mit Servergespeicherten Profilen.

Server 2008

Client Windows 7

 

Grundsätzlich läuft alles perfekt.

Profile werden geladen und auch wieder auf den Server gespeichert.

Berechtigungen sind OK.

User hat volle Rechte, Admin ist mit drin, eigentlich alles wie es sein soll.

Soweit so gut.

 

Nun gibt es aber ab und an (selten mal) dass ein Profil zwar einwandfrei funktioniert aber zusätzlich zum Speicherort des Profils unter dem Server unter C:\Users, wo eigentlich nur die AdminProfile des Servers gespeichert sind das Profil eines Users zusätzlich gespeichert wird. Obschon der User selber dort gar keinen Zugriff hat.

Vor zwei Tagen ist das nun wieder passiert.

Ich hab den User, als das zusätzliche Profil unter c:\Users angelegt wurde befragt, was zu diesem Zeitpunkt genau gemacht wurde.

Der User hat sich zu diesem Zeitpunkt weder am PC abgemeldet noch angemeldet. Er hat sich auch nicht an einem anderen Gerät zusätzlich angemeldet.

Also einfach nur am PC gearbeitet, was ich diesem User auch glaube.

 

Was ich absolut nicht verstehen kann, wieso wird ein Profil auf den Server geschrieben, wenn kein an- oder abmelden erfolgt? das ist doch gar nicht möglich.

Zudem wurde das Profil mit absolut identischer Uhrzeit einmal unter den Servergespeicherten Profilen gespeichert und zusätzlich einmal unter c:\Users auf dem Server mit den Profilen.

 

Ich versteh das nicht.

Wir haben keine speziellen Programme im Einsatz. Der PC mit diesem besagten User ist sauber. Keine Viren oder dergleichen.

 

Das Profil unter c:\users kann ich löschen und dann verhält sich auch alles wieder ganz normal.

In ein paar Wochen wird aber ein anderer User genau das selbe wieder "hinkriegen"

Es ist nie das selbe UserProfil.

 

Ich hab mir die Ereignisprotokolle angesehen - nichts.

 

Ich weiss nicht mehr wo ich noch ansetzen könnte.

 

Jede Idee oder Hinweis ist wirklich herzlich willkommen.

 

Vielen Dank im Voraus.

Grüsse

Trix

 

 

Link to comment

Hallo,

 

also am Server wird das Userprofil gespeichert, als wenn der User sich lokal am Server anmelden würde?

 

Wenn dieser sich definitiv nicht am besagten Server angemeldet hat (auch nicht per RDP?), dann könnte es noch um eine Anmeldung über einen Dienst/Task/Skript/Ausführen als-Befehl handeln. Dabei könnte das Profil lokal erstellt werden, und dabei zieht er sich dann halt das servergespeicherte Profil.

 

Such also auch mal auf dem Server nach dem Problem, und nicht nur am Client.

Edited by iDiddi
Link to comment

Guten Morgen,

 

ja genau. Als wenn er sich am Server selber anmelden würde.

Er kann sich wirklich nicht am Server anmelden. Auch nicht über RDP.

Er hat nur Domänen-Benutzer Rechte. Keine Adminrechte.

 

Danke für Deinen Hinweis.

Ich habe in der Tat gestern Abend die Dienste durchforscht. - Nichts.

Tasks gibt es keine. Skripts nur einen einzigen und dort hat nur ganz ein spezieller Account Zugang.

Also auch nichts.

Zudem ist es ja so, dass es immer ein anderer Benutzer ist. Nie der selbe. Und das auch nicht jeden Tag oder viele User.

Sondern immer mal ab und an.

 

Ich bin erst seit 4 Monaten hier und habe mir sagen lassen, dass es vorher immer wieder solche Profile unter c:\users gab und eben immer andere Benutzer.

Als ich damals hier anfing, hatte es zwei Einträge. Ich hab mir diese angesehen und bemerkt, dass die Berechtigungen nicht OK waren und auch die Servergespeicherten Profile nicht ganz korrekt waren.

So habe ich das dann alles bereinigt und siehe da, es war Ruhe. Drei Monate lang gab es keine neuen Einträge mehr unter dem c:\users Bereich. Bis dann am Montag Punkt 14:43:37 wieder ein Profil entstanden ist.

 

Mit Ausnahme eines manuellen Eingriffs, Task oder Script wird doch ein Profil NUR beim Abmelden resp. Herunterfahren des PC's auf den Server zurückgeschrieben, oder? Oder bin ich hier völlig falsch.

 

Auf dem Server hab ich im Ereignisprotokoll gesehen, dass zu dieser Zeit der User 3 Einträge hat mit "Ein Konto wurde erfolgreich angemeldet" aber nur einen Eintrag "Ein Konto wurde abgemeldet"

Somit bleiben immer noch 2 Einträge angemeldet. Was mir irgendwie auch nicht logisch erscheint.

 

Was vielleicht auch noch Hilfreich sein könnte ist: Der User war nach diesem Vorfall mit dem korrekten Profil verbunden und nicht mit dem Eintrag unter c:\users

 

Es kommt mir vor, als wenn das zweite Profil wie eine Schattenkopie zusätzlich gemacht worden wäre.

Wir arbeiten auf diesem Server zwar mit Schattenkopien, aber die laufen um 11:00 und 16:00.

Also absolut nicht in der besagten Zeit.

 

Idee?

 

Danke

Grüsse

Trix

Link to comment

Hallo an Alle,

 

inzwischen hab ich selber noch was festgestellt, denn es gab heute schon wieder einen Profileintrag am falschen Platz.

Im Ereignisprotokoll sind in beiden Fällen genau zu der besagten Zeit die gleichen Einträge.

 

--------------------------------------------------------

Informationen
01.10.2013 14:43:36 Microsoft-Windows-Security-Auditing
4714 Andere Richtlinienänderungsereignisse
"Die Gruppenrichtlinie ""Datenwiederherstellungs-Agent"" für das verschlüsselnde Dateisystem (Encrypting File System, EFS) wurde geändert.
Die neuen Änderungen wurden übernommen."

 

Fehler
01.10.2013 14:43:38 Microsoft-Windows-Eventlog
1108 Ereignispozessor
"Der Ereignisprotokollierungsdienst hat einen Fehler beim Verarbeiten eines eingehenden Ereignisses erkannt, das von ""Microsoft-Windows-Security-Auditing"" veröffentlicht wurde."

 

---------------------------------------------------------------

Informationen
03.10.2013 13:34:39 Microsoft-Windows-Security-Auditing
4714 Andere Richtlinienänderungsereignisse
"Die Gruppenrichtlinie ""Datenwiederherstellungs-Agent"" für das verschlüsselnde Dateisystem (Encrypting File System, EFS) wurde geändert.
Die neuen Änderungen wurden übernommen."

 

Fehler
03.10.2013 13:34:40 Microsoft-Windows-Eventlog
1108 Ereignispozessor
"Der Ereignisprotokollierungsdienst hat einen Fehler beim Verarbeiten eines eingehenden Ereignisses erkannt, das von ""Microsoft-Windows-Security-Auditing"" veröffentlicht wurde."

----------------------------------------------------------------

 

Irgendwie muss es damit zu tun haben.

Laut Google kann man diesen Fehler vernachlässigen.

 

Kann mir jemand mehr dazu sagen?

 

Danke

Grüsse

Trix

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...