Jump to content

Windows 10 - temporäre Profilanmeldungen


Direkt zur Lösung Gelöst von nicedevil,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo allerseits,

 

wie der Threadtitel wohl schon vermuten lässt, habe ich in meiner Firma ein paar Probleme hinsichtlich der Windows 10 Clients.

Kurz zu mir: Ich kann ne Logon.bat einigermaßen gescheit bearbeiten und kenne mich eher mit Debian als Windows Server aus. Ungeachtet dessen, bin ich sehr lernfähig und hoffe hier auf tatkräftige Unterstützung ;D

 

Nun zum Unternehmen:

 

Wir haben Windows Server 2008R2 als Domaincontroller und AD am laufen. 

Bisweilen wurden über diese Server lediglich Windows 7 Profile benutzt. Da klappt auch alles wunderbar. Benutzer melden sich an und ab, es wird auch immer fein synchronisiert. 

 

Dann kamen die ersten Windows 10 Pro Clients.

 

Auf dem Server konnte ich ein neues Userprofileverzeichnis mit der Bezeichnung "USERNAME_PRO.V5" ausmachen.

Problem ist nur, dass er anscheinend beim Login keine Möglichkeit hat, diese Userprofiles zu laden und man jedes mal, egal von welchem Windows 10 Client ich es probiere, er sich mit nem Temporären Profil anmeldet. 

 

Ich habe einmal das Eventlog rausgekramt:

 

 

 

- System
    - Provider
      [ Name] Microsoft-Windows-User Profiles Service       [ Guid] {89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}
      EventID 1511       Version 0       Level 2       Task 0       Opcode 0       Keywords 0x8000000000000000     - TimeCreated
      [ SystemTime] 2016-05-27T13:16:25.962770300Z
      EventRecordID 5478       Correlation     - Execution
      [ ProcessID] 988       [ ThreadID] 1940
      Channel Application       Computer PC-azubi-2OG.domain.org     - Security
      [ UserID] S-1-5-21-922955421-438004011-928725530-2277
  EventData

 

Dann wäre da noch der zweite Fehler

 

 

 

- System
    - Provider
      [ Name] Microsoft-Windows-User Profiles Service       [ Guid] {89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}
      EventID 1526       Version 0       Level 2       Task 0       Opcode 0       Keywords 0x8000000000000000     - TimeCreated
      [ SystemTime] 2016-05-27T13:16:25.959927300Z
      EventRecordID 5477       Correlation     - Execution
      [ ProcessID] 988       [ ThreadID] 1940
      Channel Application       Computer PC-azubi-2OG.domain.org     - Security
      [ UserID] S-1-5-21-922955421-438004011-928725530-2277
  EventData

 

Gibt es hierzu Lösungen? Die Suche bei google nach diesen Eventlog einträgen hat mich bislang leider nicht zur Erleuchtung geführt.
Nur soviel vorab. Gruppenrichtlinien wurden bisweilen bei uns gar keine verwendet (je mehr ich darüber lese umso geiler finde ich das... kp warum mein Vorgänger da nie mit angefangen hat).

Vielen Dank im Voraus.

Nicedevil

Link zu diesem Kommentar

Finger weg von Servergespeicherten Profilen, lieber Ordnerumleitung für die User einrichten. Dann sparst Du dir das ewige hin- und herkopieren und die Daten sind sofort auf dem Server gespeichert. Am besten mit einem Testuser ein bisschen testen, dann kriegst Du ein Gefühl dafür und kannst gleich mit GPOs arbeiten.

 

EDIT: Hier gibts ein paar Artikel zum Thema Ordnerumleitung:

http://www.gruppenrichtlinien.de/artikel/ordnerumleitung-1-argumente/

http://www.gruppenrichtlinien.de/artikel/ordnerumleitung-2-berechtigungen-auf-home-folder/

http://www.gruppenrichtlinien.de/artikel/ordnerumleitung-3-profile-v2-vista-aufwaerts/

bearbeitet von Sunny61
Link zu diesem Kommentar

in diesem Falle müsste ich ja haufenweise ändern.

 

nur für mein Verständnis, wenn wir das so machen würde wie du beschreibst.

Jeder User meldet sich lokal an und die Dömäne lösche aus den Computereigenschaften raus?

 

Wie kriegt der Client dann mit, das er ne Gruppenrichtlinie ausführen soll, die auf dem Server hinterlegt ist?

 

 

OK! die Frage habe ich mir gerade selber durch testen beantwortet :D

 

bei der Benutzererstellung auf dem Domaincontroller habe ich einfach kein Pfad für das servergespeicherte Profil angegeben. Anmeldung an der Domäne geht dann natürlich immernoch. 

Ich fuchse mich mal durch. Wird schon irgendwie klappen müssen ;)


Ok ich scheitere nun schon an der ABE :/

 

Habe nen freigegebenen Ordner.

 

\\server03\home\userA

 

Diesen Ordner habe ich freigegeben als \\server03\userA

Dann habe ich die NTFS Berechtigung für alle User entfernt, außer userA. Der hat Vollzugriff. 

 

Leider kann nun dennoch jeder Benutzer darauf Einsicht nehmen. 

bearbeitet von nicedevil
Link zu diesem Kommentar

mhhh die können auch dateien zugreifen, leider :(

 

es gibt paar benutzer bzw. gruppen die von oben herab vererbt sind... die Vererbung kann ich aus Testzwecken jetzt aber net aufheben, da ich nicht weiß, worauf sich nun alles bezieht und wofür die Vererbung ursprünglich war :(

benutzer die lediglich server03\userX oder server03\gruppeY sind, sind im Grunde ja auch wurst für den Rest der Domainuser oder? genauso wie separate Administratorengruppen die zwar in der Domain sind, aber zu denen keinerlei "normaler" User gehört.

 

Den versteckten AppData Ordner kann man wohl nicht umleiten. Hab zumindest die Gruppenrechte gesetzt, aber leider ist der nach wie vor im Laufwerk C unter meinem Testbenutzer Ordner vorhanden. Der Rest, wie Desktop, Startmenu u.s.w. ist jetzt alles brav aufm Server. 

Link zu diesem Kommentar

Ok ich drücke mich mal anders aus. Also der AppData Ordner existiert nach wie vor lokal und wenn ich in die Adressleiste im Explorer klicke, sehe ich dort dann auch kein \\server03\home\userA\AppData Link sondern nur den ganz normalen von Laufwerk C.

Gehe ich allerdings in den soeben genannten UNC Pfad auf den Server, wurde dort ebenfalls ein AppData Ordner angelegt. In diesem liegt dann natürlich "nur" der Roaming Ordner. 

 

Hab testhalber vorhin Word einmal gestartet. Der Standardspeicherpfad ist nach der Installation von Word ja lediglich im Dokumenten Teil. Hier wird direkt dann auf den Server gespeichert. Sehr gut!

 

Kann ich den Roaming Pfad auf der lokalen Maschine einfach löschen?

Link zu diesem Kommentar

Wenn Du mit dem Adobe Reader, und möglicherweise auch anderen Programmen, keine Probleme bekommen willst, dann leite einfach nur DESKTOP, Eigene Dateien und Bilder und darauf folgende um. Mit einem umgeleiteten APPDATA haben viele Programme ein Problem. MS supportet z.B. eine PST bzw. OST nicht auf Netzlaufwerken, wenn Du APPDATA umleitest hast Du genau so etwas erreicht.

 

Du mußt dich bei solchen Aktionen auch fragen, wie oft wechseln die Benutzer den Arbeitsplatz? Wie oft müssen sie dann Outlook neu durchentern? Wenn das nur ein oder zweimal im Jahr ist, leite nur die von mir gen. Ordner um, den Rest lass einfach liegen.

 

Wenn Du auf der Home$-Freigabe mit Gruppenberechtigungen arbeitest, ist IMHO etwas grundsätzliches falsch gelaufen. Dieses Konstrukt hab ich noch nicht verstanden.

Link zu diesem Kommentar

alles klar, werd das am montag mal ansprechen und genauer beleuchten in unserer EDV abteilung ;)

bis jetzt gefällts mir sehr was ich da so sehe!

 

Windows 10 geht, meldet sich sau schnell an... was will man mehr!

 

Diese OST Datei wo du gerade ansprichst... die ist bei unseren Mitarbeitern teilweise riesig (15 GB+). Die ist doch im Grunde nur dafür da, dass der User bei einer Fehlanmeldung auch die vorhandenen Mails lesen kann. Hab schon Cachemodus bei mir mal ausgemacht, aber die blöde Datei wird jedes mal neu generiert :/

Link zu diesem Kommentar

Diese OST Datei wo du gerade ansprichst... die ist bei unseren Mitarbeitern teilweise riesig (15 GB+). Die ist doch im Grunde nur dafür da, dass der User bei einer Fehlanmeldung auch die vorhandenen Mails lesen kann. Hab schon Cachemodus bei mir mal ausgemacht, aber die blöde Datei wird jedes mal neu generiert :/

Wird sie auch jedesmal so groß wie mit eingeschaltetem Cache-Mode? Aber wozu den Modus abschalten? Bringt IMHO nichts, das abschalten.

Link zu diesem Kommentar

Wird die OST und die Ordnerstruktur AppData denn überhaupt repliziert auf den Server?

 

Falls ja, (meine ich) dann wurde etwas verdreht, denn per Voreinstellung in NTUser.ini ist dieser Ordner ausgeschlossen. Änderbar ist das in der .ini oder per GPO.

 

Und falls jemand anders als der Benutzer Zugriff auf seinen Profilordner auf dem Server hat, dann ist auch da etwas verdreht. Normalerweise hat nur der User Zugriff, niemand anders, auch der Administrator nicht. Denkbar, da hat jemand Zugriff verschaft, ich meine, das geht nur mit der Übernehme des Besitzes, oder es ist Vererbung vom nächsthöheren Ordner.

 

Wie ist denn eigentlich das Verhalten mit einem neuen Benutzer, jungfräulich, jungmännlich, keine Altlast? Nach dessen Anmeldung am Client, dem Bilden des lokalen Profils,  müsst im Pfad auf dem Server ein neuer Profilordner tstehen, Rechte, Zugriff nur der Benutzer, nicht der Administrator. Der Benutzer müsste mit dem Explorer sehen, der Ordner ist leer. Nach dem Abmelden des Users müsste der wesentliche, der nicht verborgene Teil des Profils im Profilorner auf dem server sein. nach der nachsten Anmeldung müsste der Benutzer das einsehen können.

 

Und der User müsste sehen können, ob nur er Rechte auf den Ordner hat oder noch jemand anders, eine BenutzerGruppe oder Jeder, oder Irgendetwas. Auch müsst er sehen können, wer der Besitzer ist.

 

Der Administrator, die Admins, lassen die Finger davon, sonst klopfe ich darauf. Finger weg, sonst Hand ab!

 

Wurde etwas mit dem Default User gamacht? Wurde daran manipuliert? Oder wurde versucht, den Inhalt der W7-Profile auf den W10Client zu kopieren? Irgend welch irregulären Dinge?

 

 

Profilanmeldungen

 

Noch ein Wort dazu, die Anmeldung geschieht mittels Daten des Benutzerkontos. Vereinfacht: Erst die Anmeldung, dann das Laden des Profils, etwas vereinfacht. Es gibt Leute, denen ist das Zeugs nicht wirklich geläufig, benutzen die Begriffe synonym.

bearbeitet von lefg
Link zu diesem Kommentar

das Verhalten was ich oben beschrieben habe, ist alles mit nem jungfreulichen Testuser gemacht worden. 

 

Wie ich schon sagte, gehe ich davon aus, dass das ggf. an vererbten Rechten liegt. Aber die kann ich aktuell nicht einfach ändern, da ich nicht weiß, ob es driftige Gründe dafür gegeben hat bzw. gibt. 

Admin sollte bei uns Zugang haben können, da beim Ausscheiden des Mitarbeiters eigentlich die Ordner auch gelöscht werden können sollten.

 

Egal ob ein oder ausgeschalten der Cachemode. Die OST wird immer wieder gleichgroß wenn ich sie mal verschoben habe und Outlook ne neue erstellt. Wofür braucht man die denn noch, dass ich nicht dafür sorgen sollte, dass die weg ist?

Link zu diesem Kommentar

Ist wirklich die grosse OST Ursache des Problems? Ich hatte sowas mal mit Outlook.pst und Arciv.pst. Ein Kollege hatte die verschoben ausserhalb des Exclude und dann wurden die immer mit Übertragen, sofern sie in der letzten Sitzung angefasst. Erst dauerte es gefühlt ewig, dann gab es intern einen Timeout und Abbruch des Ladens.

 

Leider kann ich dir für dich nichts Hilfreiches raten.

 

Wieso kann eigentlich in einem neuen Profil eine OST verhanden sein, wurde Outlook denn benutzt?



Egal ob ein oder ausgeschalten der Cachemode. Die OST wird immer wieder gleichgroß wenn ich sie mal verschoben habe und Outlook ne neue erstellt. Wofür braucht man die denn noch, dass ich nicht dafür sorgen sollte, dass die weg ist?

 

Ob das vom Mailserver erzwungen wird?


Noch einem Frage: geschieht das mit dem tmp.profile schon mit der ersten Anmeldung? Oder der nächsten darauf? Das ist mir bisher unklar.


 

Wie ich schon sagte, gehe ich davon aus, dass das ggf. an vererbten Rechten liegt. Aber die kann ich aktuell nicht einfach ändern, da ich nicht weiß, ob es driftige Gründe dafür gegeben hat bzw. gibt.

 

Ob Du es nachsehen kannst?

bearbeitet von lefg
Link zu diesem Kommentar

Hallo,

nur als Anmerkung ohne den Strang der Beiträge der Alteingesessenen unterbrechen zu wollen:

Wegen der Ereignisse suche am besten nach den EventIDs, in deinem Fall 1511 und 1526.

Die eine ID ist die 1526, ist eine haengende registry beim Abmelden, das kommt durchaus ab und an mal vor, stoert aber meist nicht. Ein Zugriff auf die Registry ist nicht beendet wenn der Computer herunterfährt.

Die andere Meldung, 1511, kann durch "schlechte Rechte" kommen, kann z.B. auch durch alte "ProfileList" Einträge in der Registry kommen. Danach kannst du mal guggen.

 

Du hast dem User gleich sein Profiverzeichnis erstellt. Das ist evtl. nicht so gut, der "normale" Weg sollte sein, du stellst allen Usern einen Rootshare mit einem vorgegebenen Rechtesatz zur Verfügung und das System erstellt bei der ersten Anmeldung das Userverzeichnis als eigenes Unterverzeichnis des userrootshares mit den korrekten Rechten. Das gilt sowohl fürs Hone-Verzeichnis als auch fürs Profilverzeichnis. Dazu gibt es einen Berg von best practice guides, Empfehlungen usw.

Ich würde erst einmal für saubere Profile sorgen und danach mit der Ordnerumleitung anfangen. Direkt an appdata zu schrauben erzeugt neue Probleme und man verliert recht schnell den Ueberblick was gerade welche Fehler verursacht.

 

http://social.technet.microsoft.com/wiki/contents/articles/3571.windows-user-profiles-service-event-1511-windows-cannot-find-the-local-profile-and-is-logging-you-on-with-a-temporary-profile.aspx

 

Wenn das englisch stören sollte: dazu gibts auch Berge von deutschen beiträgen, der Fehler ist eher häufig.

 

Sind die Win10 Clients neue Rechner oder die alten Win 7 Kisten?

bearbeitet von Jim di Griz
Link zu diesem Kommentar

Uiuiui, vielen Dank für die vielen Rückmeldungen erst einmal!

 

Also... ich bin vor 7 Jahren in das Unternehmen da gekommen. Die wussten dann nicht, dass ich mich privat auch sehr für EDV Stuff interessiere und mir vieles dahingehend auch aneigne... Nach 1 Jahr wusste die Geschäftsleitung, dass ich der Nachfolger des Serveradmins bzw. EDV Leiters werden sollte... Naja viel zu bedeuten hat das ja nix zunächst. Wie dem auch sei, mehr und mehr wurde ich quasi an den Server in den letzten Jahren gelassen, so dass ich da mehr Einblick bekam, wie das alles bei uns eingerichtet ist.

 

Jetzt kommt von euch die Frage, warum ist das so eingerichtet, hab ichs geprüft, saubere Profile erstellen :D

 

Genau daran scheiterts wohl schon. Ist zwar bissl Offtopic aber da krieg ich als kleiner Perfektionist die Krise!

Wir haben so 5 Server per VM Ware am laufen. wäre ja net schlimm... warum zum Teufel hat man einen Server IP 33 dem nächsten 180, dem nächsten 215 usw. gegeben?

Die gesamten Clients die mit festen IPs natürlich zu bestücken sind, sind wild durch den gesamten IP Bereich verteilt...

Wir haben ALLE Laufwerke von A-Z vergeben. Dem Admin damals war es nicht bewusst, dass man Ordner in ner Freigabe erzeugen kann, auf die bestimmten Usergruppen bzw. Mitarbeiter keinen Zugriff haben dürfen. Jedes mal wenn wer nen Cardreader anschließt muss man Laufwerke umbenennen oder deren Verknüpfung deaktivieren.... Soviel zum "Sauberen System" bei uns.

 

Bei uns gibt es u.A. nicht nur den Benutzer "Administrator" sondern auch die Gruppe "Administratoren" und 2 weitere Gruppen für Administratoren die dann Namenskürzel dran haben. Den Sinn weiß der Admin heute auch nicht mehr, warum er das eingerichtet hat. Hat aber Angst es zu bereinigen, "er könnt ja was verpassen oder irgendwo fehlende Berechtigungen danach haben...."

 

back to Topic

 

@Jim: Die Maschinen die Windows 10 drauf haben sind Maschinen, die direkt neu waren und ich mit Win 10 versehen habe! Handelt sich um Intel NUC's in den meisten Fällen! Um wieder auf Perfektionist einzugehen. Selbst wenn die Maschine Windows 7 vorher gehabt hätte und ich sie per Upgrade auf 10 gebracht hätte, hätte ich danach noch einen Cleaninstall durchgeführt (nachdem CDKey für Win 10 registriert wurde).

 

auf \\server03\usrprofile liegen die Profile

auf \\server03\usrdata liegen die Dateien, auf die nur jeder User Zugriff haben sollte (ja richtig sollte, auch da gibts Rechteprobleme...) 

 

Der usrdata ist quasi der, den man bei der Profilerstellung angibt. Das wird bei uns Laufwerk U:\ für jeden Benutzer. 

Bei der Erstellung des Profils kommt meines Wissens nach doch ein Fehler, wenn der Benutzerordner nicht vorhanden ist, bei der Erstellung? Also quasi der hier: \\server03\usrprofile\userA

 

Die ID 1526 kommt bei uns IMMER vor. Sind die NUCs zu schnell in Verbindung mit Win 10 für die Abmeldung oder was :D

Die ID 1511... genau das mit den Rechten hat der externe Serverwartungstyp (der wo unser Netzwerk auch eingerichtet hat) auch gemeint und hat extra noch jemanden hinzugezogen um das Problem zu lösen. 

Ende vom Lied war. Der von denen erstellte Testuser hat 100% Vollzugriff auf ALLES bekommen, quasi Administratorrechte in jeglicher Hinsicht, und es funktionierte immernoch nicht. 

 

Wenn ihr mich fragt... Ja ich würde liebend gern den Server neu aufsetzen und alles sauber selbst erstellen... Wenn ich das meinem Chef mitteile, wird der mir die Ohren lang ziehen und ich werde diese Möglichkeit nie bekommen :D

Link zu diesem Kommentar

 

Wenn ihr mich fragt... Ja ich würde liebend gern den Server neu aufsetzen und alles sauber selbst erstellen...

 

Ich denke, das ist ein Zeichen für "....ich bin mit meinem Latein wirklich am Ende.". So etwas kommt schon mal vor. Ob man mit externer qualifizierter Hilfe, der eines Systemhauses besser fährt? Je nachdem wie drängend, bedeutend das Problem ist. Ich hatte mal die Freude, einen kompletten Neubau nach weitgehend eigenem Entwurf machen zu dürfen nach einem Crash.

 

Da Du aber lauffähige Systeme (VMs) hast, besteht wohl kein Grund für einen Neubau.

 

Der Rat Jim`s mit ProfilList in der Registry erscheint schon vielversprehend für einen Versuch.

 

Danach legte ich wohl mein Hauptaugenmerk auf den Rootordner für Profil&Home.

 

Profil&Home, so heißt der Ordner bei mir, so ist er auch freigeben. Berechtigung auf den Ordner hat die Sicherheitsgruppe Profile&Home, Member der Sicherheitsgruppe sind alle User, die ein Profil und einen Homeordner haben sollen, also Zugriff auf den Rootordner benötigen. Die Berechtigungen des Ordners werden aber nicht auf untergeordnete Objekte, die Profil- und Homeordner, vererbt, das ist "abgestellt".

 

Generelle Berechigung des Administrators für den Zugriff auf die Ordner der User? Nein! Ich kenn natürlich das Dilemma. Ich denke das aber nicht technisch, ich denke das moralisch und rechtlich.

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...