Active Directory User löschen inkl Profilordner
Hallo,
in usnerem AD auf einem älteren windows 2003 server liegen viele alte User die ich gerne löschen möchte, das klappt auch wunderbar.
Allerdings werden leider ein einem externen File-Server abgelegte Profilordern nicht mit gelöscht. Woran liegt das? ich führe alles Als Domänen Admin aus.
Das manuelle Löschen zeigt mir einen fehler, dass der Ordner in Bentzung sei.
in usnerem AD auf einem älteren windows 2003 server liegen viele alte User die ich gerne löschen möchte, das klappt auch wunderbar.
Allerdings werden leider ein einem externen File-Server abgelegte Profilordern nicht mit gelöscht. Woran liegt das? ich führe alles Als Domänen Admin aus.
Das manuelle Löschen zeigt mir einen fehler, dass der Ordner in Bentzung sei.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303135
Url: https://administrator.de/forum/active-directory-user-loeschen-inkl-profilordner-303135.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
23 Kommentare
Neuester Kommentar
Moin,
Zitat von @aif-get:
Allerdings werden leider ein einem externen File-Server abgelegte Profilordern nicht mit gelöscht. Woran liegt das?
Das ist so gewollt.Allerdings werden leider ein einem externen File-Server abgelegte Profilordern nicht mit gelöscht. Woran liegt das?
Das manuelle Löschen zeigt mir einen fehler, dass der Ordner in Bentzung sei.
Hast du denn die Rechte (NTFS), diese Ordner zu löschen?Zitat von @aif-get:
Wie gesagt: Ich bin über den DomainAdmin unterwegs auf beidne Servern. Mehr Rechte geht kaum, zumindest unter Windows ;)
Da täuscht du dichWie gesagt: Ich bin über den DomainAdmin unterwegs auf beidne Servern. Mehr Rechte geht kaum, zumindest unter Windows ;)
Nunja die Rechte zum löschen des Ordners habe ich, aber das auch nur mir Umwegen über das Kontextmenü zB. in denen ich mich als Besitzer des Ordners setze. Das ist abe rbei weit über 400 veralteten Konten sehr mühsam.
Jep so macht man es, wenn man den Administratoren per GPO nicht die entsprechenden Rechte gegeben hat.Es muss doch aber einen Weg geben, das beim Löschen des AD Kontos auch dessen Profile Ordner mitgelöscht wird?
Mir wäre keiner bekannt. Streng genommen gehören die beiden Dinge ja auch nicht zusammen
Hallo,
ich schlage vor, dass du dir mal diesen Artikel hier durchliest. Einfach mal um sich mit der Thematik der Berechtigungen bei User Profilen anzunehmen.
https://msdn.microsoft.com/de-de/library/cc736916(v=ws.10).aspx
Grüße
ich schlage vor, dass du dir mal diesen Artikel hier durchliest. Einfach mal um sich mit der Thematik der Berechtigungen bei User Profilen anzunehmen.
https://msdn.microsoft.com/de-de/library/cc736916(v=ws.10).aspx
Grüße
Hallo,
AD != Dateisystem
Profil != AD-Objekt
Wenn Du was im AD löschst, dann wird auch nur das entsprechende AD-Objeckt bzw dessen Unterobjeckte gelöscht.
Beim löschen eines Benutzers werden auch dessen Postfächer gelöscht, weil sie Bestandteile des AD-Benutzerobjektes sind.
Daten im Dateystem sind aber Daten im Dateisystem, man stlele sich vor alle Daten die dem Benutzer gehören würden gelöscht werden...
Wenn Du willst das die Profilverzeichnisse gelöscht werden, musst Du Dir ein Script bauen über das Du den Benutzer löschst und das Profilverzeichniss entfernst.
Aber die Verzeichnisse auf den X Clients hast Du auch noch rumgeistern...
Gruß
Chonta
Es muss doch aber einen Weg geben, das beim Löschen des AD Kontos auch dessen Profile Ordner mitgelöscht wird?
AD != Dateisystem
Profil != AD-Objekt
Wenn Du was im AD löschst, dann wird auch nur das entsprechende AD-Objeckt bzw dessen Unterobjeckte gelöscht.
Beim löschen eines Benutzers werden auch dessen Postfächer gelöscht, weil sie Bestandteile des AD-Benutzerobjektes sind.
Daten im Dateystem sind aber Daten im Dateisystem, man stlele sich vor alle Daten die dem Benutzer gehören würden gelöscht werden...
Wenn Du willst das die Profilverzeichnisse gelöscht werden, musst Du Dir ein Script bauen über das Du den Benutzer löschst und das Profilverzeichniss entfernst.
Aber die Verzeichnisse auf den X Clients hast Du auch noch rumgeistern...
Gruß
Chonta
Du gibst den Benutzernamen ab und das Script fragt dann das AD Konto ab ob es ein Servergespeichertesprofil hat und wie der Pfad ist.
Dann Besitzübernahme und löschen.
Wenn keine Fehler Konto löschen.
Am besten mit Powershell.
Vorher absichern das geregelt ist, das die Daten auch reine Firmendanten sind sonst Problem.
Gruß
Chonta
Dann Besitzübernahme und löschen.
Wenn keine Fehler Konto löschen.
Am besten mit Powershell.
Vorher absichern das geregelt ist, das die Daten auch reine Firmendanten sind sonst Problem.
Gruß
Chonta
Hallo, da sklappt eig ganz gut mit dme powershell scrippt aber ich habe leider da sproblem dass
Oha, den Satz solltest du dir noch mal genau ansehen, mehr Fehler geht nicht Robocopy im Backup-Mode als Admin, einen leeren Ordner auf das Verzeichnis "kopieren"
robocopy "C:\leer" "\\server\Profiles$\Userordner" /MIR /B
Ist das Profil auch nach Abmelden des Users noch durch Windows gesperrt muss der Server neu gestartet werden, damit bestimmte Dateien im Verzeichnis nicht mehr im Zugriff sind.
leider werdn immernoch probleme bei bei toools wie zB: icacls und bei remove-item angezeigt
Und was für welche ?
Dann wurde die Besitzübernahme nicht in einer elevated Admin-CMD durchgeführt.
Ansonsten checke mal die NTFS-Sicherheitsbeschreibungen der betroffenen Platte mit einem chkdsk <Laufwerk> /f
Ansonsten checke mal die NTFS-Sicherheitsbeschreibungen der betroffenen Platte mit einem chkdsk <Laufwerk> /f
Zitat von @aif-get:
Es ist wie gesagt ein Windows Server 2003 System und es wird über einen Domänen Admin ausgeführt per freigabe auf \\FILESERVER\Profiles$
Ist da evtl der Knackpunkt an dem man ansetzen könnte?
Ja, das kann natürlich das Problem sein, denn wenn der Admin auf die Freigabe zugreift und in den Freigabeberechtigungen (!! nicht den NTFS ACLs!!) nur Ändern Rechte gegeben sind kann der Admin keine Besitzübernahme durchführen, denn dafür ist Vollzugriff in den Freigabeberechtigungen nötig. Also mach das ganze besser direkt auf der Kiste wo die Files liegen mit Zugriff direkt via Laufwerksbuchstaben.Es ist wie gesagt ein Windows Server 2003 System und es wird über einen Domänen Admin ausgeführt per freigabe auf \\FILESERVER\Profiles$
Ist da evtl der Knackpunkt an dem man ansetzen könnte?
Mach es doch mal testweise über die GUI, dort kannst du auch den Besitzer aller Elemente rekursiv ändern. Und lösche die SID dort dann ebenfalls raus.
Wenn Windows hier noch auf bestimmten Ordnern oder Dateien die Finger drauf hat wirst du nicht drum herum kommen den Prozess ausfindig zu machen und den Zugriff zu killen. Ansonsten offline den Ordner löschen wenn garnichts mehr hilft.
Testweise kannst du es auch mal mit einer CMD mit "Systemrechten" versuchen (das geht mit dem Sysinternalstool psexec)
Ansonsten würde ich wirklich langsam vermuten das die Sicherheitsbeschreibungen des Ordners beschädigt sind, das Verhalten lässt es sehr stark vermuten. Dann musst du halt nach Feierabend mal ein chkdsk laufen lassen.
Wenn Windows hier noch auf bestimmten Ordnern oder Dateien die Finger drauf hat wirst du nicht drum herum kommen den Prozess ausfindig zu machen und den Zugriff zu killen. Ansonsten offline den Ordner löschen wenn garnichts mehr hilft.
Testweise kannst du es auch mal mit einer CMD mit "Systemrechten" versuchen (das geht mit dem Sysinternalstool psexec)
PSEXEC -i -s -d CMD
Ansonsten würde ich wirklich langsam vermuten das die Sicherheitsbeschreibungen des Ordners beschädigt sind, das Verhalten lässt es sehr stark vermuten. Dann musst du halt nach Feierabend mal ein chkdsk laufen lassen.
Schau in die Optionen von icacls da steht drin wie man die Vererbung "propagiert"
Wie gesagt, über die Freigabe ist das "böse"