28.04.2016

21673

Active Directory User löschen inkl Profilordner

Hallo,

in usnerem AD auf einem älteren windows 2003 server liegen viele alte User die ich gerne löschen möchte, das klappt auch wunderbar.

Allerdings werden leider ein einem externen File-Server abgelegte Profilordern nicht mit gelöscht. Woran liegt das? ich führe alles Als Domänen Admin aus.

Das manuelle Löschen zeigt mir einen fehler, dass der Ordner in Bentzung sei.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 303135

Url: https://administrator.de/contentid/303135

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

23 Kommentare

Neuester Kommentar

Moin,

Zitat von @aif-get:
Allerdings werden leider ein einem externen File-Server abgelegte Profilordern nicht mit gelöscht. Woran liegt das?

Das ist so gewollt.

Das manuelle Löschen zeigt mir einen fehler, dass der Ordner in Bentzung sei.

Hast du denn die Rechte (NTFS), diese Ordner zu löschen?

Nunja die Rechte zum löschen des Ordners habe ich, aber das auch nur mir Umwegen über das Kontextmenü zB. in denen ich mich als Besitzer des Ordners setze. Das ist abe rbei weit über 400 veralteten Konten sehr mühsam.

Es muss doch aber einen Weg geben, das beim Löschen des AD Kontos auch dessen Profile Ordner mitgelöscht wird?

Wie gesagt: Ich bin über den DomainAdmin unterwegs auf beidne Servern. Mehr Rechte geht kaum, zumindest unter Windows ;)

Zitat von @aif-get:
Wie gesagt: Ich bin über den DomainAdmin unterwegs auf beidne Servern. Mehr Rechte geht kaum, zumindest unter Windows ;)

Da täuscht du dich

Jep so macht man es, wenn man den Administratoren per GPO nicht die entsprechenden Rechte gegeben hat.

Es muss doch aber einen Weg geben, das beim Löschen des AD Kontos auch dessen Profile Ordner mitgelöscht wird?

Mir wäre keiner bekannt. Streng genommen gehören die beiden Dinge ja auch nicht zusammen

Hallo,

ich schlage vor, dass du dir mal diesen Artikel hier durchliest. Einfach mal um sich mit der Thematik der Berechtigungen bei User Profilen anzunehmen.

https://msdn.microsoft.com/de-de/library/cc736916(v=ws.10).aspx

Grüße

Hallo,

Es muss doch aber einen Weg geben, das beim Löschen des AD Kontos auch dessen Profile Ordner mitgelöscht wird?

AD != Dateisystem
Profil != AD-Objekt

Wenn Du was im AD löschst, dann wird auch nur das entsprechende AD-Objeckt bzw dessen Unterobjeckte gelöscht.
Beim löschen eines Benutzers werden auch dessen Postfächer gelöscht, weil sie Bestandteile des AD-Benutzerobjektes sind.

Daten im Dateystem sind aber Daten im Dateisystem, man stlele sich vor alle Daten die dem Benutzer gehören würden gelöscht werden...

Wenn Du willst das die Profilverzeichnisse gelöscht werden, musst Du Dir ein Script bauen über das Du den Benutzer löschst und das Profilverzeichniss entfernst.
Aber die Verzeichnisse auf den X Clients hast Du auch noch rumgeistern...

Gruß

Chonta

Nungut, dass dier Progfile auf den Clients jeweils noch vorhandne sind ist zwar nervig aber eig auch nicht zuvermeiden.

Nur dachte ich dass zumindest die Profilordner in einem aufwasch gelöscht werden oder zumindest freigebene werden.
Wie würde der Ansatz für ein solches Script denn aussehen? Danke

Du gibst den Benutzernamen ab und das Script fragt dann das AD Konto ab ob es ein Servergespeichertesprofil hat und wie der Pfad ist.
Dann Besitzübernahme und löschen.
Wenn keine Fehler Konto löschen.
Am besten mit Powershell.

Vorher absichern das geregelt ist, das die Daten auch reine Firmendanten sind sonst Problem.

Gruß

Chonta

lokale profile kannst du löschen lassen. Gibt eine GPO dafür. Damit werden lokale profile die x Tage nicht mehr eingelogged waren gelöscht.

Für profilordner im Netzwerk nehme ich ein Script, das den Namen des Ordners gegen das AD prüft. gibts den Namen nicht mehr, dann wird der Ordner gelöscht

AD User gelöscht Basisordner bleibt bestehen

Gruß jodel32

Hallo, da sklappt eig ganz gut mit dme powershell scrippt aber ich habe leider da sproblem dass die gelöschten AD user als Kryptische Leiche in den ACL's eingetragen sind und ich somit auch mit takeown kein erfolg erziele.

Bild von gelöschten AD user

$folder = \\server\Profiles$\Userordner
takeown /f $folder /r /d J 
icacls $folder /grant DOMÄNEADMIN:F /t

Er sagt mir das der Besitzer erfolgreich gändert wurde aber leider werdn immernoch probleme bei bei toools wie zB: icacls und bei remove-item angezeigt

Hallo, da sklappt eig ganz gut mit dme powershell scrippt aber ich habe leider da sproblem dass

Oha, den Satz solltest du dir noch mal genau ansehen, mehr Fehler geht nicht

Robocopy im Backup-Mode als Admin, einen leeren Ordner auf das Verzeichnis "kopieren"

robocopy "C:\leer" "\\server\Profiles$\Userordner" /MIR /B

"cleant" Ordner zuverlässig und schnell.

Ist das Profil auch nach Abmelden des Users noch durch Windows gesperrt muss der Server neu gestartet werden, damit bestimmte Dateien im Verzeichnis nicht mehr im Zugriff sind.

leider werdn immernoch probleme bei bei toools wie zB: icacls und bei remove-item angezeigt

Und was für welche ?

Hi sry, da war ich wohl doch zu schnell ma wieder am tippen :D

Leider hat das mit dem robycopy nicht so ganz geklappt bekomme immernoch ein ERROR 5 - Deleting Extra File - Zugriff verweigert, bei deinem oben aufgeführten Kommando

Habe jetzt sowohl den AD-Server als auch den Fileserver neugestartet, leide rnach wie vor dieser "Zombie User als Owener der Dateien eingetragen"

Ich dachte wirklich dass ich mit takeown das Problem lösen könnte und takeown sagt mir auch erfolgreich besitzer auf Admin geändert, aber leider ist dies wohl nur die halbe Wahrheit.. ich weis snun leider garnicht mehr weiter

Dann wurde die Besitzübernahme nicht in einer elevated Admin-CMD durchgeführt.

Ansonsten checke mal die NTFS-Sicherheitsbeschreibungen der betroffenen Platte mit einem chkdsk <Laufwerk> /f

Es ist wie gesagt ein Windows Server 2003 System und es wird über einen Domänen Admin ausgeführt per freigabe auf \\FILESERVER\Profiles$

Ist da evtl der Knackpunkt an dem man ansetzen könnte? Wobei ja jetzt schon durch diese Zombieprofile das Kind bereits in den Brunnen gefallen ist oder?

PS: Ein chkdsk ist aktuell etwas schlecht durchzuführen, da alles auf C: liegt un ich den server nicht neustarten kann.

Zitat von @aif-get:

Es ist wie gesagt ein Windows Server 2003 System und es wird über einen Domänen Admin ausgeführt per freigabe auf \\FILESERVER\Profiles$
Ist da evtl der Knackpunkt an dem man ansetzen könnte?

Ja, das kann natürlich das Problem sein, denn wenn der Admin auf die Freigabe zugreift und in den Freigabeberechtigungen (!! nicht den NTFS ACLs!!) nur Ändern Rechte gegeben sind kann der Admin keine Besitzübernahme durchführen, denn dafür ist Vollzugriff in den Freigabeberechtigungen nötig. Also mach das ganze besser direkt auf der Kiste wo die Files liegen mit Zugriff direkt via Laufwerksbuchstaben.

Okay habe nun jeweils dem DomainAdmin Freigabe Rechte als auch direkt auf der Platte takeown ausgeführt, beides (sowohl per freigabe als auch per direkt auf der Maschine) sagen mir Erfolgreich den Beseitzer auf Admin geändert.. Nur leider wird dies nicht wie takeown verspricht geändert, sondern bliebt als Besitzer der Zombiename erhalten... ich weiss grade echt nicht weiter.. ist dies ein bug in takeown?

Hallo,

den Besitzer auch über die GUI geändert? (und auch auf alles drunter vererben)
Kannst du den Geisterbenutzer rauswerfen?
Gibts Fehlermeldungen?
Kannst Du das teil löschen?
Ist das Verzeichniss noch durch irgendwass im Zugriff?

Gruß

Chonta

Mach es doch mal testweise über die GUI, dort kannst du auch den Besitzer aller Elemente rekursiv ändern. Und lösche die SID dort dann ebenfalls raus.

Wenn Windows hier noch auf bestimmten Ordnern oder Dateien die Finger drauf hat wirst du nicht drum herum kommen den Prozess ausfindig zu machen und den Zugriff zu killen. Ansonsten offline den Ordner löschen wenn garnichts mehr hilft.

Testweise kannst du es auch mal mit einer CMD mit "Systemrechten" versuchen (das geht mit dem Sysinternalstool psexec)
PSEXEC -i -s -d CMD

Ansonsten würde ich wirklich langsam vermuten das die Sicherheitsbeschreibungen des Ordners beschädigt sind, das Verhalten lässt es sehr stark vermuten. Dann musst du halt nach Feierabend mal ein chkdsk laufen lassen.

Hallo, ich habe das Problem durch das Kontextmenu in der GUI lösen können.

habe zuerst ein takeown auf den Userordner gesetzt, dann habe ich unter Erweitert -> erweiterte Sicherheitseinstellungen im Reiter: Berechtigungen einen Haken in: "Berechtigungen für alle untergeordneten Objekte...." gesetzt. das wars schon.

Jetzt ist natürlich doie Frage, wie kann ich denn diese Einstellungen in Scriptform packen?

Evtl. mit icacls und setacl irgendwie das auf win 2003 server möglich?

PS: Hier bekomm ich aber zugriffsfehler trotzde Domänenadmin:

icacls.exe \\FILESERVER\Profiles$\Username\* /setowner DOMAIN\Administrator /T /C

Dankeschön für eure Hilfe schonmal!

Schau in die Optionen von icacls da steht drin wie man die Vererbung "propagiert"

Ich bekomme mal wieder eine Erfolgsmeldung das es geklappt hätte aber leider nciht das ergebnis auf dem Fileserver:

icacls.exe \\FILESERVER\Profiles$\Username\* /inheritacne:r
#icacls.exe \\FILESERVER\Profiles$\Username\* /setowner DOMAIN\Administrator /T /C
takeown /f \\FILESERVER\Profiles$\Username\* /r /d J  

Wie gesagt, über die Freigabe ist das "böse"

Böse, aber tatsächlich bezwingbar ;)

Habe es nun durch folgende Commands so umsetzen können, wie ich das möchte

takeown /f \\FILESERVER\Profiles$\Username\* /r /d J 
icacls.exe \\FILESERVER\Profiles$\Username\* /resize
icacls.exe \\FILESERVER\Profiles$\Username\* /inheritacne:e
#remove-item .... etc.

Danke an alle die mir hier auf den Weg geholfen haben

Frage Microsoft Windows Server

Mehr von aif-get

Neuer DSL Provider - Router mit openWRT möglich?aif-get - 11 Kommentare

Pi-Hole - source IP der clients aus anderem Subnetz weitergebenaif-get - 12 Kommentare

ISDN - Interne Telefonie - FritzPCI Card nach Gigaset möglich?aif-get - 10 Kommentare

Ist eine RAM-Disk im Jahr 2021 noch sinnvoll? Als Schonung der SSD?aif-get - 13 Kommentare

Heiß diskutiert