aif-get
Goto Top

Active Directory User löschen inkl Profilordner

Hallo,

in usnerem AD auf einem älteren windows 2003 server liegen viele alte User die ich gerne löschen möchte, das klappt auch wunderbar.

Allerdings werden leider ein einem externen File-Server abgelegte Profilordern nicht mit gelöscht. Woran liegt das? ich führe alles Als Domänen Admin aus.

Das manuelle Löschen zeigt mir einen fehler, dass der Ordner in Bentzung sei.

Content-ID: 303135

Url: https://administrator.de/contentid/303135

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

127944
127944 28.04.2016 um 13:39:50 Uhr
Goto Top
Moin,

Zitat von @aif-get:
Allerdings werden leider ein einem externen File-Server abgelegte Profilordern nicht mit gelöscht. Woran liegt das?
Das ist so gewollt.

Das manuelle Löschen zeigt mir einen fehler, dass der Ordner in Bentzung sei.
Hast du denn die Rechte (NTFS), diese Ordner zu löschen?
aif-get
aif-get 28.04.2016 um 14:47:49 Uhr
Goto Top
Nunja die Rechte zum löschen des Ordners habe ich, aber das auch nur mir Umwegen über das Kontextmenü zB. in denen ich mich als Besitzer des Ordners setze. Das ist abe rbei weit über 400 veralteten Konten sehr mühsam.

Es muss doch aber einen Weg geben, das beim Löschen des AD Kontos auch dessen Profile Ordner mitgelöscht wird?

Wie gesagt: Ich bin über den DomainAdmin unterwegs auf beidne Servern. Mehr Rechte geht kaum, zumindest unter Windows ;)
127944
127944 28.04.2016 um 14:51:29 Uhr
Goto Top
Zitat von @aif-get:
Wie gesagt: Ich bin über den DomainAdmin unterwegs auf beidne Servern. Mehr Rechte geht kaum, zumindest unter Windows ;)
Da täuscht du dich

Nunja die Rechte zum löschen des Ordners habe ich, aber das auch nur mir Umwegen über das Kontextmenü zB. in denen ich mich als Besitzer des Ordners setze. Das ist abe rbei weit über 400 veralteten Konten sehr mühsam.
Jep so macht man es, wenn man den Administratoren per GPO nicht die entsprechenden Rechte gegeben hat.

Es muss doch aber einen Weg geben, das beim Löschen des AD Kontos auch dessen Profile Ordner mitgelöscht wird?
Mir wäre keiner bekannt. Streng genommen gehören die beiden Dinge ja auch nicht zusammen
skahle85
skahle85 28.04.2016 um 15:05:30 Uhr
Goto Top
Hallo,

ich schlage vor, dass du dir mal diesen Artikel hier durchliest. Einfach mal um sich mit der Thematik der Berechtigungen bei User Profilen anzunehmen.

https://msdn.microsoft.com/de-de/library/cc736916(v=ws.10).aspx

Grüße
Chonta
Chonta 28.04.2016 um 15:11:08 Uhr
Goto Top
Hallo,

Es muss doch aber einen Weg geben, das beim Löschen des AD Kontos auch dessen Profile Ordner mitgelöscht wird?

AD != Dateisystem
Profil != AD-Objekt

Wenn Du was im AD löschst, dann wird auch nur das entsprechende AD-Objeckt bzw dessen Unterobjeckte gelöscht.
Beim löschen eines Benutzers werden auch dessen Postfächer gelöscht, weil sie Bestandteile des AD-Benutzerobjektes sind.

Daten im Dateystem sind aber Daten im Dateisystem, man stlele sich vor alle Daten die dem Benutzer gehören würden gelöscht werden...

Wenn Du willst das die Profilverzeichnisse gelöscht werden, musst Du Dir ein Script bauen über das Du den Benutzer löschst und das Profilverzeichniss entfernst.
Aber die Verzeichnisse auf den X Clients hast Du auch noch rumgeistern...

Gruß

Chonta
aif-get
aif-get 28.04.2016 um 15:28:49 Uhr
Goto Top
Nungut, dass dier Progfile auf den Clients jeweils noch vorhandne sind ist zwar nervig aber eig auch nicht zuvermeiden.

Nur dachte ich dass zumindest die Profilordner in einem aufwasch gelöscht werden oder zumindest freigebene werden.
Wie würde der Ansatz für ein solches Script denn aussehen? Danke face-smile
Chonta
Chonta 28.04.2016 um 15:35:39 Uhr
Goto Top
Du gibst den Benutzernamen ab und das Script fragt dann das AD Konto ab ob es ein Servergespeichertesprofil hat und wie der Pfad ist.
Dann Besitzübernahme und löschen.
Wenn keine Fehler Konto löschen.
Am besten mit Powershell.

Vorher absichern das geregelt ist, das die Daten auch reine Firmendanten sind sonst Problem.

Gruß

Chonta
SeaStorm
SeaStorm 30.04.2016 um 18:36:02 Uhr
Goto Top
lokale profile kannst du löschen lassen. Gibt eine GPO dafür. Damit werden lokale profile die x Tage nicht mehr eingelogged waren gelöscht.

Für profilordner im Netzwerk nehme ich ein Script, das den Namen des Ordners gegen das AD prüft. gibts den Namen nicht mehr, dann wird der Ordner gelöscht
114757
114757 30.04.2016 aktualisiert um 19:11:42 Uhr
Goto Top
aif-get
aif-get 06.05.2016 um 16:53:01 Uhr
Goto Top
Hallo, da sklappt eig ganz gut mit dme powershell scrippt aber ich habe leider da sproblem dass die gelöschten AD user als Kryptische Leiche in den ACL's eingetragen sind und ich somit auch mit takeown kein erfolg erziele.

Bild von gelöschten AD user

$folder = \\server\Profiles$\Userordner
takeown /f $folder /r /d J 
icacls $folder /grant DOMÄNEADMIN:F /t

Er sagt mir das der Besitzer erfolgreich gändert wurde aber leider werdn immernoch probleme bei bei toools wie zB: icacls und bei remove-item angezeigt face-sad
129148
129148 06.05.2016 aktualisiert um 17:07:34 Uhr
Goto Top
Hallo, da sklappt eig ganz gut mit dme powershell scrippt aber ich habe leider da sproblem dass
Oha, den Satz solltest du dir noch mal genau ansehen, mehr Fehler geht nicht face-big-smile

Robocopy im Backup-Mode als Admin, einen leeren Ordner auf das Verzeichnis "kopieren"
robocopy "C:\leer" "\\server\Profiles$\Userordner" /MIR /B
"cleant" Ordner zuverlässig und schnell.

Ist das Profil auch nach Abmelden des Users noch durch Windows gesperrt muss der Server neu gestartet werden, damit bestimmte Dateien im Verzeichnis nicht mehr im Zugriff sind.

leider werdn immernoch probleme bei bei toools wie zB: icacls und bei remove-item angezeigt
Und was für welche ?
aif-get
aif-get 10.05.2016 um 13:25:48 Uhr
Goto Top
Hi sry, da war ich wohl doch zu schnell ma wieder am tippen :D

Leider hat das mit dem robycopy nicht so ganz geklappt bekomme immernoch ein ERROR 5 - Deleting Extra File - Zugriff verweigert, bei deinem oben aufgeführten Kommando face-sad

Habe jetzt sowohl den AD-Server als auch den Fileserver neugestartet, leide rnach wie vor dieser "Zombie User als Owener der Dateien eingetragen"


Ich dachte wirklich dass ich mit takeown das Problem lösen könnte und takeown sagt mir auch erfolgreich besitzer auf Admin geändert, aber leider ist dies wohl nur die halbe Wahrheit.. ich weis snun leider garnicht mehr weiter face-sad
figure_01
129148
129148 10.05.2016 aktualisiert um 13:57:30 Uhr
Goto Top
Dann wurde die Besitzübernahme nicht in einer elevated Admin-CMD durchgeführt.

Ansonsten checke mal die NTFS-Sicherheitsbeschreibungen der betroffenen Platte mit einem chkdsk <Laufwerk> /f
aif-get
aif-get 10.05.2016 um 16:12:04 Uhr
Goto Top
Es ist wie gesagt ein Windows Server 2003 System und es wird über einen Domänen Admin ausgeführt per freigabe auf \\FILESERVER\Profiles$

Ist da evtl der Knackpunkt an dem man ansetzen könnte? Wobei ja jetzt schon durch diese Zombieprofile das Kind bereits in den Brunnen gefallen ist oder?

PS: Ein chkdsk ist aktuell etwas schlecht durchzuführen, da alles auf C: liegt un ich den server nicht neustarten kann.
129148
129148 10.05.2016 aktualisiert um 16:36:25 Uhr
Goto Top
Zitat von @aif-get:

Es ist wie gesagt ein Windows Server 2003 System und es wird über einen Domänen Admin ausgeführt per freigabe auf \\FILESERVER\Profiles$
Ist da evtl der Knackpunkt an dem man ansetzen könnte?
Ja, das kann natürlich das Problem sein, denn wenn der Admin auf die Freigabe zugreift und in den Freigabeberechtigungen (!! nicht den NTFS ACLs!!) nur Ändern Rechte gegeben sind kann der Admin keine Besitzübernahme durchführen, denn dafür ist Vollzugriff in den Freigabeberechtigungen nötig. Also mach das ganze besser direkt auf der Kiste wo die Files liegen mit Zugriff direkt via Laufwerksbuchstaben.
aif-get
aif-get 10.05.2016 um 16:52:46 Uhr
Goto Top
Okay habe nun jeweils dem DomainAdmin Freigabe Rechte als auch direkt auf der Platte takeown ausgeführt, beides (sowohl per freigabe als auch per direkt auf der Maschine) sagen mir Erfolgreich den Beseitzer auf Admin geändert.. Nur leider wird dies nicht wie takeown verspricht geändert, sondern bliebt als Besitzer der Zombiename erhalten... ich weiss grade echt nicht weiter.. ist dies ein bug in takeown?
Chonta
Chonta 10.05.2016 um 17:04:26 Uhr
Goto Top
Hallo,

den Besitzer auch über die GUI geändert? (und auch auf alles drunter vererben)
Kannst du den Geisterbenutzer rauswerfen?
Gibts Fehlermeldungen?
Kannst Du das teil löschen?
Ist das Verzeichniss noch durch irgendwass im Zugriff?

Gruß

Chonta
129148
129148 10.05.2016 aktualisiert um 17:12:02 Uhr
Goto Top
Mach es doch mal testweise über die GUI, dort kannst du auch den Besitzer aller Elemente rekursiv ändern. Und lösche die SID dort dann ebenfalls raus.

Wenn Windows hier noch auf bestimmten Ordnern oder Dateien die Finger drauf hat wirst du nicht drum herum kommen den Prozess ausfindig zu machen und den Zugriff zu killen. Ansonsten offline den Ordner löschen wenn garnichts mehr hilft.

Testweise kannst du es auch mal mit einer CMD mit "Systemrechten" versuchen (das geht mit dem Sysinternalstool psexec)
PSEXEC -i -s -d CMD

Ansonsten würde ich wirklich langsam vermuten das die Sicherheitsbeschreibungen des Ordners beschädigt sind, das Verhalten lässt es sehr stark vermuten. Dann musst du halt nach Feierabend mal ein chkdsk laufen lassen.
aif-get
aif-get 11.05.2016 aktualisiert um 14:47:20 Uhr
Goto Top
Hallo, ich habe das Problem durch das Kontextmenu in der GUI lösen können.

habe zuerst ein takeown auf den Userordner gesetzt, dann habe ich unter Erweitert -> erweiterte Sicherheitseinstellungen im Reiter: Berechtigungen einen Haken in: "Berechtigungen für alle untergeordneten Objekte...." gesetzt. das wars schon.

Jetzt ist natürlich doie Frage, wie kann ich denn diese Einstellungen in Scriptform packen?

Evtl. mit icacls und setacl irgendwie das auf win 2003 server möglich?

PS: Hier bekomm ich aber zugriffsfehler trotzde Domänenadmin:
icacls.exe \\FILESERVER\Profiles$\Username\* /setowner DOMAIN\Administrator /T /C


Dankeschön für eure Hilfe schonmal! face-smile
129148
129148 11.05.2016 um 14:35:48 Uhr
Goto Top
Schau in die Optionen von icacls da steht drin wie man die Vererbung "propagiert"
aif-get
aif-get 11.05.2016 um 15:53:11 Uhr
Goto Top
Ich bekomme mal wieder eine Erfolgsmeldung das es geklappt hätte aber leider nciht das ergebnis auf dem Fileserver:

icacls.exe \\FILESERVER\Profiles$\Username\* /inheritacne:r
#icacls.exe \\FILESERVER\Profiles$\Username\* /setowner DOMAIN\Administrator /T /C
takeown /f \\FILESERVER\Profiles$\Username\* /r /d J  
129148
129148 11.05.2016 aktualisiert um 15:54:35 Uhr
Goto Top
Wie gesagt, über die Freigabe ist das "böse" face-wink
aif-get
aif-get 11.05.2016 um 17:13:41 Uhr
Goto Top
Böse, aber tatsächlich bezwingbar ;)

Habe es nun durch folgende Commands so umsetzen können, wie ich das möchte face-smile

takeown /f \\FILESERVER\Profiles$\Username\* /r /d J 
icacls.exe \\FILESERVER\Profiles$\Username\* /resize
icacls.exe \\FILESERVER\Profiles$\Username\* /inheritacne:e
#remove-item .... etc.

Danke an alle die mir hier auf den Weg geholfen haben face-smile