4
Automatische Erstellung von lokalen Benutzerprofilen
Hallo zusammen,
in unserer Unternehmensdomäne arbeiten wir grundsätzlich nur mit lokalen Benutzerprofilen.
Dabei wird jedes mal ein lokales Benutzerprofil erstellt, wenn sich ein AD-User an einem Windowsclient anmeldet, erstellt. Das ist soweit klar.
Einigen Mitarbeitern im Unternehmen ist jetzt aber aufgefallen, dass Benutzerprofile von Personen (Auch von Admins) in ihrem Verzeichnis C:\Benutzer liegen, so dass der Verdacht entsteht, diese Personen (auch Admins) hätten sich zu irgendeinem Zeitpunkt an deren Rechnern angemeldet.
Meine Fragen sind zu dem Thema nun:
1) Wird solch ein Profil nur erstellt, wenn die Person sich direkt am Rechner anmeldet oder würde auch schon ein RDP-Zugriff reichen?
2) Wenn ein netzwerkweiter Job von einem Admin ausgeführt wird, der alle Clients betrifft, wird dann auch ein lokales Benutzerprofil des Admin-Accounts automatisiert angelegt? Oder muss man sich zwingend anmelden?
3) Manche der Unterordner der lokalen Benutzerprofile haben ein Änderungsdatum in der Vergangenheit (Jahr 2018). Das betrifft Ordner wie 'Downloads', 'Links' oder 'Pictures', also die windowseigenen Order. Der Rechner war zu der Zeit aber entweder nicht aufgesetzt oder wurde zwischenzeitlich gewiped und neu aufgesetzt (nach 2018). Ist das Änderungsdatum der Vergangenheit eine Eigenart von Microsoft?
Vielen Dank für eure Hilfe und schöne Grüße
in unserer Unternehmensdomäne arbeiten wir grundsätzlich nur mit lokalen Benutzerprofilen.
Dabei wird jedes mal ein lokales Benutzerprofil erstellt, wenn sich ein AD-User an einem Windowsclient anmeldet, erstellt. Das ist soweit klar.
Einigen Mitarbeitern im Unternehmen ist jetzt aber aufgefallen, dass Benutzerprofile von Personen (Auch von Admins) in ihrem Verzeichnis C:\Benutzer liegen, so dass der Verdacht entsteht, diese Personen (auch Admins) hätten sich zu irgendeinem Zeitpunkt an deren Rechnern angemeldet.
Meine Fragen sind zu dem Thema nun:
1) Wird solch ein Profil nur erstellt, wenn die Person sich direkt am Rechner anmeldet oder würde auch schon ein RDP-Zugriff reichen?
2) Wenn ein netzwerkweiter Job von einem Admin ausgeführt wird, der alle Clients betrifft, wird dann auch ein lokales Benutzerprofil des Admin-Accounts automatisiert angelegt? Oder muss man sich zwingend anmelden?
3) Manche der Unterordner der lokalen Benutzerprofile haben ein Änderungsdatum in der Vergangenheit (Jahr 2018). Das betrifft Ordner wie 'Downloads', 'Links' oder 'Pictures', also die windowseigenen Order. Der Rechner war zu der Zeit aber entweder nicht aufgesetzt oder wurde zwischenzeitlich gewiped und neu aufgesetzt (nach 2018). Ist das Änderungsdatum der Vergangenheit eine Eigenart von Microsoft?
Vielen Dank für eure Hilfe und schöne Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 631629
Url: https://administrator.de/contentid/631629
Ausgedruckt am: 25.11.2024 um 21:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
ein RDP Zugriff erstellt ein "lokales" Profil.
Wie wird der Job ausgeführt, als Task?
Meine Erfahrung mit Änderungsdaten o.ä. mit MS sind eher mau, darauf würde ich mich nicht verlassen.
Gruss
NB: Die Profile werden unterhalb von c:\benutzer\ angegelgt und nicht im Verzeichnis der Benutzer
Also so:
c:\benutzer\admin
c:\benutzer\meier
und nicht
c:\benutzer\meier
c:\benutzer\meier\admin
ein RDP Zugriff erstellt ein "lokales" Profil.
Wie wird der Job ausgeführt, als Task?
Meine Erfahrung mit Änderungsdaten o.ä. mit MS sind eher mau, darauf würde ich mich nicht verlassen.
Gruss
NB: Die Profile werden unterhalb von c:\benutzer\ angegelgt und nicht im Verzeichnis der Benutzer
Also so:
c:\benutzer\admin
c:\benutzer\meier
und nicht
c:\benutzer\meier
c:\benutzer\meier\admin
Zitat von @Sheldor:
Meine Fragen sind zu dem Thema nun:
1) Wird solch ein Profil nur erstellt, wenn die Person sich direkt am Rechner anmeldet oder würde auch schon ein RDP-Zugriff reichen?
Auch via RDP wird der Profilordner erstellt, weil dafür das Enviroment geladen werden muss. Für RDP-Profile kann man aber auch separate Profilverzeichnisse bestimmen wenn man es darauf anlegt.Meine Fragen sind zu dem Thema nun:
1) Wird solch ein Profil nur erstellt, wenn die Person sich direkt am Rechner anmeldet oder würde auch schon ein RDP-Zugriff reichen?
2) Wenn ein netzwerkweiter Job von einem Admin ausgeführt wird, der alle Clients betrifft, wird dann auch ein lokales Benutzerprofil des Admin-Accounts automatisiert angelegt? Oder muss man sich zwingend anmelden?
Der Profilordner wird immer dann erstellt wenn für den jeweiligen Account das Environment geladen wird. Das ist sowohl bei der interaktiven Anmeldung als auch beim Anmelden via Skript oder per Remote der Fall wenn das Skript mit den Admin-Credentials läuft. Bei Skripten hätte man aber Möglichkeiten das Laden des Environments zu unterbinden bei Powershell z.B. über den Parameter -NoProfile um so das Erstellen eines Profilordners zu verhindern.3) Manche der Unterordner der lokalen Benutzerprofile haben ein Änderungsdatum in der Vergangenheit (Jahr 2018). Das betrifft Ordner wie 'Downloads', 'Links' oder 'Pictures', also die windowseigenen Order. Der Rechner war zu der Zeit aber entweder nicht aufgesetzt oder wurde zwischenzeitlich gewiped und neu aufgesetzt (nach 2018). Ist das Änderungsdatum der Vergangenheit eine Eigenart von Microsoft?
Wenn ein Profil erstellt wird wird der Inhalt des versteckten Default Profil-Ordners in den des Users kopiert, die Ursprungsdaten bleiben dabei erhalten. Wenn also in einem Image eines Rechners das Datum in diesem "Default" Ordner so stand dann wird es auch auf den User so übertragen.ich hoffe mal für euch nicht, dass sich da "Domain-Admin" Principals an den Maschinen angemeldet haben, denn das wäre von den Admins grob fahrlässig, Stichwort Mimikatz & Golden-Ticket & Co.
Das weiß ich leider nicht. Aber danke für die Antwort
Zitat von @146707:
Zitat von @Sheldor:
2) Wenn ein netzwerkweiter Job von einem Admin ausgeführt wird, der alle Clients betrifft, wird dann auch ein lokales Benutzerprofil des Admin-Accounts automatisiert angelegt? Oder muss man sich zwingend anmelden?
Der Profilordner wird immer dann erstellt wenn für den jeweiligen Account das Environment geladen wird. Das ist sowohl bei der interaktiven Anmeldung als auch beim Anmelden via Skript oder per Remote der Fall wenn das Skript mit den Admin-Credentials läuft. Bei Skripten hätte man aber Möglichkeiten das Laden des Environments zu unterbinden bei Powershell z.B. über den Parameter -NoProfile um so das Erstellen eines Profilordners zu verhindern.2) Wenn ein netzwerkweiter Job von einem Admin ausgeführt wird, der alle Clients betrifft, wird dann auch ein lokales Benutzerprofil des Admin-Accounts automatisiert angelegt? Oder muss man sich zwingend anmelden?
Okay danke für die Infos
ich hoffe mal für euch nicht, dass sich da "Domain-Admin" Principals an den Maschinen angemeldet haben, denn das wäre von den Admins grob fahrlässig, Stichwort Mimikatz & Golden-Ticket & Co.
Die Antwort willst du nicht hören......
Die Antwort willst du nicht hören......
Dann stinkt die wohl schon gewaltig nach Fisch 🐟 .
