gelöst Roaming Profiles - gelösche Dateien vom Desktop kommen immer wieder (Windows 10 (2004) - 2016er Domäne)

Mitglied: macomar

macomar (Level 1) - Jetzt verbinden

05.08.2020, aktualisiert 12:07 Uhr, 442 Aufrufe, 12 Kommentare

Hallo an alle,

ich bin ratlos... Seit einiger Zeit haben wir von Usern die Rückmeldung, dass gelöschte Dateien vom Desktop am nächsten Arbeitstag einfach wieder da sind. Dieses Phänomen habe ich auch seit dieser Woche selbst.

Die Umgebung sind Windows 10 1903 / 2004 Clients in einer 2016er Domäne.

Versucht wurde schon:
lokales Profil löschen/neu erstellen
Servergespeichertes Profil löschen/neu erstellen

Folgende GPO ist für Roaming Profiles gesetzt:
Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Registrierung -> ExcludeProfileDirs
Wertdaten: AppData\Local;AppData\LocalLow;$Recycle.Bin;OneDrive;Work Folders;AppData\Roaming\Telekom Deutschland GmbH;

Ich konnte noch feststellen, dass das Profil beim Abmelden synchronisiert wird, sich der Zeitstempel auf dem Server ändert, aber die gelöschten Dateien beim Sync außer Acht gelassen werden. Diese werden beim Abmelde-Sync auf dem Server quasi nicht entfernt.

Kann mir hier jemand helfen ?
Im Anhang noch Screenshot zum besseren Einblick

Danke und VG
Macomar
berechtigungen gruppe g-rprofiles - Klicke auf das Bild, um es zu vergrößern
excludeprofiledirs - Klicke auf das Bild, um es zu vergrößern
profilpfad im ad - Klicke auf das Bild, um es zu vergrößern
Mitglied: Hubert.N
05.08.2020 um 12:45 Uhr
Moin

1. gibt es für die Konfiguration in den GPOs eine eigene Einstellung - also eigentlich kein bedarf, das über einzelne Registrywerte zu basteln:
Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - System - Benutzerprofile -> Verzeichnisse aus servergespeichertem Profil ausschließen. Kontrolle über HKCU\Software\Policies\Microsoft\Windows\System -> ExcludeProfileDir

Aber das nützt Dir ja erst einmal nichts, denn Du willst den Desktopinhalt ja zentral bereitstellen.

2. Um das Prolem aus der Welt zu schaffen, würde ich den weg gehen, die Ordner wie Desktop, Dokumente für die Benutzer einfach umzuleiten. Dann hast Du das Problem aus der Welt geschafft sparst Du Dir auch ggf. längere Anmeldezeiten am System, weil die Daten nicht mehr komplett beim An- und Abmelden hin und her kopiert werden

Gruß
Bitte warten ..
Mitglied: Luci0815
05.08.2020 um 13:47 Uhr
Vielleicht wird ja beim Anmelden auf den Desktop kopiert. Per Script (Netlogon) oder GPP/GPO. Oder deine Benutzer melden sich an mehreren Rechnern gleichzeitig an. Da gewinnt das zuletzt verwendete Profil
Bitte warten ..
Mitglied: dertowa
05.08.2020 um 14:12 Uhr
Zitat von Hubert.N:
2. Um das Prolem aus der Welt zu schaffen, würde ich den weg gehen, die Ordner wie Desktop, Dokumente für die Benutzer einfach umzuleiten.

Den Desktop würde ich persönlich nicht umleiten.
Ganz einfach, bricht mal irgendwie das Netzwerk weg, wenn auch nur ganz kurz sind alle Symbole weg der Hintergrund weg und es geht direkt die Welt unter. Genauso beim Roaming, da gibt es heute immer noch Anwendungen die nicht mit UNC Pfaden klarkommen. ;)

Wenn nur Dokumente und Co. umgeleitet werden ist der Zugriff darauf dann kurz nicht möglich, das regeneriert sich aber von allein.
Bitte warten ..
Mitglied: dertowa
05.08.2020 um 14:16 Uhr
Bedeutet aber wenn neue Dateien angelegt werden, dann werden diese auf den Server zurückgeschrieben beim Abmelden?

Irgendwie klingt dies nach verqueren Rechten, oder falschen Besitzereigenschaften.
Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.

Damit setzen sich nämlich die Berechtigungen der Unterordner beim Anlegen von selbst und somit erhält jeder Benutzer auf
seinem Ordner Vollzugriff.
Bitte warten ..
Mitglied: Hubert.N
05.08.2020 um 14:58 Uhr
Zitat von dertowa:
Den Desktop würde ich persönlich nicht umleiten.
Ganz einfach, bricht mal irgendwie das Netzwerk weg, wenn auch nur ganz kurz sind alle Symbole weg der Hintergrund weg und es geht direkt die Welt unter.

Wenn das Netzwerk wegbricht, hat man eh ein Problem. Und wenn man nichts daran bastelt, werden die Daten auf dem Client über die Synchronisierung zwischengespeichert. Also eigentlich kein Problem

Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.

Ups??? - Ist ja schön, wenn "Jeder" bei jedem die Daten lesen kann. Datenschutz 2.0 ?? ;)
Dafür gibt es explizit Vorgaben, wie dir Rechte zu setzen sind: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Gruß
Bitte warten ..
Mitglied: SeaStorm
05.08.2020, aktualisiert um 19:07 Uhr
Zitat von dertowa:
Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.
Wow... nein auf keinen Fall!
User Bekommen bei den Freigaberechten nur Modify und bei NTFS Rechten ebenso nur Modify
Admins bekommen beides mal Vollzugriff

Der Grund ist, das wenn man beim Share dem User Vollzugriff gibt, kann der sich bei den Ordnern&Dateien auf die er Ownerrechte hat einfach selbst vollzugriff geben und dann auch Admins aus den Berechtigungen schmeissen
Bitte warten ..
Mitglied: macomar
06.08.2020 um 08:33 Uhr
Hallo dertowa,

richtig, neu abgelegte Dateien auf dem User-Desktop werden bei Abmeldung mit dem R-Profile auf dem Server synchronisiert. Löscht man diese nach einer Neuanmeldung bzw. am nächsten Arbeitstag, sind diese zwar auf dem Desktop gelöscht, sind aber nach einer Neuanmeldung bzw. nächsten Arbeitstag wieder auf dem User Desktop vorhanden.

Das ist unser Problem. Lösung habe ich im Moment keine.

Danke und Grüße
Macomar
Bitte warten ..
Mitglied: dertowa
06.08.2020, aktualisiert um 11:34 Uhr
Zitat von Hubert.N:
Ups??? - Ist ja schön, wenn "Jeder" bei jedem die Daten lesen kann. Datenschutz 2.0 ?? ;)

Nicht verstanden oder? ;)
Die Freigabe hat das Recht, damit wird beim ersten Anmelden des Nutzers der entsprechende username.V6 - Ordner erstellt, denn der Nutzer darf auf der Freigabe schreiben. Da der Nutzer Vollzugriff hat darf er auch Rechte setzen und so wird dem Benutzer auf seinem Ordner Vollzugriff eingeräumt.
Durch eine passende Gruppenrichtlinie erhält auch die Gruppe "Administratoren" Vollzugriff, letztlich haben auf dem Profilordner des Nutzers also:
- er selbst
- SYSTEM
- Administratoren
Vollzugriff auf den jeweiligen Ordner.

Der freigegebene Profilordner braucht eigentlich nur den ERSTELLER, aber das wollte hier in den 2012 R2 Systemen nicht, daher ist es auf die Domänen-Benutzer beschränkt.
Jop die könnten dort nun Ordner und Dateien anlegen, aber dafür bräuchten die erstmal den versteckten Freigabenamen. ;)
So funktioniert es zumindest seit jeher.

Somit halb so wild.
Bitte warten ..
Mitglied: macomar
06.08.2020 um 14:17 Uhr
Hallo an alle - ich habe die Lösung gefunden - Dr. Google hat dabei geholfen, es ist ein bekanntes Problem bei Microsoft.
https://support.microsoft.com/de-de/help/4340390/roaming-profile-not-syn ...
Scheinbar immer noch nicht richtig behoben, da unsere Systeme auf 1909 / 2004 laufen.

Ich musste den Pfad AppData\Roaming\Microsoft\Installer noch in die ExcludeProfileDirs GPO reinsetzen und schwupps ging alles.

Gleiches Problem mit Lösung habe ich auf hier gefunden
https://serverfault.com/questions/1020154/active-directory-roaming-profi ...

Danke und viele Grüße
Macomar
Bitte warten ..
Mitglied: Hubert.N
06.08.2020 um 19:30 Uhr
1. Schön, dass du das Problem lösen konntest

2.
Zitat von dertowa:
Nicht verstanden oder? ;)

Nein.. verstehe ich nicht weil...

Da der Nutzer Vollzugriff hat darf er auch Rechte setzen und so wird dem Benutzer auf seinem Ordner Vollzugriff eingeräumt.

weil (wenn Du die Vererbung nicht unterbrichst...) alle Benutzer dann auf allen Profilordnern Zugriff haben.

So funktioniert es zumindest seit jeher.

Nur weil es funktioniert, muss es ja nicht in Ordnung sein. Wenn ich auf einer Datenfreigabe für "Jeder" Vollzugriff setze, funktioniert das auch. Dass dann der Azubi in den Peronalakten stöbern kann, ist egal - Hauptsache es funktioniert ?!

Noch mal kurz korrekt:
Administratoren und System -> Vollzugriff auf Ordner, Unterordner und Dateien
Ersteller-Besitzer -> Vollzugriff auf Unterordner und Dateien
Authentifizierte Benutzer -> Ordner auflisten/Daten lesen und Ordner erstellen/Daten anhängen
Bitte warten ..
Mitglied: dertowa
08.08.2020 um 22:05 Uhr
Zitat von Hubert.N:
weil (wenn Du die Vererbung nicht unterbrichst...) alle Benutzer dann auf allen Profilordnern Zugriff haben.

Wir reden hier aber schon noch von der "Freigabe"?
Denn das sind nicht die "Sicherheit"szulassungen und dort ist es entsprechend unterbunden, dass der Azubi in den Personaldaten schnüffelt. ;)
Soweit ließ es sich zumindest in der Umgebung eindämmen, die Grundfreigabe des Dienstleisters früher war "Jeder" - "Jeder", warum wurde mir
klar als ich die Vorgabe von Microsoft umsetzen wollte.
Scheinbar hatten die nur festgestellt - geht nicht - also Jeder - Jeder, später hat man dann bei neueren Nutzern ganz auf Roaming verzichtet.

Mit der Fehlerbereinigung befasse ich mich aber auch nicht mehr, da dieses Jahr noch eine saubere 2019er Domain kommt.
Bitte warten ..
Mitglied: dertowa
08.08.2020 um 22:15 Uhr
Spannend, ja damals hatte Microsoft Roaming einfach mal für 6 Monate vergessen, wurde dann aber gefixt. :D
Demnach müsste aber im Eventlog was zu finden gewesen sein?

Hinsichtlich des Installer - Ordners ne Rückfrage von mir, was steht denn in den Dingern drin?
In meinem Gedankenspiel können die vollständig weg.

Noch ein kleiner Hinweis an der Stelle, wenn ihr Teams einsetzt, direkt den Ordner auch ausklammern...
https://microsoftteams.uservoice.com/forums/555103-public/suggestions/34 ...
Da weiß man die Stellung des Raomings und das ist auch der Grund warum warum wir immer mind. 1 Generation zurückhängen bei den Clients.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Roaming Profil bei Windows Server 2016 und Windows 10 LTSB

Frage von 121416Windows Server1 Kommentar

Hallo, ich habe ein merkwürdiges Phänomen. Unter Hyper-V läuft ein DC mit Windows Server 2016 und ein Client mit ...

Windows 10

Windows 10 Roaming Profil auf NAS

gelöst Frage von femi71Windows 1023 Kommentare

Hallo, ich versuche seit einiger Zeit ein Roaming Profil auf meiner NAS abzulegen, leider kommt immer wieder die Fehlermeldung ...

Windows Userverwaltung

Lokales Domänen Profil in Roaming Profil umwandeln Windows 10

gelöst Frage von simi2204Windows Userverwaltung6 Kommentare

Hallo, ich versuche aktuell ein Lokales Profil in ein Roaming Profil zuverwandeln. Leider hab ich auf dem Thema keine ...

Windows 10

Fehler bei Windows 10 Domänen-Anmeldung mit Roaming Profil

gelöst Frage von wisebeerWindows 108 Kommentare

Liebe KollegInnen, Ich beschäftige mich gerade in meiner Testumgebung mit dem Ausrollen von Windows 10 LTSB per WDS. Der ...

Windows Server

Windows Roaming Profil - Neuer Benutzer - Profil übernehmen

gelöst Frage von net2010Windows Server2 Kommentare

Hallo alle Zusammen, das Roaming Profil von einem Benutzer macht Probleme. Jetzt lege ich einen neuen Benutzer in der ...

Windows 10

Funktionsupdate 2004 Windows 10

gelöst Frage von danijel.srWindows 1017 Kommentare

Hallo zusammen, ich habe ein kurioses Problem mit Windows 10 Clients und den neuen Funktionsupdate 2004. Wsus (Server 2016) ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)21 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server19 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Frage von Hanspeter82Drucker und Scanner13 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Windows 10
FritzBox 7590 VPN
Frage von christian295Windows 1013 Kommentare

Hallo Zusammen, wir haben seit einigen Tagen eine neue FritzBox 7590 und wollen mit ShrewSoft 2.2.2 auf Win 10 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT