12
Roaming Profiles - gelösche Dateien vom Desktop kommen immer wieder (Windows 10 (2004) - 2016er Domäne)
Hallo an alle,
ich bin ratlos... Seit einiger Zeit haben wir von Usern die Rückmeldung, dass gelöschte Dateien vom Desktop am nächsten Arbeitstag einfach wieder da sind. Dieses Phänomen habe ich auch seit dieser Woche selbst.
Die Umgebung sind Windows 10 1903 / 2004 Clients in einer 2016er Domäne.
Versucht wurde schon:
lokales Profil löschen/neu erstellen
Servergespeichertes Profil löschen/neu erstellen
Folgende GPO ist für Roaming Profiles gesetzt:
Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Registrierung -> ExcludeProfileDirs
Wertdaten: AppData\Local;AppData\LocalLow;$Recycle.Bin;OneDrive;Work Folders;AppData\Roaming\Telekom Deutschland GmbH;
Ich konnte noch feststellen, dass das Profil beim Abmelden synchronisiert wird, sich der Zeitstempel auf dem Server ändert, aber die gelöschten Dateien beim Sync außer Acht gelassen werden. Diese werden beim Abmelde-Sync auf dem Server quasi nicht entfernt.
Kann mir hier jemand helfen ?
Im Anhang noch Screenshot zum besseren Einblick
Danke und VG
Macomar
ich bin ratlos... Seit einiger Zeit haben wir von Usern die Rückmeldung, dass gelöschte Dateien vom Desktop am nächsten Arbeitstag einfach wieder da sind. Dieses Phänomen habe ich auch seit dieser Woche selbst.
Die Umgebung sind Windows 10 1903 / 2004 Clients in einer 2016er Domäne.
Versucht wurde schon:
lokales Profil löschen/neu erstellen
Servergespeichertes Profil löschen/neu erstellen
Folgende GPO ist für Roaming Profiles gesetzt:
Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Registrierung -> ExcludeProfileDirs
Wertdaten: AppData\Local;AppData\LocalLow;$Recycle.Bin;OneDrive;Work Folders;AppData\Roaming\Telekom Deutschland GmbH;
Ich konnte noch feststellen, dass das Profil beim Abmelden synchronisiert wird, sich der Zeitstempel auf dem Server ändert, aber die gelöschten Dateien beim Sync außer Acht gelassen werden. Diese werden beim Abmelde-Sync auf dem Server quasi nicht entfernt.
Kann mir hier jemand helfen ?
Im Anhang noch Screenshot zum besseren Einblick
Danke und VG
Macomar
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 593752
Url: https://administrator.de/forum/roaming-profiles-geloesche-dateien-vom-desktop-kommen-immer-wieder-windows-10-2004-2016er-domaene-593752.html
Ausgedruckt am: 05.01.2025 um 07:01 Uhr
12 Kommentare
Neuester Kommentar
Moin 
1. gibt es für die Konfiguration in den GPOs eine eigene Einstellung - also eigentlich kein bedarf, das über einzelne Registrywerte zu basteln:
Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - System - Benutzerprofile -> Verzeichnisse aus servergespeichertem Profil ausschließen. Kontrolle über HKCU\Software\Policies\Microsoft\Windows\System -> ExcludeProfileDir
Aber das nützt Dir ja erst einmal nichts, denn Du willst den Desktopinhalt ja zentral bereitstellen.
2. Um das Prolem aus der Welt zu schaffen, würde ich den weg gehen, die Ordner wie Desktop, Dokumente für die Benutzer einfach umzuleiten. Dann hast Du das Problem aus der Welt geschafft sparst Du Dir auch ggf. längere Anmeldezeiten am System, weil die Daten nicht mehr komplett beim An- und Abmelden hin und her kopiert werden
Gruß
1. gibt es für die Konfiguration in den GPOs eine eigene Einstellung - also eigentlich kein bedarf, das über einzelne Registrywerte zu basteln:
Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - System - Benutzerprofile -> Verzeichnisse aus servergespeichertem Profil ausschließen. Kontrolle über HKCU\Software\Policies\Microsoft\Windows\System -> ExcludeProfileDir
Aber das nützt Dir ja erst einmal nichts, denn Du willst den Desktopinhalt ja zentral bereitstellen.
2. Um das Prolem aus der Welt zu schaffen, würde ich den weg gehen, die Ordner wie Desktop, Dokumente für die Benutzer einfach umzuleiten. Dann hast Du das Problem aus der Welt geschafft sparst Du Dir auch ggf. längere Anmeldezeiten am System, weil die Daten nicht mehr komplett beim An- und Abmelden hin und her kopiert werden
Gruß
Vielleicht wird ja beim Anmelden auf den Desktop kopiert. Per Script (Netlogon) oder GPP/GPO. Oder deine Benutzer melden sich an mehreren Rechnern gleichzeitig an. Da gewinnt das zuletzt verwendete Profil
Zitat von @Hubert.N:
2. Um das Prolem aus der Welt zu schaffen, würde ich den weg gehen, die Ordner wie Desktop, Dokumente für die Benutzer einfach umzuleiten.
2. Um das Prolem aus der Welt zu schaffen, würde ich den weg gehen, die Ordner wie Desktop, Dokumente für die Benutzer einfach umzuleiten.
Den Desktop würde ich persönlich nicht umleiten.
Ganz einfach, bricht mal irgendwie das Netzwerk weg, wenn auch nur ganz kurz sind alle Symbole weg der Hintergrund weg und es geht direkt die Welt unter. Genauso beim Roaming, da gibt es heute immer noch Anwendungen die nicht mit UNC Pfaden klarkommen. ;)
Wenn nur Dokumente und Co. umgeleitet werden ist der Zugriff darauf dann kurz nicht möglich, das regeneriert sich aber von allein.
Bedeutet aber wenn neue Dateien angelegt werden, dann werden diese auf den Server zurückgeschrieben beim Abmelden?
Irgendwie klingt dies nach verqueren Rechten, oder falschen Besitzereigenschaften.
Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.
Damit setzen sich nämlich die Berechtigungen der Unterordner beim Anlegen von selbst und somit erhält jeder Benutzer auf
seinem Ordner Vollzugriff.
Irgendwie klingt dies nach verqueren Rechten, oder falschen Besitzereigenschaften.
Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.
Damit setzen sich nämlich die Berechtigungen der Unterordner beim Anlegen von selbst und somit erhält jeder Benutzer auf
seinem Ordner Vollzugriff.
Zitat von @dertowa:
Den Desktop würde ich persönlich nicht umleiten.
Ganz einfach, bricht mal irgendwie das Netzwerk weg, wenn auch nur ganz kurz sind alle Symbole weg der Hintergrund weg und es geht direkt die Welt unter.
Den Desktop würde ich persönlich nicht umleiten.
Ganz einfach, bricht mal irgendwie das Netzwerk weg, wenn auch nur ganz kurz sind alle Symbole weg der Hintergrund weg und es geht direkt die Welt unter.
Wenn das Netzwerk wegbricht, hat man eh ein Problem. Und wenn man nichts daran bastelt, werden die Daten auf dem Client über die Synchronisierung zwischengespeichert. Also eigentlich kein Problem
Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.
Ups??? - Ist ja schön, wenn "Jeder" bei jedem die Daten lesen kann. Datenschutz 2.0 ?? ;)
Dafür gibt es explizit Vorgaben, wie dir Rechte zu setzen sind: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Gruß
Zitat von @dertowa:
Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.
Wow... nein auf keinen Fall!Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.
User Bekommen bei den Freigaberechten nur Modify und bei NTFS Rechten ebenso nur Modify
Admins bekommen beides mal Vollzugriff
Der Grund ist, das wenn man beim Share dem User Vollzugriff gibt, kann der sich bei den Ordnern&Dateien auf die er Ownerrechte hat einfach selbst vollzugriff geben und dann auch Admins aus den Berechtigungen schmeissen
Hallo dertowa,
richtig, neu abgelegte Dateien auf dem User-Desktop werden bei Abmeldung mit dem R-Profile auf dem Server synchronisiert. Löscht man diese nach einer Neuanmeldung bzw. am nächsten Arbeitstag, sind diese zwar auf dem Desktop gelöscht, sind aber nach einer Neuanmeldung bzw. nächsten Arbeitstag wieder auf dem User Desktop vorhanden.
Das ist unser Problem. Lösung habe ich im Moment keine.
Danke und Grüße
Macomar
richtig, neu abgelegte Dateien auf dem User-Desktop werden bei Abmeldung mit dem R-Profile auf dem Server synchronisiert. Löscht man diese nach einer Neuanmeldung bzw. am nächsten Arbeitstag, sind diese zwar auf dem Desktop gelöscht, sind aber nach einer Neuanmeldung bzw. nächsten Arbeitstag wieder auf dem User Desktop vorhanden.
Das ist unser Problem. Lösung habe ich im Moment keine.
Danke und Grüße
Macomar
Zitat von @Hubert.N:
Ups??? - Ist ja schön, wenn "Jeder" bei jedem die Daten lesen kann. Datenschutz 2.0 ?? ;)
Ups??? - Ist ja schön, wenn "Jeder" bei jedem die Daten lesen kann. Datenschutz 2.0 ?? ;)
Nicht verstanden oder? ;)
Die Freigabe hat das Recht, damit wird beim ersten Anmelden des Nutzers der entsprechende username.V6 - Ordner erstellt, denn der Nutzer darf auf der Freigabe schreiben. Da der Nutzer Vollzugriff hat darf er auch Rechte setzen und so wird dem Benutzer auf seinem Ordner Vollzugriff eingeräumt.
Durch eine passende Gruppenrichtlinie erhält auch die Gruppe "Administratoren" Vollzugriff, letztlich haben auf dem Profilordner des Nutzers also:
- er selbst
- SYSTEM
- Administratoren
Vollzugriff auf den jeweiligen Ordner.
Der freigegebene Profilordner braucht eigentlich nur den ERSTELLER, aber das wollte hier in den 2012 R2 Systemen nicht, daher ist es auf die Domänen-Benutzer beschränkt.
Jop die könnten dort nun Ordner und Dateien anlegen, aber dafür bräuchten die erstmal den versteckten Freigabenamen. ;)
So funktioniert es zumindest seit jeher.
Somit halb so wild.
Hallo an alle - ich habe die Lösung gefunden - Dr. Google hat dabei geholfen, es ist ein bekanntes Problem bei Microsoft.
https://support.microsoft.com/de-de/help/4340390/roaming-profile-not-syn ...
Scheinbar immer noch nicht richtig behoben, da unsere Systeme auf 1909 / 2004 laufen.
Ich musste den Pfad AppData\Roaming\Microsoft\Installer noch in die ExcludeProfileDirs GPO reinsetzen und schwupps ging alles.
Gleiches Problem mit Lösung habe ich auf hier gefunden
https://serverfault.com/questions/1020154/active-directory-roaming-profi ...
Danke und viele Grüße
Macomar
https://support.microsoft.com/de-de/help/4340390/roaming-profile-not-syn ...
Scheinbar immer noch nicht richtig behoben, da unsere Systeme auf 1909 / 2004 laufen.
Ich musste den Pfad AppData\Roaming\Microsoft\Installer noch in die ExcludeProfileDirs GPO reinsetzen und schwupps ging alles.
Gleiches Problem mit Lösung habe ich auf hier gefunden
https://serverfault.com/questions/1020154/active-directory-roaming-profi ...
Danke und viele Grüße
Macomar
1. Schön, dass du das Problem lösen konntest
2.
Nein.. verstehe ich nicht weil...
weil (wenn Du die Vererbung nicht unterbrichst...) alle Benutzer dann auf allen Profilordnern Zugriff haben.
Nur weil es funktioniert, muss es ja nicht in Ordnung sein. Wenn ich auf einer Datenfreigabe für "Jeder" Vollzugriff setze, funktioniert das auch. Dass dann der Azubi in den Peronalakten stöbern kann, ist egal - Hauptsache es funktioniert ?!
Noch mal kurz korrekt:
Administratoren und System -> Vollzugriff auf Ordner, Unterordner und Dateien
Ersteller-Besitzer -> Vollzugriff auf Unterordner und Dateien
Authentifizierte Benutzer -> Ordner auflisten/Daten lesen und Ordner erstellen/Daten anhängen
2.
Nein.. verstehe ich nicht weil...
Da der Nutzer Vollzugriff hat darf er auch Rechte setzen und so wird dem Benutzer auf seinem Ordner Vollzugriff eingeräumt.
weil (wenn Du die Vererbung nicht unterbrichst...) alle Benutzer dann auf allen Profilordnern Zugriff haben.
So funktioniert es zumindest seit jeher.
Nur weil es funktioniert, muss es ja nicht in Ordnung sein. Wenn ich auf einer Datenfreigabe für "Jeder" Vollzugriff setze, funktioniert das auch. Dass dann der Azubi in den Peronalakten stöbern kann, ist egal - Hauptsache es funktioniert ?!
Noch mal kurz korrekt:
Administratoren und System -> Vollzugriff auf Ordner, Unterordner und Dateien
Ersteller-Besitzer -> Vollzugriff auf Unterordner und Dateien
Authentifizierte Benutzer -> Ordner auflisten/Daten lesen und Ordner erstellen/Daten anhängen
Zitat von @Hubert.N:
weil (wenn Du die Vererbung nicht unterbrichst...) alle Benutzer dann auf allen Profilordnern Zugriff haben.
weil (wenn Du die Vererbung nicht unterbrichst...) alle Benutzer dann auf allen Profilordnern Zugriff haben.
Wir reden hier aber schon noch von der "Freigabe"?
Denn das sind nicht die "Sicherheit"szulassungen und dort ist es entsprechend unterbunden, dass der Azubi in den Personaldaten schnüffelt. ;)
Soweit ließ es sich zumindest in der Umgebung eindämmen, die Grundfreigabe des Dienstleisters früher war "Jeder" - "Jeder", warum wurde mir
klar als ich die Vorgabe von Microsoft umsetzen wollte.
Scheinbar hatten die nur festgestellt - geht nicht - also Jeder - Jeder, später hat man dann bei neueren Nutzern ganz auf Roaming verzichtet.
Mit der Fehlerbereinigung befasse ich mich aber auch nicht mehr, da dieses Jahr noch eine saubere 2019er Domain kommt.
Spannend, ja damals hatte Microsoft Roaming einfach mal für 6 Monate vergessen, wurde dann aber gefixt. :D
Demnach müsste aber im Eventlog was zu finden gewesen sein?
Hinsichtlich des Installer - Ordners ne Rückfrage von mir, was steht denn in den Dingern drin?
In meinem Gedankenspiel können die vollständig weg.
Noch ein kleiner Hinweis an der Stelle, wenn ihr Teams einsetzt, direkt den Ordner auch ausklammern...
https://microsoftteams.uservoice.com/forums/555103-public/suggestions/34 ...
Da weiß man die Stellung des Raomings und das ist auch der Grund warum warum wir immer mind. 1 Generation zurückhängen bei den Clients.
Demnach müsste aber im Eventlog was zu finden gewesen sein?
Hinsichtlich des Installer - Ordners ne Rückfrage von mir, was steht denn in den Dingern drin?
In meinem Gedankenspiel können die vollständig weg.
Noch ein kleiner Hinweis an der Stelle, wenn ihr Teams einsetzt, direkt den Ordner auch ausklammern...
https://microsoftteams.uservoice.com/forums/555103-public/suggestions/34 ...
Da weiß man die Stellung des Raomings und das ist auch der Grund warum warum wir immer mind. 1 Generation zurückhängen bei den Clients.
