19
Servergespeicherte Profile funktionier nur mit Adminrechten
Ich hab da ein Windows Domain ( Server 2k3 & 2k8 ) mit Windows Xp Clients.
Für alle User gibt es Roaming Profiles die bisher problemfrei funktionierten.
Selten - aber leider doch - passiert es, das ein userprofil nur mehr funktioniert, wenn der User auf dem jeweiligen Client ( also dann auf allen wenn er den Platz wechselt ) Adminrechte hat. Hauptbenutzerberechtigungen haben alle user schon auf den Clients.
Wenn ich das Profil lösche und neu erstelle funktioniert dann wieder alles !!
Gibts da ein Schräubchen an dem ich drehen kann, um das ohne löschen des Profils zu beheben ?
Für alle User gibt es Roaming Profiles die bisher problemfrei funktionierten.
Selten - aber leider doch - passiert es, das ein userprofil nur mehr funktioniert, wenn der User auf dem jeweiligen Client ( also dann auf allen wenn er den Platz wechselt ) Adminrechte hat. Hauptbenutzerberechtigungen haben alle user schon auf den Clients.
Wenn ich das Profil lösche und neu erstelle funktioniert dann wieder alles !!
Gibts da ein Schräubchen an dem ich drehen kann, um das ohne löschen des Profils zu beheben ?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 211335
Url: https://administrator.de/contentid/211335
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
19 Kommentare
Neuester Kommentar
Hi,
haben denn die User alle Rechte auf den Profil Ordnern ?
haben denn die User alle Rechte auf den Profil Ordnern ?
Die user haben alle rechte auf den Profilordner am Server und auf dem Client
Das ging ( geht ) ja auch schon lange ohne Probleme, und es gab keine Änderungen. Das Problem tritt ohne ersichtlichen Grund auf.
Das ging ( geht ) ja auch schon lange ohne Probleme, und es gab keine Änderungen. Das Problem tritt ohne ersichtlichen Grund auf.
Hallo,
der Besitzer des Profilverzeichnisses muss die Gruppe der Domänenadministratoren sein, das solltest Du prüfen.
Markus
der Besitzer des Profilverzeichnisses muss die Gruppe der Domänenadministratoren sein, das solltest Du prüfen.
Markus
Diese Berichtigung und Besitzer passt.
Nochmal falls ich was unklar formuliert habe:
Die Roaming-Profile funktionieren bei allen usern einwandfrei. Egal welcher User sich auf welchem Client anmeldet - alles funktioniert.
Aus heiterem Himmel wird dann das Profil "user-xy" nur mehr vollständig geladen , wenn der User-xy auf dem Client Admin-Rechte hat - egal auf welchem Client.
Oder ich mach den User-xy zum Mitglied von (Domain)-/Administratoren. Dann gehts auch wieder , dann auf allen Clients.
Kann als meines erachtens nur ein Problem im Profil-xy sein. Irgend ein Bit muss da "umgefallen" sein, das diesen Bug verursacht.
Nochmal falls ich was unklar formuliert habe:
Die Roaming-Profile funktionieren bei allen usern einwandfrei. Egal welcher User sich auf welchem Client anmeldet - alles funktioniert.
Aus heiterem Himmel wird dann das Profil "user-xy" nur mehr vollständig geladen , wenn der User-xy auf dem Client Admin-Rechte hat - egal auf welchem Client.
Oder ich mach den User-xy zum Mitglied von (Domain)-/Administratoren. Dann gehts auch wieder , dann auf allen Clients.
Kann als meines erachtens nur ein Problem im Profil-xy sein. Irgend ein Bit muss da "umgefallen" sein, das diesen Bug verursacht.
Hi hmarkus.
Hallo dosser.
Hauptbenutzer können sich selbst im Handumdrehen zu Admins machen, diese Gruppe benutzt man nicht, wenn es um Sicherheit geht.
Zur Behebung: Setze doch mal die Rechte in allen Unterordnern zurück.
der Besitzer des Profilverzeichnisses muss die Gruppe der Domänenadministratoren sein, das solltest Du prüfen
Äh... wie kommst Du darauf? Besitzrechte des Admins haben mit Zugriff der User rein gar nichts zu tun. Sie bieten nur dem Admin die Möglichkeit, die Rechte zu ändern. Ebenso ist es nicht default, dass der Domänenadmin dort Besitzer ist. Von "muss" kann keine Rede sein.Hallo dosser.
Hauptbenutzer können sich selbst im Handumdrehen zu Admins machen, diese Gruppe benutzt man nicht, wenn es um Sicherheit geht.
Zur Behebung: Setze doch mal die Rechte in allen Unterordnern zurück.
Zitat von @DerWoWusste:
Hauptbenutzer können sich selbst im Handumdrehen zu Admins machen, diese Gruppe benutzt man nicht, wenn es um Sicherheit
geht.
Zur Behebung: Setze doch mal die Rechte in allen Unterordnern zurück.
Hauptbenutzer können sich selbst im Handumdrehen zu Admins machen, diese Gruppe benutzt man nicht, wenn es um Sicherheit
geht.
Zur Behebung: Setze doch mal die Rechte in allen Unterordnern zurück.
Die Berechtigungen des betroffenen Profilordners hab ich schon in alle möglichen/unmöglichen Richtungen verändert - keine Änderung.
PS:
Bezüglich HAUPTBENUTZER:
Das ist leider für die besch JetTravel-Software notwendig.
Was meinst was ich mich deswegen aufgeregt hab. Ohne Konsequenzen. Nicht umsonst ist DataSystem liquidiert worden.
Dann monitore von einem zweiten, parallel angemeldeten Adminuser aus mal mit procmon, was passiert, wenn sich der andere Nutzer anmeldet - lokal siehst Du so alle access denials.
Zitat von @DerWoWusste:
Dann monitore von einem zweiten, parallel angemeldeten Adminuser aus mal mit procmon, was passiert, wenn sich der andere Nutzer
anmeldet - lokal siehst Du so alle access denials.
Dann monitore von einem zweiten, parallel angemeldeten Adminuser aus mal mit procmon, was passiert, wenn sich der andere Nutzer
anmeldet - lokal siehst Du so alle access denials.
Das geht doch nur mit "schneller Benutzerumschaltung" ? Die ist deaktiviert.
Oder steh ich auf dem Schlauch ;-(
Argh, xp, da ist sie aus... dann fällt die Methode flach.
Zunächst keine weitere Iddee, aber ich komme nochmal zurück.
Zunächst keine weitere Iddee, aber ich komme nochmal zurück.
Nur keinen Stress.
Jedenfalls schon mal herzlichen Dank für Deine Bemühung.
Jedenfalls schon mal herzlichen Dank für Deine Bemühung.
Zitat von @DerWoWusste:
Hi hmarkus.
> der Besitzer des Profilverzeichnisses muss die Gruppe der Domänenadministratoren sein, das solltest Du prüfen
Äh... wie kommst Du darauf? Besitzrechte des Admins haben mit Zugriff der User rein gar nichts zu tun. Sie bieten nur dem
Admin die Möglichkeit, die Rechte zu ändern. Ebenso ist es nicht default, dass der Domänenadmin dort Besitzer ist.
Von "muss" kann keine Rede sein.
mh, ich hab das immer so gemacht und meine, dass ich das auch damals beim MCSA-Lehrgang so gelernt habe. Situation in meinen Domänen ist, dass es sich um ein obligatorisches Profil handelt, welches von allen Usern benutzt wird. Aber wenn es anders ist, dann muss ich mir das beizeiten nochmal durchlesen, bald steht bei mir der MCSA für Server 2012 an, da werde ich das sicher vertiefen. Danke jedenfalls @DerWoWusste für den Hinweis.Hi hmarkus.
> der Besitzer des Profilverzeichnisses muss die Gruppe der Domänenadministratoren sein, das solltest Du prüfen
Äh... wie kommst Du darauf? Besitzrechte des Admins haben mit Zugriff der User rein gar nichts zu tun. Sie bieten nur dem
Admin die Möglichkeit, die Rechte zu ändern. Ebenso ist es nicht default, dass der Domänenadmin dort Besitzer ist.
Von "muss" kann keine Rede sein.
Markus
Ah, es gibt eine Möglichkeit: starte procmon und stele "enable boot logging" ein und starte dann neu. procmon zeichnet dann alles auf beim nächsten Start und der nächsten Anmeldung.
1
Was ich noch vergessen hab:
Das Userprofil wird komplett und richtig von Server gezogen und als "c:\Dokumente und Einstellungen\user-xy" gespeichert.
Nur funktionieren Menues, Programme , Links ,.. nicht, Die Quickstart wird nicht angezeigt, und ein vorhandes Desktop-Wallpaper wird nicht angezeigt.
Das Userprofil wird komplett und richtig von Server gezogen und als "c:\Dokumente und Einstellungen\user-xy" gespeichert.
Nur funktionieren Menues, Programme , Links ,.. nicht, Die Quickstart wird nicht angezeigt, und ein vorhandes Desktop-Wallpaper wird nicht angezeigt.
Zitat von @DerWoWusste:
Ah, es gibt eine Möglichkeit: starte procmon und stele "enable boot logging" ein und starte dann neu. procmon
zeichnet dann alles auf beim nächsten Start und der nächsten Anmeldung.
Ah, es gibt eine Möglichkeit: starte procmon und stele "enable boot logging" ein und starte dann neu. procmon
zeichnet dann alles auf beim nächsten Start und der nächsten Anmeldung.
Das ging ja super. Jetz hab ich die RIESEN-logs
Name Extension Size
Vom USER mit normalen Rechten:
Bootlog.pml 253.563.515
Bootlog-1.pml 321.686.681
Bootlog-2.pml 313.324.258
Bootlog-3.pml 285.747.136
Vom USER mit Admin-Rechten
Bootlog-adm.pml 243.448.792
Bootlog-adm-1.pml 63.240.059
Erstmal stellt sich mir die Frage warum das log mit den Admin-Rechten ¼ so gross ist und nur aus zwei logs besteht.
Zweitens fehlt mir irgend eine Idee wo ich mit der Fehlersuche ansetze , da ja das lesen & schreiben auf dem Client & Server immer funktioniert.
Die auffallendsten Probleme sind das fehle der Quickstart und die fixierte Taskleiste - die Fixierung lässt sich nicht aufheben.
Kann das momentan nicht praktisch testen, daher eine theoretische Frage
Mir ist folgendes aufgefallen:
in einer "normalen" NTUSER.INI steht:
[General]
ExclusionList=Lokale Einstellungen;Temporary Internet Files;Verlauf;Temp;Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook
[ProfileLoadType]
LastUploadState=Complete
in dem nicht funktionierenden Profil steht aber nur:
[General]
ExclusionList=Lokale Einstellungen;Temporary Internet Files;Verlauf;Temp;Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook
Kann der fehlende Parameter schuld sein - ich finde keine Doku zu dem Parameter ?
Wieso fehlt der Parameter, bzw. was verursacht das fehlen ?
Danke schon mal.
Mir ist folgendes aufgefallen:
in einer "normalen" NTUSER.INI steht:
[General]
ExclusionList=Lokale Einstellungen;Temporary Internet Files;Verlauf;Temp;Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook
[ProfileLoadType]
LastUploadState=Complete
in dem nicht funktionierenden Profil steht aber nur:
[General]
ExclusionList=Lokale Einstellungen;Temporary Internet Files;Verlauf;Temp;Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook
Kann der fehlende Parameter schuld sein - ich finde keine Doku zu dem Parameter ?
Wieso fehlt der Parameter, bzw. was verursacht das fehlen ?
Danke schon mal.
ini: weiß ich nicht.
procmon: such/filter im Log nach access denied
procmon: such/filter im Log nach access denied
1
Ich hab das gefilterte LOG hier hingestellt:
http://kuno.sytes.net/stuff/u19-Log.CSV ~18MB
oder
http://kuno.sytes.net/stuff/u19-Log.PML ~ 40MB
1) 23:25:49,2348380 winlogon.exe 592 CreateFile C:\Dokumente und Einstellungen ACCESS DENIED
Da gibts sämtliche Rechte für alle. Die Profile werden dort ja auch ohne Problem hinkopiert ???
2)
23:28:53,7943993 winlogon.exe 592 RegOpenKey HKU\S-1-5-21-1667534469-852598543-854850462-1126 ACCESS DENIED
23:28:53,8375791 userinit.exe 2308 RegOpenKey HKU\.Default ACCESS DENIED Desired Access: Read/Write
Jede Menge Problem mit der Registry. Woher weiss ich nicht. Und was ich dagegen tun soll ist mir noch nicht ganz klar.
PS:
Was mir an dem ProcessMonitor nicht ganz klar ist, warum der bei verschiedenen Usern verschieden Grosse/viele Logs schreibt.
Ich hab das mit einem zweiten Problem-user getestet, und da hat mir das Teil 89 Logs mit ~ 30GB geschrieben
http://kuno.sytes.net/stuff/u19-Log.CSV ~18MB
oder
http://kuno.sytes.net/stuff/u19-Log.PML ~ 40MB
1) 23:25:49,2348380 winlogon.exe 592 CreateFile C:\Dokumente und Einstellungen ACCESS DENIED
Da gibts sämtliche Rechte für alle. Die Profile werden dort ja auch ohne Problem hinkopiert ???
2)
23:28:53,7943993 winlogon.exe 592 RegOpenKey HKU\S-1-5-21-1667534469-852598543-854850462-1126 ACCESS DENIED
23:28:53,8375791 userinit.exe 2308 RegOpenKey HKU\.Default ACCESS DENIED Desired Access: Read/Write
Jede Menge Problem mit der Registry. Woher weiss ich nicht. Und was ich dagegen tun soll ist mir noch nicht ganz klar.
PS:
Was mir an dem ProcessMonitor nicht ganz klar ist, warum der bei verschiedenen Usern verschieden Grosse/viele Logs schreibt.
Ich hab das mit einem zweiten Problem-user getestet, und da hat mir das Teil 89 Logs mit ~ 30GB geschrieben
Einen Schritt bin ich mal weiter:
Auf dem Registry-Teil des Users ( HKU\S-1-5-21-1667534469-852598543-854850462-1126 ) hatte der User keine Berechtigungen ??!!
Folgende Berichtigung ungen waren da eingetragen:
Administratoren - VOLLZUGRIFF
SYSTEM - VOLLZUGRIFF
Eingeschränkter Zugriff - LESEN
Nachdem ich nun auf dem Client des Users dem USER auf den HKU\S-1-5-21-1667534469-852598543-854850462-1126 VOLLZUGRIFF gegeben habe läuft das wieder alles 1A auf dem Client.
Wie sich Profil des auf anderen Clients verhält konnte ich noch nicht testen. Aber der HKU-Teil der Registry wird ja als ntuser.dat ins servergespeicherte Profil geschrieben. Somit soltte sich das Problem auch auf den anderen Clients gelöst haben.
Wenn ich das fertig gechecked hab melde ich mich nochmal.
Mein ganz besonderer Dank geht an DerWoWusste. für seine Bemühungen und den heissene Tip mit dem ProcessMonitor.
PS:
Woher dieses Problem kam (kommt) konnte ich nicht feststellen und habe auch keine Idee wie ich das rauskriegen könnte.
Auf dem Registry-Teil des Users ( HKU\S-1-5-21-1667534469-852598543-854850462-1126 ) hatte der User keine Berechtigungen ??!!
Folgende Berichtigung ungen waren da eingetragen:
Administratoren - VOLLZUGRIFF
SYSTEM - VOLLZUGRIFF
Eingeschränkter Zugriff - LESEN
Nachdem ich nun auf dem Client des Users dem USER auf den HKU\S-1-5-21-1667534469-852598543-854850462-1126 VOLLZUGRIFF gegeben habe läuft das wieder alles 1A auf dem Client.
Wie sich Profil des auf anderen Clients verhält konnte ich noch nicht testen. Aber der HKU-Teil der Registry wird ja als ntuser.dat ins servergespeicherte Profil geschrieben. Somit soltte sich das Problem auch auf den anderen Clients gelöst haben.
Wenn ich das fertig gechecked hab melde ich mich nochmal.
Mein ganz besonderer Dank geht an DerWoWusste. für seine Bemühungen und den heissene Tip mit dem ProcessMonitor.
PS:
Woher dieses Problem kam (kommt) konnte ich nicht feststellen und habe auch keine Idee wie ich das rauskriegen könnte.
So wie in meinem vorigen post beschrieben klappt das einwandfrei.
Sollte es dennoch Probleme geben:
1) auf dem client mit Adminrechten anmelden
2) regedit öffnen ->
3) im regeditor LINKS HKEY_USERS anklicken
4) Datei -> Stuktur laden -> die ntuser-dat des entsprechenden users laden
5) Der Keyname der Struktur bekommt dann die SID des jeweiligen users ( lässt sich mit getsid aus den PSTOOLS ermitteln )
6) abschliesend sollte man für den neuen Schlüssel die Berechtifungen prüfen.
War etwas mühsam das alles aus viel verschiedenen Infos im Netz zu finden.
Bei mir jedengfalls geht wieder alles 1a .
Danke ans Forum für die unterstützung.
Sollte es dennoch Probleme geben:
1) auf dem client mit Adminrechten anmelden
2) regedit öffnen ->
3) im regeditor LINKS HKEY_USERS anklicken
4) Datei -> Stuktur laden -> die ntuser-dat des entsprechenden users laden
5) Der Keyname der Struktur bekommt dann die SID des jeweiligen users ( lässt sich mit getsid aus den PSTOOLS ermitteln )
6) abschliesend sollte man für den neuen Schlüssel die Berechtifungen prüfen.
War etwas mühsam das alles aus viel verschiedenen Infos im Netz zu finden.
Bei mir jedengfalls geht wieder alles 1a .
Danke ans Forum für die unterstützung.
