11
Terminalserver - temporäres Profil
Sehr geehrte Community,
unsere Arbeitsplätze sind so eingerichtet, dass wenn sich ein Benutzer mit seinen Zugangsdaten an unserer Domain anmeldet, dass das gesamte Profil über das Netzwerk gezogen wird. Dies hat den Vorteil, dass sich jeder Benutzer an einen beliebigen Arbeitsplatz setzen und sofort arbeiten kann.
Jetzt habe ich einen Terminalserver (TS) im Einsatz. Nach dem ich dem Benutzer die entsprechenden Berechtigungen vergeben habe, um auf dem TS arbeiten zu können, kann der Benutzer sich via VPN und RDP mit seinem Profil verbinden. Das funktioniert auch soweit ganz gut.
Es gibt aber auch Benutzer bei den es nicht gut läuft. Ich habe mir einen Benutzer gesucht bei dem es nicht funktioniert und einen Benutzer bei dem es funktioniert um diese miteinander zu vergleichen.
Beim Benutzer bei dem es nicht funktioniert passiert folgendes - dass gesamte Profil wird lokal auf dem TS abgelegt und dieser Benutzer hat extrem eingeschränkte benutzerrechte obwohl dieser eigentlich alles darf. Die GPOs hierzu erlauben sehr viel. Trotzdem kann der Benutzer gewisse Aktionen wie z.B. das Kontextmenü (rechtsklick) öffnen oder andere Anwendungen starten, die nicht auf dem Desktop liegen.
Wenn ich das lokale Profil vom TS entferne und sich der Benutzer erneut am TS anmeldet, dann wird ein temporäres Profil geladen und der Benutzer kann alles. Das Problem an dieser Stelle, es handelt sich um ein temporäres Profil, alle Profileinstellungen sind nach dem erneuten Anmelden weg.
Bei dem Benutzer, bei dem alles funktioniert gibt es diese Probleme nicht.
Ich habe mir mit beiden Profilen ein report (gpresult.htm) ausgegeben und diesen mit dem anderen report verglichen und konnte keine Abweichung feststellen.
Vielleicht hat jemand noch ein paar Tipps für mich.
unsere Arbeitsplätze sind so eingerichtet, dass wenn sich ein Benutzer mit seinen Zugangsdaten an unserer Domain anmeldet, dass das gesamte Profil über das Netzwerk gezogen wird. Dies hat den Vorteil, dass sich jeder Benutzer an einen beliebigen Arbeitsplatz setzen und sofort arbeiten kann.
Jetzt habe ich einen Terminalserver (TS) im Einsatz. Nach dem ich dem Benutzer die entsprechenden Berechtigungen vergeben habe, um auf dem TS arbeiten zu können, kann der Benutzer sich via VPN und RDP mit seinem Profil verbinden. Das funktioniert auch soweit ganz gut.
Es gibt aber auch Benutzer bei den es nicht gut läuft. Ich habe mir einen Benutzer gesucht bei dem es nicht funktioniert und einen Benutzer bei dem es funktioniert um diese miteinander zu vergleichen.
Beim Benutzer bei dem es nicht funktioniert passiert folgendes - dass gesamte Profil wird lokal auf dem TS abgelegt und dieser Benutzer hat extrem eingeschränkte benutzerrechte obwohl dieser eigentlich alles darf. Die GPOs hierzu erlauben sehr viel. Trotzdem kann der Benutzer gewisse Aktionen wie z.B. das Kontextmenü (rechtsklick) öffnen oder andere Anwendungen starten, die nicht auf dem Desktop liegen.
Wenn ich das lokale Profil vom TS entferne und sich der Benutzer erneut am TS anmeldet, dann wird ein temporäres Profil geladen und der Benutzer kann alles. Das Problem an dieser Stelle, es handelt sich um ein temporäres Profil, alle Profileinstellungen sind nach dem erneuten Anmelden weg.
Bei dem Benutzer, bei dem alles funktioniert gibt es diese Probleme nicht.
Ich habe mir mit beiden Profilen ein report (gpresult.htm) ausgegeben und diesen mit dem anderen report verglichen und konnte keine Abweichung feststellen.
Vielleicht hat jemand noch ein paar Tipps für mich.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 638582
Url: https://administrator.de/contentid/638582
Printed on: April 19, 2024 at 03:04 o'clock
11 Comments
Latest comment
Moin,
wenn das Profil nicht geladen/erstellt werden kann, steht dazu idR was im Eventlog. Dort schonmal geguckt was Sache ist?
lg,
Slainte
wenn das Profil nicht geladen/erstellt werden kann, steht dazu idR was im Eventlog. Dort schonmal geguckt was Sache ist?
lg,
Slainte
Wie hast du das Profil entfernt? Seit Vista muss man das Profil über die Systemsteuerung entfernen, sonst bleibt eine Leiche mit SID in der Registry, die verhindert, dass ein neues Profil erstellt wird.
2
Hallo Luci0815,
ich habe mich als Administrator am TS angemeldet und habe dort das Benutzerprofil gelöscht C:\Users\MaryPoppins
Die SID, welche sich in der Registry befindet: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Mehr steht dort nicht drin.
ich habe mich als Administrator am TS angemeldet und habe dort das Benutzerprofil gelöscht C:\Users\MaryPoppins
Die SID, welche sich in der Registry befindet: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Mehr steht dort nicht drin.
Hallo Slainte,
im Eventlog steht täglich etwas. Davon werde ich aber auch nicht schlau draus.
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-XXX) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
und der APPID
{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.
Dieses Benutzerprofil wurde gesichert. Bei der nächsten Anmeldung dieses Benutzers wird automatisch versucht, dieses gesicherte Profil zu verwenden.
Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.
Die clientseitige Erweiterung "Group Policy Drive Maps" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen.
im Eventlog steht täglich etwas. Davon werde ich aber auch nicht schlau draus.
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-XXX) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
und der APPID
{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.
Dieses Benutzerprofil wurde gesichert. Bei der nächsten Anmeldung dieses Benutzers wird automatisch versucht, dieses gesicherte Profil zu verwenden.
Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.
Die clientseitige Erweiterung "Group Policy Drive Maps" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen.
Microsoft schreibt dazu folgendes:
Link Ereignis 10016
In der Problembeschreibung von MS steht wörtlich Zitat: "Diese Ereignisse können sicher ignoriert werden, da Sie sich nicht nachteilig auf die Funktionalität auswirken und beabsichtigt sind. Dies ist die empfohlene Aktion für diese Ereignisse." Wenn das ignoriert werden kann, warum macht man sich die Mühe solch eine Fehlermeldung zu produzieren hm...
Link Ereignis 10016
In der Problembeschreibung von MS steht wörtlich Zitat: "Diese Ereignisse können sicher ignoriert werden, da Sie sich nicht nachteilig auf die Funktionalität auswirken und beabsichtigt sind. Dies ist die empfohlene Aktion für diese Ereignisse." Wenn das ignoriert werden kann, warum macht man sich die Mühe solch eine Fehlermeldung zu produzieren hm...
Falscher Screenshot oder Registry-Zweig. Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen 
Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.
Das bedeutet, das der User noch in der ProfileList in der Reg steht, aber das dazugehörige Profil nicht gefunden wurde.Also, in der ProfileList den entsprechenden key (=SID) inkl. aller untergeordneter Keys löschen und dann den user nochmal anmelden lassen.
Moin,
Moin,
Die betroffenen User abmelden, dann die ganzen .bak-Schlüssel löschen und den TS Neustarten.
Das hilft in aller Regel
Gruß
em-pie
Zitat von @Inf1d3l:
Falscher Screenshot oder Registry-Zweig. Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen
Falscher Screenshot oder Registry-Zweig. Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen
Moin,
Die betroffenen User abmelden, dann die ganzen .bak-Schlüssel löschen und den TS Neustarten.
Das hilft in aller Regel
Gruß
em-pie
Vielen Dank für eure Lösungsansätze.
"Also, in der ProfileList den entsprechenden key (=SID) inkl. aller untergeordneter Keys löschen und dann den user nochmal anmelden lassen."
Das habe ich gemacht, dies hatte dann die folge, dass der Benutzer sich gar nicht mehr anmelden konnte. Egal aus Fehlern lernt man
Da das Problem nur mit einigen Benutzern aufgetreten ist, habe ich kurzerhand, neue AD Benutzer angelegt und die Daten der Alt-Benutzer in die neuen Profile migriert. Jetzt funktioniert alles soweit ich das beurteilen kann. Der Benutzer der die Fehler hatte, kann jetzt all das was ich zuvor in der GPO definiert habe. Alles super
"Also, in der ProfileList den entsprechenden key (=SID) inkl. aller untergeordneter Keys löschen und dann den user nochmal anmelden lassen."
Das habe ich gemacht, dies hatte dann die folge, dass der Benutzer sich gar nicht mehr anmelden konnte. Egal aus Fehlern lernt man
Da das Problem nur mit einigen Benutzern aufgetreten ist, habe ich kurzerhand, neue AD Benutzer angelegt und die Daten der Alt-Benutzer in die neuen Profile migriert. Jetzt funktioniert alles soweit ich das beurteilen kann. Der Benutzer der die Fehler hatte, kann jetzt all das was ich zuvor in der GPO definiert habe. Alles super
Update
Zwischenzeitlich hat sich ein erneuter Benutzer gemeldet, der ein ähnliches Problem hat/hatte.
Der Tipp von "Luci0815" hat mich auf den richtigen Weg gebracht "Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen"
Im Registrierungs-Editor (win+r --> regedit) im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\.... habe ich mir den Benutzer rausgesucht und bevor ich diesen verändert habe, habe ich eine Sicherung der Registry durchgeführt. Den Benutzer, habe ich nicht gelöscht, sondern umbenannt indem ich vor seinen Eintrag noch ein Unterstich einfügte.
Unter C:\Users habe ich ebenfalls den Benutzer umbenannt indem ich vor seinen Namen ein Unterstich einfügte.
Zwischenzeitlich hat sich ein erneuter Benutzer gemeldet, der ein ähnliches Problem hat/hatte.
Der Tipp von "Luci0815" hat mich auf den richtigen Weg gebracht "Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen"
Im Registrierungs-Editor (win+r --> regedit) im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\.... habe ich mir den Benutzer rausgesucht und bevor ich diesen verändert habe, habe ich eine Sicherung der Registry durchgeführt. Den Benutzer, habe ich nicht gelöscht, sondern umbenannt indem ich vor seinen Eintrag noch ein Unterstich einfügte.
Unter C:\Users habe ich ebenfalls den Benutzer umbenannt indem ich vor seinen Namen ein Unterstich einfügte.
Sehr geehrte Community,
ich mit der Lösung noch nicht zufrieden.
Wenn ich die Schritte befolge und mich mit dem User am TS anmelde, wird immer noch ein temporäres Profil geladen. An den GPOs liegt es auch nicht, dies kann ich definitiv ausschließen.
Ich habe festgestellt, dass diese Dateien (Screenshot) dafür verantwortlich sind, welche Berechtigungen der Benutzer hat. Entferne ich diese Einträge aus C:\Users\Marvel hat der Benutzer alle Möglichkeiten. Wenn die Dateien wieder ins Profil geladen werden, kann der Benutzer fast nichts.
Ich habe mich mit dem Eingeschränkten Benutzer Angemeldet und via cmd als Admin angemeldet um dort die GPO´s zu aktualisieren via gpupdate /force. Dies hat jedoch nichts gebracht.
Lösche ich die Dateien, kann ich mich mit dem Benutzer anmelden und wie gewohnt arbeiten nur das es ein temporäres Profil ist. Sprich die METRO-Kacheln gehen immer wieder in der ursprünglichen zustand zurück. Der Desktop läuft über eine Ordnerumleitung und wird separat auf einem anderen Server zugegriffen.
Vielleicht kann mir da jemand von euch weiterhelfen. ..
ich mit der Lösung noch nicht zufrieden.
Wenn ich die Schritte befolge und mich mit dem User am TS anmelde, wird immer noch ein temporäres Profil geladen. An den GPOs liegt es auch nicht, dies kann ich definitiv ausschließen.
Ich habe festgestellt, dass diese Dateien (Screenshot) dafür verantwortlich sind, welche Berechtigungen der Benutzer hat. Entferne ich diese Einträge aus C:\Users\Marvel hat der Benutzer alle Möglichkeiten. Wenn die Dateien wieder ins Profil geladen werden, kann der Benutzer fast nichts.
Ich habe mich mit dem Eingeschränkten Benutzer Angemeldet und via cmd als Admin angemeldet um dort die GPO´s zu aktualisieren via gpupdate /force. Dies hat jedoch nichts gebracht.
Lösche ich die Dateien, kann ich mich mit dem Benutzer anmelden und wie gewohnt arbeiten nur das es ein temporäres Profil ist. Sprich die METRO-Kacheln gehen immer wieder in der ursprünglichen zustand zurück. Der Desktop läuft über eine Ordnerumleitung und wird separat auf einem anderen Server zugegriffen.
Vielleicht kann mir da jemand von euch weiterhelfen. ..
