Terminalserver - temporäres Profil

Mitglied: Zeppelin

Zeppelin (Level 1) - Jetzt verbinden

07.01.2021, aktualisiert 18.01.2021, 469 Aufrufe, 11 Kommentare, 1 Danke

Sehr geehrte Community,

unsere Arbeitsplätze sind so eingerichtet, dass wenn sich ein Benutzer mit seinen Zugangsdaten an unserer Domain anmeldet, dass das gesamte Profil über das Netzwerk gezogen wird. Dies hat den Vorteil, dass sich jeder Benutzer an einen beliebigen Arbeitsplatz setzen und sofort arbeiten kann.

Jetzt habe ich einen Terminalserver (TS) im Einsatz. Nach dem ich dem Benutzer die entsprechenden Berechtigungen vergeben habe, um auf dem TS arbeiten zu können, kann der Benutzer sich via VPN und RDP mit seinem Profil verbinden. Das funktioniert auch soweit ganz gut.

Es gibt aber auch Benutzer bei den es nicht gut läuft. Ich habe mir einen Benutzer gesucht bei dem es nicht funktioniert und einen Benutzer bei dem es funktioniert um diese miteinander zu vergleichen.

Beim Benutzer bei dem es nicht funktioniert passiert folgendes - dass gesamte Profil wird lokal auf dem TS abgelegt und dieser Benutzer hat extrem eingeschränkte benutzerrechte obwohl dieser eigentlich alles darf. Die GPOs hierzu erlauben sehr viel. Trotzdem kann der Benutzer gewisse Aktionen wie z.B. das Kontextmenü (rechtsklick) öffnen oder andere Anwendungen starten, die nicht auf dem Desktop liegen.

Wenn ich das lokale Profil vom TS entferne und sich der Benutzer erneut am TS anmeldet, dann wird ein temporäres Profil geladen und der Benutzer kann alles. Das Problem an dieser Stelle, es handelt sich um ein temporäres Profil, alle Profileinstellungen sind nach dem erneuten Anmelden weg.

Bei dem Benutzer, bei dem alles funktioniert gibt es diese Probleme nicht.

Ich habe mir mit beiden Profilen ein report (gpresult.htm) ausgegeben und diesen mit dem anderen report verglichen und konnte keine Abweichung feststellen.

Vielleicht hat jemand noch ein paar Tipps für mich.
Mitglied: SlainteMhath
07.01.2021 um 14:30 Uhr
Moin,

wenn das Profil nicht geladen/erstellt werden kann, steht dazu idR was im Eventlog. Dort schonmal geguckt was Sache ist?

lg,
Slainte
Bitte warten ..
Mitglied: Luci0815
07.01.2021 um 14:33 Uhr
Wie hast du das Profil entfernt? Seit Vista muss man das Profil über die Systemsteuerung entfernen, sonst bleibt eine Leiche mit SID in der Registry, die verhindert, dass ein neues Profil erstellt wird.
Bitte warten ..
Mitglied: Zeppelin
07.01.2021, aktualisiert um 15:00 Uhr
Hallo Luci0815,
ich habe mich als Administrator am TS angemeldet und habe dort das Benutzerprofil gelöscht C:\Users\MaryPoppins

Die SID, welche sich in der Registry befindet: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

07-01-_2021_14-57-40 - Klicke auf das Bild, um es zu vergrößern

Mehr steht dort nicht drin.
Bitte warten ..
Mitglied: Zeppelin
07.01.2021 um 15:11 Uhr
Hallo Slainte,

im Eventlog steht täglich etwas. Davon werde ich aber auch nicht schlau draus.


Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-XXX) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
und der APPID
{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.



Dieses Benutzerprofil wurde gesichert. Bei der nächsten Anmeldung dieses Benutzers wird automatisch versucht, dieses gesicherte Profil zu verwenden.


Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.


Die clientseitige Erweiterung "Group Policy Drive Maps" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen.
Bitte warten ..
Mitglied: Zeppelin
07.01.2021 um 15:19 Uhr
Microsoft schreibt dazu folgendes:

Link Ereignis 10016

In der Problembeschreibung von MS steht wörtlich Zitat: "Diese Ereignisse können sicher ignoriert werden, da Sie sich nicht nachteilig auf die Funktionalität auswirken und beabsichtigt sind. Dies ist die empfohlene Aktion für diese Ereignisse." Wenn das ignoriert werden kann, warum macht man sich die Mühe solch eine Fehlermeldung zu produzieren hm...
Bitte warten ..
Mitglied: Luci0815
07.01.2021, aktualisiert um 16:09 Uhr
Falscher Screenshot oder Registry-Zweig. Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen :-) face-smile
image_thumb13 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: SlainteMhath
07.01.2021 um 16:43 Uhr
Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.
Das bedeutet, das der User noch in der ProfileList in der Reg steht, aber das dazugehörige Profil nicht gefunden wurde.

Also, in der ProfileList den entsprechenden key (=SID) inkl. aller untergeordneter Keys löschen und dann den user nochmal anmelden lassen.
Bitte warten ..
Mitglied: em-pie
07.01.2021 um 20:17 Uhr
Moin,


Zitat von Luci0815:

Falscher Screenshot oder Registry-Zweig. Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen :-) face-smile

Moin,

Die betroffenen User abmelden, dann die ganzen .bak-Schlüssel löschen und den TS Neustarten.
Das hilft in aller Regel


Gruß
em-pie
Bitte warten ..
Mitglied: Zeppelin
08.01.2021 um 09:37 Uhr
Vielen Dank für eure Lösungsansätze.

"Also, in der ProfileList den entsprechenden key (=SID) inkl. aller untergeordneter Keys löschen und dann den user nochmal anmelden lassen."
Das habe ich gemacht, dies hatte dann die folge, dass der Benutzer sich gar nicht mehr anmelden konnte. Egal aus Fehlern lernt man :) face-smile

Da das Problem nur mit einigen Benutzern aufgetreten ist, habe ich kurzerhand, neue AD Benutzer angelegt und die Daten der Alt-Benutzer in die neuen Profile migriert. Jetzt funktioniert alles soweit ich das beurteilen kann. Der Benutzer der die Fehler hatte, kann jetzt all das was ich zuvor in der GPO definiert habe. Alles super :) face-smile
Bitte warten ..
Mitglied: Zeppelin
15.01.2021 um 15:14 Uhr
Update

Zwischenzeitlich hat sich ein erneuter Benutzer gemeldet, der ein ähnliches Problem hat/hatte.

Der Tipp von "Luci0815" hat mich auf den richtigen Weg gebracht "Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen"

Im Registrierungs-Editor (win+r --> regedit) im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\.... habe ich mir den Benutzer rausgesucht und bevor ich diesen verändert habe, habe ich eine Sicherung der Registry durchgeführt. Den Benutzer, habe ich nicht gelöscht, sondern umbenannt indem ich vor seinen Eintrag noch ein Unterstich einfügte.

Unter C:\Users habe ich ebenfalls den Benutzer umbenannt indem ich vor seinen Namen ein Unterstich einfügte.
Bitte warten ..
Mitglied: Zeppelin
15.01.2021, aktualisiert 18.01.2021
Sehr geehrte Community,

ich mit der Lösung noch nicht zufrieden.

Wenn ich die Schritte befolge und mich mit dem User am TS anmelde, wird immer noch ein temporäres Profil geladen. An den GPOs liegt es auch nicht, dies kann ich definitiv ausschließen.

Ich habe festgestellt, dass diese Dateien (Screenshot) dafür verantwortlich sind, welche Berechtigungen der Benutzer hat. Entferne ich diese Einträge aus C:\Users\Marvel hat der Benutzer alle Möglichkeiten. Wenn die Dateien wieder ins Profil geladen werden, kann der Benutzer fast nichts.

regeln - Klicke auf das Bild, um es zu vergrößern
https://administrator.de/images/c/1/6/a7de5ae6ac274378aca6bc36845053a6.j ...

Ich habe mich mit dem Eingeschränkten Benutzer Angemeldet und via cmd als Admin angemeldet um dort die GPO´s zu aktualisieren via gpupdate /force. Dies hat jedoch nichts gebracht.

Lösche ich die Dateien, kann ich mich mit dem Benutzer anmelden und wie gewohnt arbeiten nur das es ein temporäres Profil ist. Sprich die METRO-Kacheln gehen immer wieder in der ursprünglichen zustand zurück. Der Desktop läuft über eine Ordnerumleitung und wird separat auf einem anderen Server zugegriffen.

Vielleicht kann mir da jemand von euch weiterhelfen. ..
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft HILFE!!!!
gelöst tAmtAm44Vor 17 StundenFrageWindows Server26 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 1 TagFrageNetzwerke17 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

DNS
Domain überkleben
IT-EinsteigerVor 1 TagFrageDNS3 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 1 TagFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

Datenschutz
Ist Microsoft Office 365 grds. nicht DSGVO-konform?
imebroVor 19 StundenFrageDatenschutz28 Kommentare

Hallo, in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe. Da ...

Groupware
Anfängerfrage zu Teams, wie kann ich mit einer externen Person chatten?
StefanKittelVor 1 TagFrageGroupware7 Kommentare

Hallo, ich habe mal eine Anfängerfrage zur MS Teams. Ich habe einen M365 Business Basic Account mit meiner Domäne. Ich habe einen User mit ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 1 TagFrageWindows 1014 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 1 TagFrageSAN, NAS, DAS14 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...