zeppelin
Goto Top

Terminalserver - temporäres Profil

Sehr geehrte Community,

unsere Arbeitsplätze sind so eingerichtet, dass wenn sich ein Benutzer mit seinen Zugangsdaten an unserer Domain anmeldet, dass das gesamte Profil über das Netzwerk gezogen wird. Dies hat den Vorteil, dass sich jeder Benutzer an einen beliebigen Arbeitsplatz setzen und sofort arbeiten kann.

Jetzt habe ich einen Terminalserver (TS) im Einsatz. Nach dem ich dem Benutzer die entsprechenden Berechtigungen vergeben habe, um auf dem TS arbeiten zu können, kann der Benutzer sich via VPN und RDP mit seinem Profil verbinden. Das funktioniert auch soweit ganz gut.

Es gibt aber auch Benutzer bei den es nicht gut läuft. Ich habe mir einen Benutzer gesucht bei dem es nicht funktioniert und einen Benutzer bei dem es funktioniert um diese miteinander zu vergleichen.

Beim Benutzer bei dem es nicht funktioniert passiert folgendes - dass gesamte Profil wird lokal auf dem TS abgelegt und dieser Benutzer hat extrem eingeschränkte benutzerrechte obwohl dieser eigentlich alles darf. Die GPOs hierzu erlauben sehr viel. Trotzdem kann der Benutzer gewisse Aktionen wie z.B. das Kontextmenü (rechtsklick) öffnen oder andere Anwendungen starten, die nicht auf dem Desktop liegen.

Wenn ich das lokale Profil vom TS entferne und sich der Benutzer erneut am TS anmeldet, dann wird ein temporäres Profil geladen und der Benutzer kann alles. Das Problem an dieser Stelle, es handelt sich um ein temporäres Profil, alle Profileinstellungen sind nach dem erneuten Anmelden weg.

Bei dem Benutzer, bei dem alles funktioniert gibt es diese Probleme nicht.

Ich habe mir mit beiden Profilen ein report (gpresult.htm) ausgegeben und diesen mit dem anderen report verglichen und konnte keine Abweichung feststellen.

Vielleicht hat jemand noch ein paar Tipps für mich.

Content-ID: 638582

Url: https://administrator.de/forum/terminalserver-temporaeres-profil-638582.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

SlainteMhath
SlainteMhath 07.01.2021 um 14:30:15 Uhr
Goto Top
Moin,

wenn das Profil nicht geladen/erstellt werden kann, steht dazu idR was im Eventlog. Dort schonmal geguckt was Sache ist?

lg,
Slainte
Inf1d3l
Inf1d3l 07.01.2021 um 14:33:57 Uhr
Goto Top
Wie hast du das Profil entfernt? Seit Vista muss man das Profil über die Systemsteuerung entfernen, sonst bleibt eine Leiche mit SID in der Registry, die verhindert, dass ein neues Profil erstellt wird.
Zeppelin
Zeppelin 07.01.2021 aktualisiert um 15:00:01 Uhr
Goto Top
Hallo Luci0815,
ich habe mich als Administrator am TS angemeldet und habe dort das Benutzerprofil gelöscht C:\Users\MaryPoppins

Die SID, welche sich in der Registry befindet: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

07-01-_2021_14-57-40

Mehr steht dort nicht drin.
Zeppelin
Zeppelin 07.01.2021 um 15:11:18 Uhr
Goto Top
Hallo Slainte,

im Eventlog steht täglich etwas. Davon werde ich aber auch nicht schlau draus.


Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-XXX) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
und der APPID
{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.



Dieses Benutzerprofil wurde gesichert. Bei der nächsten Anmeldung dieses Benutzers wird automatisch versucht, dieses gesicherte Profil zu verwenden.


Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.


Die clientseitige Erweiterung "Group Policy Drive Maps" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen.
Zeppelin
Zeppelin 07.01.2021 um 15:19:27 Uhr
Goto Top
Microsoft schreibt dazu folgendes:

Link Ereignis 10016

In der Problembeschreibung von MS steht wörtlich Zitat: "Diese Ereignisse können sicher ignoriert werden, da Sie sich nicht nachteilig auf die Funktionalität auswirken und beabsichtigt sind. Dies ist die empfohlene Aktion für diese Ereignisse." Wenn das ignoriert werden kann, warum macht man sich die Mühe solch eine Fehlermeldung zu produzieren hm...
Inf1d3l
Inf1d3l 07.01.2021 aktualisiert um 16:09:40 Uhr
Goto Top
Falscher Screenshot oder Registry-Zweig. Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen face-smile
image_thumb13
SlainteMhath
SlainteMhath 07.01.2021 um 16:43:59 Uhr
Goto Top
Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.
Das bedeutet, das der User noch in der ProfileList in der Reg steht, aber das dazugehörige Profil nicht gefunden wurde.

Also, in der ProfileList den entsprechenden key (=SID) inkl. aller untergeordneter Keys löschen und dann den user nochmal anmelden lassen.
em-pie
em-pie 07.01.2021 um 20:17:13 Uhr
Goto Top
Moin,


Zitat von @Inf1d3l:

Falscher Screenshot oder Registry-Zweig. Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen face-smile

Moin,

Die betroffenen User abmelden, dann die ganzen .bak-Schlüssel löschen und den TS Neustarten.
Das hilft in aller Regel


Gruß
em-pie
Zeppelin
Zeppelin 08.01.2021 um 09:37:29 Uhr
Goto Top
Vielen Dank für eure Lösungsansätze.

"Also, in der ProfileList den entsprechenden key (=SID) inkl. aller untergeordneter Keys löschen und dann den user nochmal anmelden lassen."
Das habe ich gemacht, dies hatte dann die folge, dass der Benutzer sich gar nicht mehr anmelden konnte. Egal aus Fehlern lernt man face-smile

Da das Problem nur mit einigen Benutzern aufgetreten ist, habe ich kurzerhand, neue AD Benutzer angelegt und die Daten der Alt-Benutzer in die neuen Profile migriert. Jetzt funktioniert alles soweit ich das beurteilen kann. Der Benutzer der die Fehler hatte, kann jetzt all das was ich zuvor in der GPO definiert habe. Alles super face-smile
Zeppelin
Zeppelin 15.01.2021 um 15:14:57 Uhr
Goto Top
Update

Zwischenzeitlich hat sich ein erneuter Benutzer gemeldet, der ein ähnliches Problem hat/hatte.

Der Tipp von "Luci0815" hat mich auf den richtigen Weg gebracht "Die SID-Leiche löschen und Profile nur noch über die Systemsteuerung entfernen"

Im Registrierungs-Editor (win+r --> regedit) im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\.... habe ich mir den Benutzer rausgesucht und bevor ich diesen verändert habe, habe ich eine Sicherung der Registry durchgeführt. Den Benutzer, habe ich nicht gelöscht, sondern umbenannt indem ich vor seinen Eintrag noch ein Unterstich einfügte.

Unter C:\Users habe ich ebenfalls den Benutzer umbenannt indem ich vor seinen Namen ein Unterstich einfügte.
Zeppelin
Zeppelin 15.01.2021, aktualisiert am 21.04.2022 um 16:20:35 Uhr
Goto Top
Sehr geehrte Community,

ich mit der Lösung noch nicht zufrieden.

Wenn ich die Schritte befolge und mich mit dem User am TS anmelde, wird immer noch ein temporäres Profil geladen. An den GPOs liegt es auch nicht, dies kann ich definitiv ausschließen.

Ich habe festgestellt, dass diese Dateien (Screenshot) dafür verantwortlich sind, welche Berechtigungen der Benutzer hat. Entferne ich diese Einträge aus C:\Users\Marvel hat der Benutzer alle Möglichkeiten. Wenn die Dateien wieder ins Profil geladen werden, kann der Benutzer fast nichts.

regeln

Ich habe mich mit dem Eingeschränkten Benutzer Angemeldet und via cmd als Admin angemeldet um dort die GPO´s zu aktualisieren via gpupdate /force. Dies hat jedoch nichts gebracht.

Lösche ich die Dateien, kann ich mich mit dem Benutzer anmelden und wie gewohnt arbeiten nur das es ein temporäres Profil ist. Sprich die METRO-Kacheln gehen immer wieder in der ursprünglichen zustand zurück. Der Desktop läuft über eine Ordnerumleitung und wird separat auf einem anderen Server zugegriffen.

Vielleicht kann mir da jemand von euch weiterhelfen. ..