11
Verständnisfrage: GPO Konten nach X Tagen löschen - wie?
Hello
Ich habe jetzt die GPO "Benutzerkonten nach 90 Tagen löschen" aktiviert und die funktioniert nicht.
Frage: Wie werden die 90 Tage gemessen oder geschätzt? 😊
Ich habe Userprofile mit einer Zeitangabe von 2023 die die GPO (die angeblich zieht) überleben. In der allwissenden Müllhalde findet man z.B., daß sich das auf die ntuser.dat bezieht ..... und das AV-Programme und/oder Windowsupdates die Zeit verändern 😒 Kann das jemand bestätigen und wie kann ich das Problem lösen?
lG
Franz
Ich habe jetzt die GPO "Benutzerkonten nach 90 Tagen löschen" aktiviert und die funktioniert nicht.
Frage: Wie werden die 90 Tage gemessen oder geschätzt? 😊
Ich habe Userprofile mit einer Zeitangabe von 2023 die die GPO (die angeblich zieht) überleben. In der allwissenden Müllhalde findet man z.B., daß sich das auf die ntuser.dat bezieht ..... und das AV-Programme und/oder Windowsupdates die Zeit verändern 😒 Kann das jemand bestätigen und wie kann ich das Problem lösen?
lG
Franz
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669646
Url: https://administrator.de/forum/verstaendnisfrage-gpo-konten-nach-x-tagen-loeschen-wie-669646.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
11 Kommentare
Neuester Kommentar
computer-richtlinien-administrative...-system-benutzerprofile
Benutzerprofile, die älter als eine bestimmte Anzahl von Tagen sind, beim Systemneustart löschen
Benutzerprofile, die älter als eine bestimmte Anzahl von Tagen sind, beim Systemneustart löschen
Danke, weiß ich, habe ich 😊 steht im ersten Satz.
Die Frage ist wie diese genau funktioniert (wie die Zeit gemessen wird) bzw wie man eine nicht funktionierende zum Arbeiten bewegt.
Die Frage ist wie diese genau funktioniert (wie die Zeit gemessen wird) bzw wie man eine nicht funktionierende zum Arbeiten bewegt.
Hallo Franz,
bei mir klappt es. Gemessen wird meines Wissens nach dem Zeitstempel. Last Logon.
bei mir klappt es. Gemessen wird meines Wissens nach dem Zeitstempel. Last Logon.
Nein, da steht "Benutzerkonten nach 90 Tagen löschen, und Benutzerkonten sind nun mal keine Profile, ein großer Unterschied!
Gruß catrell
Die Frage ist wie diese genau funktioniert (wie die Zeit gemessen wird) bzw
Properties unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileListwie man eine nicht funktionierende zum Arbeiten bewegt.
- Anmeldeereignisse ins Eventlog loggen lassen und anhand der letzten interaktiven Logins die Profile mittels Skript löschen.
Gruß catrell
2
Hi,
hier paar Links, die weiter helfen könnten...
https://learn.microsoft.com/en-us/troubleshoot/windows-server/group-poli ...
https://learn.microsoft.com/en-us/answers/questions/441800/group-policy- ...
Meist funkt der Windows Update Service dazwischen, der Dateien im User Verzeichnis ändert und den Timer auf 0 stellt. Genaue Ursache / Lösung für dieses spezielle Problem wurde bis dato nach meinem Wissen nicht gelöst. Tritt aber anscheinend nicht bei jedem auf.
Welchen Wert er genau nimmt um zu bestimmen, wann ein User sich das letzte Mal angemeldet hat ist schwierig zu ermitteln. Dafür gibt es zu viele Möglichkeiten, die MS da verwendet hätte können. Vielleicht weiß es aber jemand?
Laut einem Reddit User:
Update your GPO ADMX files. They use LocalProfileUnloadTimeLow and LocalProfileUnloadTimeHigh under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList in the latest versions of the ADMX files. They no longer use the DAT file.
VG
hier paar Links, die weiter helfen könnten...
https://learn.microsoft.com/en-us/troubleshoot/windows-server/group-poli ...
https://learn.microsoft.com/en-us/answers/questions/441800/group-policy- ...
Meist funkt der Windows Update Service dazwischen, der Dateien im User Verzeichnis ändert und den Timer auf 0 stellt. Genaue Ursache / Lösung für dieses spezielle Problem wurde bis dato nach meinem Wissen nicht gelöst. Tritt aber anscheinend nicht bei jedem auf.
Welchen Wert er genau nimmt um zu bestimmen, wann ein User sich das letzte Mal angemeldet hat ist schwierig zu ermitteln. Dafür gibt es zu viele Möglichkeiten, die MS da verwendet hätte können. Vielleicht weiß es aber jemand?
Laut einem Reddit User:
Update your GPO ADMX files. They use LocalProfileUnloadTimeLow and LocalProfileUnloadTimeHigh under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList in the latest versions of the ADMX files. They no longer use the DAT file.
VG
Danke
"LastLogOn" wird doch im AD gespeichert, oder? Wenn der zum Startzeitpunkt kein Netz hat, dann zieht die GPO nicht, wäre eine Erklärung ..... nur ein rsop.msc und auch ein gpresult sagen, daß sie zieht.
Hmmm, die Dinger leben .....
"LastLogOn" wird doch im AD gespeichert, oder? Wenn der zum Startzeitpunkt kein Netz hat, dann zieht die GPO nicht, wäre eine Erklärung ..... nur ein rsop.msc und auch ein gpresult sagen, daß sie zieht.
Hmmm, die Dinger leben .....
Falls im Profil eine Datei liegt welche von einem gestartetem Dienst abhängig ist wäre ein löschen u.U. nicht möglich sollte aber im Eventlog stehen..
Guten Morgen
Sollte eigentlich nicht der Fall sein.
Ich suche zwar noch nach der Ursache, allerdings überlege ich eher auf eine Speicherplatzlimitierung in einer Größenordnung wo die 5 "Gewinner" drüber sind. Dann geht es sich auch aus.
Eine weitere Variante wäre: Diese 5 sind extrem viel größer, ca das Dreifache des 6. platzierten. Es könnte sein, daß diese einen OneDrive Sync haben. Da werde ich mir die OneDrive GPOs genauer anschauen, lokale Ordner beim Abmelden löschen und Dateien nur bei Bedarf herunterladen.
Ist nur so eine Idee, könnte ja sein .....
Sollte eigentlich nicht der Fall sein.
Ich suche zwar noch nach der Ursache, allerdings überlege ich eher auf eine Speicherplatzlimitierung in einer Größenordnung wo die 5 "Gewinner" drüber sind. Dann geht es sich auch aus.
Eine weitere Variante wäre: Diese 5 sind extrem viel größer, ca das Dreifache des 6. platzierten. Es könnte sein, daß diese einen OneDrive Sync haben. Da werde ich mir die OneDrive GPOs genauer anschauen, lokale Ordner beim Abmelden löschen und Dateien nur bei Bedarf herunterladen.
Ist nur so eine Idee, könnte ja sein .....
Hello
Es ist einer der Registryeinträge, nur ich weiß (noch) nicht welcher. Es könnte aber auch die Kombination von allen sein, wenn ich sie auf z.B. 1000 setze, dann ist das Profil weg.
Wie wird die Zeit berechnet? Irgendeinen Tip?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Es ist einer der Registryeinträge, nur ich weiß (noch) nicht welcher. Es könnte aber auch die Kombination von allen sein, wenn ich sie auf z.B. 1000 setze, dann ist das Profil weg.
Wie wird die Zeit berechnet? Irgendeinen Tip?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Wie wird die Zeit berechnet?
LocalProfileLoadTimeHigh in Hex(8)LocalProfileLoadTimeLow in Hex(8)
Powershell
[datetime]::FromFileTime(0x01db40cf08fcbe51)
Same principle for UnloadTime ...
Zum generieren der Hex Werte aus einem bestimmten Datum bspw, 90 Tage vor Heute
[datetime]::Today.AddDays(-90).ToFileTime().toString('X').padleft(16,'0') -replace '^(.{8})(.{8})$',"LocalProfileLoadTimeHigh: `$1`r`nLocalProfileLoadTimeLow: `$2"
Danke und ein zweites danke
