tobivan
Goto Top

Verzeichnis Users läuft voll mit Anmeldenamen

Hallo,
wenn ich auf den Windows 7 Clients unter C:\Users nachschaue, werden die zuletzt angemeldeten User immer mehr. Gleiche User werden mit z.B. Vorname.Name.001 .002 .003 usw. angelegt.
Alle Profile sind als roaming profiles angelegt.
Ist das so in Ordnung und nur ein Schönheitsfehler?
Danke für Hinweise.

Content-ID: 287037

Url: https://administrator.de/contentid/287037

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

Pjordorf
Pjordorf 29.10.2015 um 14:44:39 Uhr
Goto Top
Hallo,

Zitat von @tobivan:
Vorname.Name.001 .002 .003 usw. angelegt.
Ein hochzählen der Profilordner (Benutzer) zeigt eindeutig das mit deinen Lokalen Profilen (Registrierung / Dateisystem (Rechte) etwas nicht stimmt.

Alle Profile sind als roaming profiles angelegt.
Ob das die einzige Ursache ist? Aber auch hiermit scheint es bei dir Probleme zu geben.

Wenn ein Benutzerprofil beim Anmelden neu erstellt wird und ein altes gibt es schon wird nicht nur ein weiteres neues erstellt mit xxxx.xxxx.laufendenummer sondern zeigt das die Registrierung oder die Dateien Manipuliert sind oder Rechte Fehlen oder sonst was falsch ist.
Wie ist der genau Name der Ordner - Domänenbenutzer oder Lokaler Benutzer?
Was ist wenn du den Benutzer nicht als Servergespeichertes Profil nutzt - wird dann auch immer wieder ein neuer Ordner angelegt?
Wurde an den Lokalen Ordner / Registrierung rumgespielt?

Ist das so in Ordnung
Nein

und nur ein Schönheitsfehler?
Nein

Gruß,
Peter
Emptyman
Emptyman 29.10.2015 um 14:50:49 Uhr
Goto Top
Hallo,

das ist ein altbekanntes Problem mit den roaming profiles, welches MS sicher nie richtig in den Griff bekommt.
In den GPO´s kannst du einstellen das die lokalen Profile nach der Abmeldung gelöscht werden sollen. Das solltest du nachholen, falls noch nicht geschehen. Dennoch, so zumindest bei mir auf einer Terminalserverfarm unter 2008R2 und 2012R2, bleiben viele Profile liegen.
Es gibt weitere Einstellungen die man via GPO setzen kann, aber bei mir hat nichts gefruchtet.

Ich haben meinen Terminalservern nun via GPO ein logon script mitgegeben, dass alle alten Profile beim Starten der VM löscht.
Damit fahre ich sehr gut und habe seither keine Probleme mehr.

Gruß
Pjordorf
Pjordorf 29.10.2015 um 15:01:09 Uhr
Goto Top
Hallo,

Zitat von @Emptyman:
das ist ein altbekanntes Problem
Kann ich nicht bestätigen.

In den GPO´s kannst du einstellen das die lokalen Profile nach der Abmeldung gelöscht werden sollen
Macht das aber immer sinn? Und von einer TS Farm (da macht es evtl. sinn) ist hier keine rede, nur von ein Domänenclient mit sein W7

Gruß,
Peter
Emptyman
Emptyman 29.10.2015 um 15:07:42 Uhr
Goto Top
Okay, dann bist du einer von vielen (die ich kenne) dir dort noch keine Probleme hatten.

Auf einer TS Farm, wie du schon sagtest, ist es in meinen Augen unumgänglich. Denn andernfalls hast du zweierlei Probleme. A) wir unnötig Storage des Servers beansprucht (je nach Menge der User kann das schon recht beachtlich sein) und B) gibt es Probleme beim laden der Profiles. Mag sein, dass das nicht bei jedem so ist, bei mir war es das, ehe ich diese nur löschen lasse.

Ich bin der Meinung, dass das immer Sinn macht diese zu löschen. Aber das muss jeder für sich entscheiden.

Er frage, er bekam eine adequate Antwort. face-wink

Gruß
Pjordorf
Pjordorf 29.10.2015 um 15:40:36 Uhr
Goto Top
Hallo,

Zitat von @Emptyman:
dort noch keine Probleme hatten.
Natürlich hatte auch ich mit Problemen bei Roaming Profiles zu kämpfen, aber die waren entweder hausgemacht oder durch rumspielen oder sei es nur durch ein "Ich will aber iTunes" face-smile oder der versuch mal eben schnell ein Profil....

das immer Sinn macht diese zu löschen
Aber nicht auf einen Lokalen Domänenclient wo Benutzer den Rechner täglich nutzen. face-smile

Aber das muss jeder für sich entscheiden.
Si.

Und durch Löschen der Profile wird aber nicht die Ursache der Probleme behoben. Nur verschleiert.

Gruß,
Peter
tobivan
tobivan 29.10.2015 um 17:19:30 Uhr
Goto Top
Danke, interessante Antworten. Ich würde jetzt zunächst einmal die temporären Profile per GPO löschen lassen:
Computerkonfiguration - Adm. Vorlagen - System - Benutzerprofile - "Zwischengespeicherte Kopien von
servergespeicherten Profilen löschen" (richtig so?)

Die beschriebenen Ordner werden exakt nach dem Muster angelegt, wie sie auch als Benutzer eingetragen sind:
Vorname.Nachname
Vorname.Nachname.000
Vorname.Nachname.001
Vorname.Nachname.002
Vorname.Nachname.003
usw.

An der Registrierung habe ich nicht händisch rumgemacht, vor einiger Zeit habe ich was nachgeschaut wegen einem WSUS-update Problem.
Pjordorf
Pjordorf 29.10.2015 um 17:51:16 Uhr
Goto Top
Hallo,

Zitat von @tobivan:
Danke, interessante Antworten. Ich würde jetzt zunächst einmal die temporären Profile per GPO löschen lassen:
Diese Temporäre Profile sind nicht normal, daher gibt es auch keine GPO diese zu löschen. Die existieren weil beim anmelden etwas gehörig schief läuft (auf den Client - oder innerhalb der Profildateien auf den Speicherpfad).

"Zwischengespeicherte Kopien von servergespeicherten Profilen löschen" (richtig so?)
Zwischengespeichert bedeutet nicht temporär.

Die beschriebenen Ordner werden exakt nach dem Muster angelegt, wie sie auch als Benutzer eingetragen sind:
Am Client als lokaler Admin und nicht als der betroffener Benutzer direkt nach den hochfahren anmelden
Dort den vom betroffenen Benutzer korrekt das Lokale "Zwischengespeicherte" Profil entfernen. Nicht Händisch nur den Ordner.
Nachdem vom betroffenen Domänenbenutzer kein Profil mehr in Systemsteuerung - System - Erweiterte Systemeinstellung - Benutzerprofile - Einstellungen dort nichts mehr steht kannst du dran gehen alle Benutzerordner vom betroffenen Domänenbenutzer zu löschen. Notfalls Besitz übernehmen usw.
In der Registrierung prüfen das sein Profileinstellungen tatsächlich vom betroffenen Domänenbenutzer weg sind unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" und sein Name.....

Rechner neu starten

Am Rechner als der Domänenbenutzer anmelden. Sein Profil wird neu angelegt da ja ein Server gespeichertes.

Wenn jetzt der Hinweis am Client auf Fehler beim Anlegen .... Temporäres Benutzerprofil kommt liegt es an den NTFS Rechten in C:\Users oder das vorhandene Server gespeicherte Profil (Auf den Server selbst) ist entweder beschädigt oder auch dort passen die NTFS Rechte nicht.

Ein Benutzerprofil Reparieren ist nicht - neu Erstellen ist angesagt.
Teste es vorher mit einen anderen Benutzer wo dessen Server gespeichertes Profile sauber läuft.

Und ja, im Ereignisprotokoll und langes suchen in Logs kannst du hinweise darauf erhalten was wo los ist. Einfach ist es tatsächlich nicht - da ist das neue anlegen des Profils einfacher.

Neu anlegen eines Profils ist nicht das neu Anlegen des Benutzers in der Domäne.

Oftmals reicht schon das rumspielen in den Dateien vom Gespeicherten Profil (Auch Datensicherungssoftware kann da) auf den Server Speicherort böse Überraschungen bieten. Server gespeicherte Profile sind empfindlich, aber laufen.

https://en.wikipedia.org/wiki/Roaming_user_profile
https://msdn.microsoft.com/de-de/library/cc757013(v=ws.10).aspx
https://wiki.samba.org/index.php/Implementing_roaming_profiles
http://thesolving.com/server-room/how-to-enable-roaming-profiles-on-win ...
https://technet.microsoft.com/de-de/library/jj649079.aspx
http://www.grouppolicy.biz/2010/08/best-practice-roaming-profiles-and-f ...

Gruß,
Peter
tobivan
tobivan 29.10.2015 um 19:56:07 Uhr
Goto Top
Danke für die ausführliche Anleitung. Ich mache mich morgen an dir Arbeit und berichte wieder.
Sesselfurzer
Sesselfurzer 30.10.2015 um 10:53:41 Uhr
Goto Top
Ich habe mit dem Problem öfters zu tun. Mehrere Möglichkeiten.

Das Rückspeichern auf den Profilserver dauert zu lang, oder ist zu groß. Win7 läuft in den TimeOut und kommt nicht zum Löschen.

Normalerweise ist festgelegt, wie groß ein temporäres Profil sein darf. Wurde das zu groß?
Dateien auf dem Desktop / Papierkorb

Manche User installieren "Bastelprogramme", die Daten statt über die Variablennamen direkt ins Profil speichern?

MS-Vorgabe, welche Pfade nicht zurückgeschrieben werden müssen, lassen sich vielleicht ergänzen? : wenn die Rückspeicherzeit bzw. Größe nicht reicht?
[HKEY_USERS\S-1-5-21-xxxxxxxxxxxxxxxxxxxxxxxxxx\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ExcludeProfileDirs"="AppData\\Local;AppData\\LocalLow;$Recycle.Bin"

Irgendein Dienst beendet nicht, Windows Timeout, bevor das zurückspeichern beendet ist?

Schreibrechte des Users auf dem Profilserver?

Gruß Sesselfurzer
Pjordorf
Pjordorf 30.10.2015 um 11:28:42 Uhr
Goto Top
Hallo,

Zitat von @Sesselfurzer:
Das Rückspeichern auf den Profilserver dauert zu lang, oder ist zu groß. Win7 läuft in den TimeOut und kommt nicht zum Löschen.
Ein neues Profil wird aber beim Anmelden auf der Lokalen platte angelegt - und da es nicht das zum Domänenbenutzer gehörende Reguläres Profil ist wird ein sogenanntes temporäres Profil seitens des OS 7 erzeugt. Ein temporäres Profil wird weder nochmals verwendet noch wird es automatisch gelöscht noch wird es auf den Serverspeicherpfad zurückgeschrieben. Ich kann natürlich noch daraus Daten ziehen wenn nötig (als Admin oder Besitzer)

Normalerweise ist festgelegt, wie groß ein temporäres Profil sein darf. Wurde das zu groß?
Streich das Wort temporär dann passts

"ExcludeProfileDirs"="AppData\\Local;AppData\\LocalLow;$Recycle.Bin"
Im Profilpfad in der NTUsers.ini ebenfalls zu finden bzw. zu ergänzen.

Irgendein Dienst beendet nicht, Windows Timeout, bevor das zurückspeichern beendet ist?
Ein temporäres Profil wird nicht zurückgeschrieben (zurückgespeichert - ergo kein timeout). Da muss wenn dann im Ursprünglichen Profil welches aber nicht vom W7 Client mehr geladen wird etwas passiert sein warum es nicht mehr geladen wird. Vermutlich am Datum vom Ordner vorname.nachname.000

Gruß,
Peter
Emptyman
Emptyman 02.11.2015 um 10:01:41 Uhr
Goto Top
Hallo Peter,

ich stimme dir nur Teils zu. Ich verschleiere sicher nichts sondern nutze eine Workaround, der bei mir die Probleme behoben hat.

Wenn der Client immer mehr Profile eines Users aufweist (user.xyz.001....usw.) dann ist das kein Fehler, sondern ein normales Verhalten. Das erste angelegte Profile befindet sich ja weiterhin auf dem Client, wenn es nicht anders eingerichtet wurde. Bei der nächsten Anmeldung wird dann entsprechend ein neues Verzeichnis mit fortlaufender Nummer angelegt. Dies passiert dann so lange, bis kein Storage mehr zur Verfügung steht!
Solange er in der GPO nichts anderes einstellt, wird dies auch immer so weitergehen....
In den GPO´s gibt es zahlreiche Einstellungen für roaming profiles, unter anderem auch eine, wie Sesselfurzer bereits ansprach, was passieren soll, wenn das zurückschreiben länger dauert. Sicher, bei temp Profilen natürlich nicht. Versteht sich von selbst.

Meine Erfahrung zeigte, dass die Einstellung der GPO nicht immer sauber zeihen und daher die Profilverzeichnisse lokal auf den Clients verbleiben. Diese lösche ich nun, wie bereits gesagt via Script.

Und es macht definitiv auch Sinn, dies auf einem Win7 Client zu machen. Schließlich nutzt er auch dort ein roaming Profile...

Besten Gruß
Pjordorf
Pjordorf 02.11.2015 aktualisiert um 13:05:16 Uhr
Goto Top
Hallo,

Zitat von @Emptyman:
ich stimme dir nur Teils zu.
Kein Problem.

Ich verschleiere sicher nichts sondern nutze eine Workaround, der bei mir die Probleme behoben hat.
Nein, das Problem ist nicht behoben, nur die dir sichtbare Auswirkung wird entfernt. das war mit verschleiern gemeint. Das Problem ist nach wie vor da.

Wenn der Client immer mehr Profile eines Users aufweist (user.xyz.001....usw.) dann ist das kein Fehler
Das ist Blödsinn, mit Verlaub.

sondern ein normales Verhalten.
Dann sollten sich also bei Millionen Rechner welche sich in einer Domäne befinden und der Domänenbenutzer sich mindestens 2 mal angemeldet hat, mindestens 2 Benutzerordner, wobei einer mit einer Zahlenkombination behaftet ist, befinden, bei einen Domänenbenutzer der sich im Jahr 220 mal anmeldet und dessen Rechner 3 Jahre läuft wäre der Zähler so um die 0660. Deine Logik ist komplett daneben. So hat es MS nicht geplant und auch nicht gebaut.

Der sinn von Roaming Profiles ist doch das ein Domänenbenutzer immer seine vertraute Umgebung wiederfindet, egal auf welchen Rechner. Daher macht das Speichern der geänderten Einstellungen sehr wohl sinn. Und das diese dann wieder geladen werden beim Anmelden an einen Rechner (egal, ob der gleiche oder ein anderer Rechner). Ob jetzt ein auf den Lokalen Rechner liegendes Benutzer Verzeichnis (Profilordner) erhalten bleiben soll oder nach den Abmelden gelöscht werden soll ist eher Kosmetischer Natur und nur eine Frage der Plattenkapazitäten geschuldet oder damit eben ein anderer Nutzer nicht doch schnüffeln kann. Und wenn alles richtig läuft haben meine Domänenbenutzerordner nur jeweils ein Ordner auf die verwendeten Rechner, egal wie oft sich jemand dort anmeldet. Das ist der Standard und so ist es gewollt und funktioniert auch so. Alles andere ist ein Fehler und daran zu erkennen das ein Domänenbenutzer mit ein jedes mal neues Temporäres Profil angemeldet wird, was aber weder auf das alten Benutzerprofil beruht (Default Profile wird dann immer gezogen) und dessen Änderung nicht zurück gespeichert werden. Nein, ein Mandatory Profile ist es auch nicht.

Und wenn die Temporären Profilordner nicht gelöscht werden, zählt jede Anmeldung dann einfach eins weiter hoch. Spätestens nach 10000 Anmeldungen kommt der Gau.

Und beim Anmelden wird dem Domänenbenutzer dieses Fehlverhalten durch eine Einblendung "das Profil konnte nicht...." angezeigt , Im Ereignisprotokoll verewigt, und nach dem Abmelden werden temporäre Benutzer Profilordner nicht gelöscht nötigenfalls dort noch Daten heraus zu holen. Dem Admin dann auch ein sicheres Zeichen das hier ein grobes Problem vorliegt.

Beim Abmelden eines Domänenbenutzer welcher Roaming Profiles nutzt kann es höchsten passieren das seine Daten nur teilweise oder gar nicht zurück kopiert wurden, sei es weil zeitüberlauf (timeout), LAN / WAN Probleme usw. Das muss nicht zwingend zu einer Fehlermeldung oder Eintrag im Ereignisprotokoll führen. Beim erneuten Anmelden werden dann halt die alten Daten ohne dessen Änderungen wieder geladen, und wenn Formal alles korrekt, gibt es noch nicht mal eine Fehlermeldung.

Auf den Serverspeicherpfad für Roaming Profiles wird der die variable "UserName" herangezogen. Auf den lokalen Rechner ist es die Domänenbenutzer SID welche darüber entscheidet wo der Benutzerprofilordner angelegt bzw. genutzt wird.

Ein Benutzerprofilordner ala Name.zahl ist immer ein ungewolltes Temporäres Benutzerprofil, egal was die gründe hierfür sind. Meistens immer wegen geänderte Rechte (NTFS und Freigabe) sei es Lokal oder auf den Serverspeicherpfad.

Zurückkommend zum Fehlerbild vom TO, dort ist es eindeutig ein Fehler. Wodurch ist jetzt die frage die es zu klären gilt. Das löschen der temporären Benutzerprofilordner löst nicht die Probleme, sondern verschleiert das dort Probleme existieren. Außerdem kann so ein Domänenbenutzer niemals etwas innerhalb seines Roaming Profiles ändern, egal ob Bildschim Farbe oder was auch immer, weil es wird weder zurück kopiert (Auf den Server) noch wird es geladen weil eben immer das Default Profil vom lokalen Rechner verwendet wird um ein temporäres Profil zu erstellen. Fehlerquellen sind vielfältig.

Das erste angelegte Profile befindet sich ja weiterhin auf dem Client
Welches aber nicht mehr verwendet wird. Das ist einfach Toter Speicherplatz ohne zweck.

Bei der nächsten Anmeldung wird dann entsprechend ein neues Verzeichnis mit fortlaufender Nummer angelegt.
Auf Grundlage des Default Profiles auf den lokalen Rechner, damit eben irgendwie im Notfall was getan (arbeiten) werden kann. Arbeiten ist was anderes.

Solange er in der GPO nichts anderes einstellt, wird dies auch immer so weitergehen....
Nein, das ist kein Standardverhalten und so in keiner Default Policy eingetragen....

In den GPO´s gibt es zahlreiche Einstellungen für roaming profiles
Ja, natürlich.

wie Sesselfurzer bereits ansprach
Aber nur weil dort erhebliche Problem dann bestehen wenn das passiert. Und ein TS ist auch wieder anders zu betrachten vor allem wenn ich sehr viele TS Benutzer habe, dann ist das eventuelle löschen der Benutzerprofilordner (nicht das Benutzerprofil in der Registrierung) nach Abmeldung teilweise gar sinnvoll. Der TO sagte aber nichts von ein TS (RDS).

was passieren soll, wenn das zurückschreiben länger dauert
Dann habe ich grundsätzlich Probleme andere Natur, und diese Fehler gilt es auszumerzen. Der neben Effekt, Roaming Profiles tun was die sollen.

Meine Erfahrung zeigte, dass die Einstellung der GPO nicht immer sauber zeihen
Das kann schon mal passieren, darf aber keine Regelmäßigkeit aufweisen. Und ich denke das haben wir Admins in allen Netzgrößen schon erlebt und geflucht über die Ursachenerforschung und deren immensen Aufwand.

und daher die Profilverzeichnisse lokal auf den Clients verbleiben
Nur von dort können die Sinnvoll genutzt werden wenn man nicht jegliche (Auch MS eigene) intensiv nach dessen nutzen von Profilen, Ordner und Namen untersucht. Auch heute noch gibt es Programmierer die nicht wissen was ein Benutzerprofil ist und wie es genutzt werden soll. Ein gutes Beispiel ist iTunes welches zwar brav alles mögliche tut, wenn du aber mit Server gespeicherte Profile arbeitest, die lokalen Benutzerprofilordner nach dem abmelden löscht, dann viel spaß mit der nötigen iPhone/iPad Datensicherung welche der Domänenbenutzer gestern nachweislich noch gemacht, aber nun auch weg ist. daher stellt sich für jeden Admin, was kann und darf ich mit den Benutzerordnern tun / nicht tun und was ist für diesen Benutzer sinnvoll / nicht sinnvoll. Auch Ordnerumleitung, Junktions, Pfade in der Registrierung umzubiegen kann mehr Probleme bereiten als einem lieb ist.

Diese lösche ich nun, wie bereits gesagt via Script.
Damit wird aber nur ein Teil eines Benutzerprofils gelöscht egal ob Domänenbenutzer oder lokaler Benutzer, Ein Profil besteht aus Speicherorte auf einen Datenträger sowie Eintragungen in der Registrierung. Erst wenn beides bereinigt ist gilt ein Benutzerprofil als gelöscht.

Und ja, es gibt Anwendungen die selbst heute noch nicht damit klar kommen, aber zwingend verwendet werden müssen.

Gibt oder werden temporäre Profile genutzt oder angelegt, habe ich ein Problem. Wo? - Suchen...Suchen ...Suchen ...Suchen...

PS. Mandatory Profiles wäre die nächste Stufe face-smile aber ob dem TO ....

Gruß,
Peter