Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ntuser.dat und ntuser.man gleichzeitig?

Mitglied: 64194

64194 (Level 1)

16.04.2008, aktualisiert 22.04.2008, 7718 Aufrufe, 3 Kommentare

hallo an alle,

ich hoffe ihr könnt mir weiterhelfen.

folgende situation:

windows 2003 server sp2
citrix presentation server 4.0
win xp clients

problembeschreibung:

anwender starten über citrix eine veröffentlichte applikation (bitte weiterlesen, dies ist KEIN citrix-thema).
veröffentlichte applikationen sind u.a. ms access - anwendungen und ms word mit vba.

anwendern ist im AD für die terminaldienste ein definiertes profil zugewiesen.

nach dem einspielen des sp2 für windows server 2003 hat sich für einige (!) anwender das verhalten geändert, u.a.
- makrosicherheit in ms word steht auf "hoch" anstatt auf "mittel"
- veröffentlichte anwendungen bringen fehlermeldung "keine berechtigung für zugriff auf registry"
- u.a.

eine recherche der möglichen ursachen brachte folgendes hervor:
- im verzeichnis der meisten benutzer liegt eine ntuser.dat UND eine ntuser.man

beim nachvollziehen des anmeldevorgangs eines benutzers war folgendes festzustellen:

1.
vor anmeldung:
- ntuser.man vorhanden, ntuser.dat NICHT vorhanden
angemeldet:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden, verhalten wie erwartet ok
nach anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden

2.
vor anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden
angemeldet:
- ntuser.man vorhanden, ntuser.dat IST vorhanden, verhalten NICHT wie erwartet. (makrosicherheit hoch)
nach anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden


hier meine fragen:
- hat jemand eine idee?
- unter welchen umständen wird die ntuser.man nicht verwendet, sondern eine ntuser.dat?
- gibt es tools, mit denen ich den anmeldevorgang eines benutzers loggen kann, um zu sehen, warum nicht die ntuser.man verwendet wird?
- gibt es eine übersicht über die vorgänge, die in windows durchlaufen werden, wenn ein benutzer sich anmeldet und sein profil erstellt wird?


ich hoffe, ich konnte das verhalten deutlich machen und habe nicht alles durcheinander gebracht.

vielen dank und grüsse,
stefan
Mitglied: datasearch
16.04.2008 um 19:54 Uhr
Solche Einstellungen sollte man bei Server2k3 mit hilfe von Gruppenrichtlinien durchführen. Besorg dir ab besten die aktuellen .ADM Templates für deine Office-Version und konfiguriere dort die Makrosicherheit. Ist auf jeden fall zuverlässiger als in gemeinsamen Profilen.

Was Windows beim anmelden macht? OK, es passiert in etwa folgendes:

  1. authentifizierung des Benutzers und ausstellung des Sitzungstickets
  2. laden der Registry auf dem Profilpfad
  3. laden der Gruppenrichtlinien aus der lokalen Sicherheitsrichtlinie und der Domäne
  4. ausführen evt. vorhandener anmeldescripte
  5. übernehmen der Gruppenrichtlinien auf die Registry
  6. laden der Shell (explorer.exe)
  7. ausführen der Autoruns aus der Registry
  8. ausführen der Autoruns über Dateisystem (autostart-folder)
  9. fertig

Aso, ist eine ntuser.man vorhanden werden die änderungen an der Registry die währen der sitzung gemacht werden, in einer temporären ntuser.dat gespeichert, die allerdings beim abmelden wieder verworfen wird. Auch genannt verbindliches- oder gemeinsames- oder Gruppen- Profil.
Bitte warten ..
Mitglied: 64194
19.04.2008 um 14:47 Uhr
hallo datasearch,

vielen dank für deine antwort.

mein beobachtetes verhalten unterscheidet sich von deiner antwort bezüglich des gemeinsamen vorkommens von ntuser.dat und ntuser.man.

1) der funktionierende fall macht folgendes:
- benutzer meldet sich an
- für den benutzer wird das verbindliche terminaldienste-profil (.man) geladen (inklusive entfernen ALLER vorhandenen profile .man und dat)
- während der sitzung ändert sich die ntuser.man.log

2) im fehlerhaften fall passiert folgendes:
- benutzer meldet sich an
- es wird NICHT das verbindliche terminaldienste-profil geladen, sondern das profil des lokalen default users
- während der sitzung ändert sich die ntuser.dat.log

mein problem ist, dass ich feststellen möchte, wie es dazu kommen kann, dass NICHT das verbindliche sondern dass default-profil geladen wird.

da das verhalten sporadisch auftritt, wäre eine vermutung, dass an dieser stelle timing- oder authentifizierungsprobleme auftauchen.

ich möchte mit dieser vermutung keine falsche fährte legen, also bitte schränkt eure kreativität dadurch nicht ein!

hat jemand ideen, wie es zu so einem verhalten kann?

vielen dank für eure hilfe,
stefan

p.s. als hinweise möchte ich noch folgendes hinzufügen:
dieses verhalten ist erst mit der installation des sp2 von windows 2003 server zum vorscheinen gekommen.
ich kann nicht ausschliessen, dass bereits vorher die doppelerzeugung der profildateien bestanden hatte, nur haben wir exakt seit diesem zeitpunkt das beschriebene verhalten.
Bitte warten ..
Mitglied: 64194
22.04.2008 um 13:33 Uhr
Die Tage gehen ins Land und ich bin etwas, aber nicht viel schlauer.

Folgende Erkenntnisse stehen bis jetzt fest:
- es gibt bei uns einen Dienst (Citrix, Antivir, Backup, ???), der zu festgelegten Zeiten in den Profilen die ntuser.dat bzw. ntuser.dat.log wie oben beschrieben erzeugt bzw. aktualisert
- das Profil wird durch den Dienst nicht entladen
- der erste Anmeldevorgang eines Benutzer verwendet das vorhandene lokale Profil und ignoriert das verbindliche (Nachvollziehbar über UserEnvDebug). Das Abmelden des Benutzers am Terminalserver entlädt sein Profil
- der nächste Anmeldevorgang löscht die evtl. vorhandene ntuser.dat(.log) und zieht das verbindliche Profil, wie es im Terminaldienste-Eintrag im AD hinterlegt ist
- Besitzer der ntuser.dat ist das Administratoren-Konto
- das Verhalten ist erst seit sp2 für Windows 2003 Server aufgetreten

Folgende Schlussfolgerungen kann ich bis jetzt ziehen:
- der Prozess / Dienst lädt im Kontext des Benutzers das Profil
- es muss ein lokal ausgeführter Prozess sein (ich schliesse einen Copy-Vorgang aus)

Folgenden FIX habe ich umgesetzt:
- Da die Zeiten des Erstellens der Profil-Dateien ugefähr bekannt sind, führe ich einen zeitgesteuerten Reboot durch, um das Entladen der Profile zu erzwingen

Jetzt bin auf der Suche nach dem verursachenden Prozess / Dienst.

Was wäre Euer Vorgehen, um den Dienst / Prozess zu identifizieren?
Bitte warten ..
Ähnliche Inhalte
Windows Systemdateien

NTUser.dat des Standard Benutzers automatisiert verändern

gelöst Frage von simonlohrWindows Systemdateien8 Kommentare

Hallo zusammen erstmal, wir arbeiten aktuell daran die Installation unserer PCs zu optimieren. Aktuell haben wir noch die Problematik ...

DSL, VDSL

Unitymedia und Telekom gleichzeitig betreiben

Frage von verhohnerDSL, VDSL17 Kommentare

Hallo zusammen, gibt es die Möglichkeit einen Unitymedia und einen Telekom DSL Anschluss gleichzeitig zu betreiben? Hintergrund ist, dass ...

UMTS, EDGE & GPRS

LTE und LAN gleichzeitig nutzen

Frage von tomowiUMTS, EDGE & GPRS17 Kommentare

Hallo Admins, wie schaffe ich es unter Windows 10 Pro 1803 das integrierte LTE Modul gleichzeitig zu einer aktiven ...

Windows Netzwerk

Sollte ein Domaincontroller nicht auch gleichzeitig der Fileserver sein ?

gelöst Frage von MagicFlag0x90Windows Netzwerk15 Kommentare

Hallo, ich habe die undankbare Aufgabe, im Unternehmen die Infrastruktur zu erneuern. Wir haben noch einen alten DC, der ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 2 TagenAusbildung33 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 4 TagenSpeicherkarten4 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 4 TagenSicherheit1 Kommentar

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 4 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Passwortwechsel Zeitpunkt festlegen
Frage von Looser27Windows Userverwaltung27 Kommentare

Guten Morgen liebe Kolleginnen und Kollegen, da es eine Userin in meinem Urlaub geschafft hat, sich vom AD vollständig ...

Windows 10
Windows 10 Spracherkennung - Eure Meinungen?
Frage von honeybeeWindows 1014 Kommentare

Hallo, wollte heute mal aus Neugier die Spracherkennung unter Windows 10 (Version 1803) ausprobieren und war mehr wie enttäuscht. ...

Switche und Hubs
POE-Switche
gelöst Frage von MiStSwitche und Hubs13 Kommentare

Guten Morgen, ich überlege ob ich in unserem Netzwerk die aktuellen Switche (D-LINK DGS-1210-28) durch PoE-Switche ersetzen soll. Der ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
gelöst Frage von Green14Windows Server12 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...