Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ntuser.dat und ntuser.man gleichzeitig?

Frage Microsoft Windows Server

Mitglied: 64194

64194 (Level 1)

16.04.2008, aktualisiert 22.04.2008, 7596 Aufrufe, 3 Kommentare

hallo an alle,

ich hoffe ihr könnt mir weiterhelfen.

folgende situation:

windows 2003 server sp2
citrix presentation server 4.0
win xp clients

problembeschreibung:

anwender starten über citrix eine veröffentlichte applikation (bitte weiterlesen, dies ist KEIN citrix-thema).
veröffentlichte applikationen sind u.a. ms access - anwendungen und ms word mit vba.

anwendern ist im AD für die terminaldienste ein definiertes profil zugewiesen.

nach dem einspielen des sp2 für windows server 2003 hat sich für einige (!) anwender das verhalten geändert, u.a.
- makrosicherheit in ms word steht auf "hoch" anstatt auf "mittel"
- veröffentlichte anwendungen bringen fehlermeldung "keine berechtigung für zugriff auf registry"
- u.a.

eine recherche der möglichen ursachen brachte folgendes hervor:
- im verzeichnis der meisten benutzer liegt eine ntuser.dat UND eine ntuser.man

beim nachvollziehen des anmeldevorgangs eines benutzers war folgendes festzustellen:

1.
vor anmeldung:
- ntuser.man vorhanden, ntuser.dat NICHT vorhanden
angemeldet:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden, verhalten wie erwartet ok
nach anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden

2.
vor anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden
angemeldet:
- ntuser.man vorhanden, ntuser.dat IST vorhanden, verhalten NICHT wie erwartet. (makrosicherheit hoch)
nach anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden


hier meine fragen:
- hat jemand eine idee?
- unter welchen umständen wird die ntuser.man nicht verwendet, sondern eine ntuser.dat?
- gibt es tools, mit denen ich den anmeldevorgang eines benutzers loggen kann, um zu sehen, warum nicht die ntuser.man verwendet wird?
- gibt es eine übersicht über die vorgänge, die in windows durchlaufen werden, wenn ein benutzer sich anmeldet und sein profil erstellt wird?


ich hoffe, ich konnte das verhalten deutlich machen und habe nicht alles durcheinander gebracht.

vielen dank und grüsse,
stefan
Mitglied: datasearch
16.04.2008 um 19:54 Uhr
Solche Einstellungen sollte man bei Server2k3 mit hilfe von Gruppenrichtlinien durchführen. Besorg dir ab besten die aktuellen .ADM Templates für deine Office-Version und konfiguriere dort die Makrosicherheit. Ist auf jeden fall zuverlässiger als in gemeinsamen Profilen.

Was Windows beim anmelden macht? OK, es passiert in etwa folgendes:

  1. authentifizierung des Benutzers und ausstellung des Sitzungstickets
  2. laden der Registry auf dem Profilpfad
  3. laden der Gruppenrichtlinien aus der lokalen Sicherheitsrichtlinie und der Domäne
  4. ausführen evt. vorhandener anmeldescripte
  5. übernehmen der Gruppenrichtlinien auf die Registry
  6. laden der Shell (explorer.exe)
  7. ausführen der Autoruns aus der Registry
  8. ausführen der Autoruns über Dateisystem (autostart-folder)
  9. fertig

Aso, ist eine ntuser.man vorhanden werden die änderungen an der Registry die währen der sitzung gemacht werden, in einer temporären ntuser.dat gespeichert, die allerdings beim abmelden wieder verworfen wird. Auch genannt verbindliches- oder gemeinsames- oder Gruppen- Profil.
Bitte warten ..
Mitglied: 64194
19.04.2008 um 14:47 Uhr
hallo datasearch,

vielen dank für deine antwort.

mein beobachtetes verhalten unterscheidet sich von deiner antwort bezüglich des gemeinsamen vorkommens von ntuser.dat und ntuser.man.

1) der funktionierende fall macht folgendes:
- benutzer meldet sich an
- für den benutzer wird das verbindliche terminaldienste-profil (.man) geladen (inklusive entfernen ALLER vorhandenen profile .man und dat)
- während der sitzung ändert sich die ntuser.man.log

2) im fehlerhaften fall passiert folgendes:
- benutzer meldet sich an
- es wird NICHT das verbindliche terminaldienste-profil geladen, sondern das profil des lokalen default users
- während der sitzung ändert sich die ntuser.dat.log

mein problem ist, dass ich feststellen möchte, wie es dazu kommen kann, dass NICHT das verbindliche sondern dass default-profil geladen wird.

da das verhalten sporadisch auftritt, wäre eine vermutung, dass an dieser stelle timing- oder authentifizierungsprobleme auftauchen.

ich möchte mit dieser vermutung keine falsche fährte legen, also bitte schränkt eure kreativität dadurch nicht ein!

hat jemand ideen, wie es zu so einem verhalten kann?

vielen dank für eure hilfe,
stefan

p.s. als hinweise möchte ich noch folgendes hinzufügen:
dieses verhalten ist erst mit der installation des sp2 von windows 2003 server zum vorscheinen gekommen.
ich kann nicht ausschliessen, dass bereits vorher die doppelerzeugung der profildateien bestanden hatte, nur haben wir exakt seit diesem zeitpunkt das beschriebene verhalten.
Bitte warten ..
Mitglied: 64194
22.04.2008 um 13:33 Uhr
Die Tage gehen ins Land und ich bin etwas, aber nicht viel schlauer.

Folgende Erkenntnisse stehen bis jetzt fest:
- es gibt bei uns einen Dienst (Citrix, Antivir, Backup, ???), der zu festgelegten Zeiten in den Profilen die ntuser.dat bzw. ntuser.dat.log wie oben beschrieben erzeugt bzw. aktualisert
- das Profil wird durch den Dienst nicht entladen
- der erste Anmeldevorgang eines Benutzer verwendet das vorhandene lokale Profil und ignoriert das verbindliche (Nachvollziehbar über UserEnvDebug). Das Abmelden des Benutzers am Terminalserver entlädt sein Profil
- der nächste Anmeldevorgang löscht die evtl. vorhandene ntuser.dat(.log) und zieht das verbindliche Profil, wie es im Terminaldienste-Eintrag im AD hinterlegt ist
- Besitzer der ntuser.dat ist das Administratoren-Konto
- das Verhalten ist erst seit sp2 für Windows 2003 Server aufgetreten

Folgende Schlussfolgerungen kann ich bis jetzt ziehen:
- der Prozess / Dienst lädt im Kontext des Benutzers das Profil
- es muss ein lokal ausgeführter Prozess sein (ich schliesse einen Copy-Vorgang aus)

Folgenden FIX habe ich umgesetzt:
- Da die Zeiten des Erstellens der Profil-Dateien ugefähr bekannt sind, führe ich einen zeitgesteuerten Reboot durch, um das Entladen der Profile zu erzwingen

Jetzt bin auf der Suche nach dem verursachenden Prozess / Dienst.

Was wäre Euer Vorgehen, um den Dienst / Prozess zu identifizieren?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft Office
Mehr als 20 Excel Dateien öffnen gleichzeitig (7)

Frage von PizzaPepperoni zum Thema Microsoft Office ...

Windows Netzwerk
gelöst Mehrere Windows PCs gleichzeitig zur Domäne (4)

Frage von PharIT zum Thema Windows Netzwerk ...

Webbrowser
WPAD.dat - Probleme nach Umzug und Umstellung (2)

Frage von Chaos83 zum Thema Webbrowser ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...