64194
Apr 16, 2008, updated at Apr 22, 2008 (UTC)
8510
3
0
ntuser.dat und ntuser.man gleichzeitig?
hallo an alle,
ich hoffe ihr könnt mir weiterhelfen.
folgende situation:
windows 2003 server sp2
citrix presentation server 4.0
win xp clients
problembeschreibung:
anwender starten über citrix eine veröffentlichte applikation (bitte weiterlesen, dies ist KEIN citrix-thema).
veröffentlichte applikationen sind u.a. ms access - anwendungen und ms word mit vba.
anwendern ist im AD für die terminaldienste ein definiertes profil zugewiesen.
nach dem einspielen des sp2 für windows server 2003 hat sich für einige (!) anwender das verhalten geändert, u.a.
- makrosicherheit in ms word steht auf "hoch" anstatt auf "mittel"
- veröffentlichte anwendungen bringen fehlermeldung "keine berechtigung für zugriff auf registry"
- u.a.
eine recherche der möglichen ursachen brachte folgendes hervor:
- im verzeichnis der meisten benutzer liegt eine ntuser.dat UND eine ntuser.man
beim nachvollziehen des anmeldevorgangs eines benutzers war folgendes festzustellen:
1.
vor anmeldung:
- ntuser.man vorhanden, ntuser.dat NICHT vorhanden
angemeldet:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden, verhalten wie erwartet ok
nach anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden
2.
vor anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden
angemeldet:
- ntuser.man vorhanden, ntuser.dat IST vorhanden, verhalten NICHT wie erwartet. (makrosicherheit hoch)
nach anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden
hier meine fragen:
- hat jemand eine idee?
- unter welchen umständen wird die ntuser.man nicht verwendet, sondern eine ntuser.dat?
- gibt es tools, mit denen ich den anmeldevorgang eines benutzers loggen kann, um zu sehen, warum nicht die ntuser.man verwendet wird?
- gibt es eine übersicht über die vorgänge, die in windows durchlaufen werden, wenn ein benutzer sich anmeldet und sein profil erstellt wird?
ich hoffe, ich konnte das verhalten deutlich machen und habe nicht alles durcheinander gebracht.
vielen dank und grüsse,
stefan
ich hoffe ihr könnt mir weiterhelfen.
folgende situation:
windows 2003 server sp2
citrix presentation server 4.0
win xp clients
problembeschreibung:
anwender starten über citrix eine veröffentlichte applikation (bitte weiterlesen, dies ist KEIN citrix-thema).
veröffentlichte applikationen sind u.a. ms access - anwendungen und ms word mit vba.
anwendern ist im AD für die terminaldienste ein definiertes profil zugewiesen.
nach dem einspielen des sp2 für windows server 2003 hat sich für einige (!) anwender das verhalten geändert, u.a.
- makrosicherheit in ms word steht auf "hoch" anstatt auf "mittel"
- veröffentlichte anwendungen bringen fehlermeldung "keine berechtigung für zugriff auf registry"
- u.a.
eine recherche der möglichen ursachen brachte folgendes hervor:
- im verzeichnis der meisten benutzer liegt eine ntuser.dat UND eine ntuser.man
beim nachvollziehen des anmeldevorgangs eines benutzers war folgendes festzustellen:
1.
vor anmeldung:
- ntuser.man vorhanden, ntuser.dat NICHT vorhanden
angemeldet:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden, verhalten wie erwartet ok
nach anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden
2.
vor anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden
angemeldet:
- ntuser.man vorhanden, ntuser.dat IST vorhanden, verhalten NICHT wie erwartet. (makrosicherheit hoch)
nach anmeldung:
- ntuser.man vorhanden, ntuser.dat nicht vorhanden
hier meine fragen:
- hat jemand eine idee?
- unter welchen umständen wird die ntuser.man nicht verwendet, sondern eine ntuser.dat?
- gibt es tools, mit denen ich den anmeldevorgang eines benutzers loggen kann, um zu sehen, warum nicht die ntuser.man verwendet wird?
- gibt es eine übersicht über die vorgänge, die in windows durchlaufen werden, wenn ein benutzer sich anmeldet und sein profil erstellt wird?
ich hoffe, ich konnte das verhalten deutlich machen und habe nicht alles durcheinander gebracht.
vielen dank und grüsse,
stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 85680
Url: https://administrator.de/contentid/85680
Printed on: April 23, 2024 at 22:04 o'clock
3 Comments
Latest comment
Solche Einstellungen sollte man bei Server2k3 mit hilfe von Gruppenrichtlinien durchführen. Besorg dir ab besten die aktuellen .ADM Templates für deine Office-Version und konfiguriere dort die Makrosicherheit. Ist auf jeden fall zuverlässiger als in gemeinsamen Profilen.
Was Windows beim anmelden macht? OK, es passiert in etwa folgendes:
Aso, ist eine ntuser.man vorhanden werden die änderungen an der Registry die währen der sitzung gemacht werden, in einer temporären ntuser.dat gespeichert, die allerdings beim abmelden wieder verworfen wird. Auch genannt verbindliches- oder gemeinsames- oder Gruppen- Profil.
Was Windows beim anmelden macht? OK, es passiert in etwa folgendes:
- authentifizierung des Benutzers und ausstellung des Sitzungstickets
- laden der Registry auf dem Profilpfad
- laden der Gruppenrichtlinien aus der lokalen Sicherheitsrichtlinie und der Domäne
- ausführen evt. vorhandener anmeldescripte
- übernehmen der Gruppenrichtlinien auf die Registry
- laden der Shell (explorer.exe)
- ausführen der Autoruns aus der Registry
- ausführen der Autoruns über Dateisystem (autostart-folder)
- fertig
Aso, ist eine ntuser.man vorhanden werden die änderungen an der Registry die währen der sitzung gemacht werden, in einer temporären ntuser.dat gespeichert, die allerdings beim abmelden wieder verworfen wird. Auch genannt verbindliches- oder gemeinsames- oder Gruppen- Profil.
hallo datasearch,
vielen dank für deine antwort.
mein beobachtetes verhalten unterscheidet sich von deiner antwort bezüglich des gemeinsamen vorkommens von ntuser.dat und ntuser.man.
1) der funktionierende fall macht folgendes:
- benutzer meldet sich an
- für den benutzer wird das verbindliche terminaldienste-profil (.man) geladen (inklusive entfernen ALLER vorhandenen profile .man und dat)
- während der sitzung ändert sich die ntuser.man.log
2) im fehlerhaften fall passiert folgendes:
- benutzer meldet sich an
- es wird NICHT das verbindliche terminaldienste-profil geladen, sondern das profil des lokalen default users
- während der sitzung ändert sich die ntuser.dat.log
mein problem ist, dass ich feststellen möchte, wie es dazu kommen kann, dass NICHT das verbindliche sondern dass default-profil geladen wird.
da das verhalten sporadisch auftritt, wäre eine vermutung, dass an dieser stelle timing- oder authentifizierungsprobleme auftauchen.
ich möchte mit dieser vermutung keine falsche fährte legen, also bitte schränkt eure kreativität dadurch nicht ein!
hat jemand ideen, wie es zu so einem verhalten kann?
vielen dank für eure hilfe,
stefan
p.s. als hinweise möchte ich noch folgendes hinzufügen:
dieses verhalten ist erst mit der installation des sp2 von windows 2003 server zum vorscheinen gekommen.
ich kann nicht ausschliessen, dass bereits vorher die doppelerzeugung der profildateien bestanden hatte, nur haben wir exakt seit diesem zeitpunkt das beschriebene verhalten.
vielen dank für deine antwort.
mein beobachtetes verhalten unterscheidet sich von deiner antwort bezüglich des gemeinsamen vorkommens von ntuser.dat und ntuser.man.
1) der funktionierende fall macht folgendes:
- benutzer meldet sich an
- für den benutzer wird das verbindliche terminaldienste-profil (.man) geladen (inklusive entfernen ALLER vorhandenen profile .man und dat)
- während der sitzung ändert sich die ntuser.man.log
2) im fehlerhaften fall passiert folgendes:
- benutzer meldet sich an
- es wird NICHT das verbindliche terminaldienste-profil geladen, sondern das profil des lokalen default users
- während der sitzung ändert sich die ntuser.dat.log
mein problem ist, dass ich feststellen möchte, wie es dazu kommen kann, dass NICHT das verbindliche sondern dass default-profil geladen wird.
da das verhalten sporadisch auftritt, wäre eine vermutung, dass an dieser stelle timing- oder authentifizierungsprobleme auftauchen.
ich möchte mit dieser vermutung keine falsche fährte legen, also bitte schränkt eure kreativität dadurch nicht ein!
hat jemand ideen, wie es zu so einem verhalten kann?
vielen dank für eure hilfe,
stefan
p.s. als hinweise möchte ich noch folgendes hinzufügen:
dieses verhalten ist erst mit der installation des sp2 von windows 2003 server zum vorscheinen gekommen.
ich kann nicht ausschliessen, dass bereits vorher die doppelerzeugung der profildateien bestanden hatte, nur haben wir exakt seit diesem zeitpunkt das beschriebene verhalten.
Die Tage gehen ins Land und ich bin etwas, aber nicht viel schlauer.
Folgende Erkenntnisse stehen bis jetzt fest:
- es gibt bei uns einen Dienst (Citrix, Antivir, Backup, ???), der zu festgelegten Zeiten in den Profilen die ntuser.dat bzw. ntuser.dat.log wie oben beschrieben erzeugt bzw. aktualisert
- das Profil wird durch den Dienst nicht entladen
- der erste Anmeldevorgang eines Benutzer verwendet das vorhandene lokale Profil und ignoriert das verbindliche (Nachvollziehbar über UserEnvDebug). Das Abmelden des Benutzers am Terminalserver entlädt sein Profil
- der nächste Anmeldevorgang löscht die evtl. vorhandene ntuser.dat(.log) und zieht das verbindliche Profil, wie es im Terminaldienste-Eintrag im AD hinterlegt ist
- Besitzer der ntuser.dat ist das Administratoren-Konto
- das Verhalten ist erst seit sp2 für Windows 2003 Server aufgetreten
Folgende Schlussfolgerungen kann ich bis jetzt ziehen:
- der Prozess / Dienst lädt im Kontext des Benutzers das Profil
- es muss ein lokal ausgeführter Prozess sein (ich schliesse einen Copy-Vorgang aus)
Folgenden FIX habe ich umgesetzt:
- Da die Zeiten des Erstellens der Profil-Dateien ugefähr bekannt sind, führe ich einen zeitgesteuerten Reboot durch, um das Entladen der Profile zu erzwingen
Jetzt bin auf der Suche nach dem verursachenden Prozess / Dienst.
Was wäre Euer Vorgehen, um den Dienst / Prozess zu identifizieren?
Folgende Erkenntnisse stehen bis jetzt fest:
- es gibt bei uns einen Dienst (Citrix, Antivir, Backup, ???), der zu festgelegten Zeiten in den Profilen die ntuser.dat bzw. ntuser.dat.log wie oben beschrieben erzeugt bzw. aktualisert
- das Profil wird durch den Dienst nicht entladen
- der erste Anmeldevorgang eines Benutzer verwendet das vorhandene lokale Profil und ignoriert das verbindliche (Nachvollziehbar über UserEnvDebug). Das Abmelden des Benutzers am Terminalserver entlädt sein Profil
- der nächste Anmeldevorgang löscht die evtl. vorhandene ntuser.dat(.log) und zieht das verbindliche Profil, wie es im Terminaldienste-Eintrag im AD hinterlegt ist
- Besitzer der ntuser.dat ist das Administratoren-Konto
- das Verhalten ist erst seit sp2 für Windows 2003 Server aufgetreten
Folgende Schlussfolgerungen kann ich bis jetzt ziehen:
- der Prozess / Dienst lädt im Kontext des Benutzers das Profil
- es muss ein lokal ausgeführter Prozess sein (ich schliesse einen Copy-Vorgang aus)
Folgenden FIX habe ich umgesetzt:
- Da die Zeiten des Erstellens der Profil-Dateien ugefähr bekannt sind, führe ich einen zeitgesteuerten Reboot durch, um das Entladen der Profile zu erzwingen
Jetzt bin auf der Suche nach dem verursachenden Prozess / Dienst.
Was wäre Euer Vorgehen, um den Dienst / Prozess zu identifizieren?
