Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Servergespeicherte Profile funktionier nur mit Adminrechten

Frage Microsoft Windows Server

Mitglied: dosser

dosser (Level 1) - Jetzt verbinden

12.07.2013 um 11:41 Uhr, 2903 Aufrufe, 19 Kommentare, 2 Danke

Ich hab da ein Windows Domain ( Server 2k3 & 2k8 ) mit Windows Xp Clients.

Für alle User gibt es Roaming Profiles die bisher problemfrei funktionierten.

Selten - aber leider doch - passiert es, das ein userprofil nur mehr funktioniert, wenn der User auf dem jeweiligen Client ( also dann auf allen wenn er den Platz wechselt ) Adminrechte hat. Hauptbenutzerberechtigungen haben alle user schon auf den Clients.

Wenn ich das Profil lösche und neu erstelle funktioniert dann wieder alles !!

Gibts da ein Schräubchen an dem ich drehen kann, um das ohne löschen des Profils zu beheben ?
Mitglied: elt0n
12.07.2013 um 12:55 Uhr
Hi,

haben denn die User alle Rechte auf den Profil Ordnern ?
Bitte warten ..
Mitglied: dosser
12.07.2013, aktualisiert um 13:11 Uhr
Die user haben alle rechte auf den Profilordner am Server und auf dem Client

Das ging ( geht ) ja auch schon lange ohne Probleme, und es gab keine Änderungen. Das Problem tritt ohne ersichtlichen Grund auf.
Bitte warten ..
Mitglied: hmarkus
12.07.2013 um 14:43 Uhr
Hallo,

der Besitzer des Profilverzeichnisses muss die Gruppe der Domänenadministratoren sein, das solltest Du prüfen.

Markus
Bitte warten ..
Mitglied: dosser
12.07.2013 um 16:29 Uhr
Diese Berichtigung und Besitzer passt.

Nochmal falls ich was unklar formuliert habe:

Die Roaming-Profile funktionieren bei allen usern einwandfrei. Egal welcher User sich auf welchem Client anmeldet - alles funktioniert.

Aus heiterem Himmel wird dann das Profil "user-xy" nur mehr vollständig geladen , wenn der User-xy auf dem Client Admin-Rechte hat - egal auf welchem Client.
Oder ich mach den User-xy zum Mitglied von (Domain)-/Administratoren. Dann gehts auch wieder , dann auf allen Clients.

Kann als meines erachtens nur ein Problem im Profil-xy sein. Irgend ein Bit muss da "umgefallen" sein, das diesen Bug verursacht.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2013, aktualisiert um 13:59 Uhr
Hi hmarkus.

der Besitzer des Profilverzeichnisses muss die Gruppe der Domänenadministratoren sein, das solltest Du prüfen
Äh... wie kommst Du darauf? Besitzrechte des Admins haben mit Zugriff der User rein gar nichts zu tun. Sie bieten nur dem Admin die Möglichkeit, die Rechte zu ändern. Ebenso ist es nicht default, dass der Domänenadmin dort Besitzer ist. Von "muss" kann keine Rede sein.

Hallo dosser.

Hauptbenutzer können sich selbst im Handumdrehen zu Admins machen, diese Gruppe benutzt man nicht, wenn es um Sicherheit geht.
Zur Behebung: Setze doch mal die Rechte in allen Unterordnern zurück.
Bitte warten ..
Mitglied: dosser
15.07.2013 um 15:56 Uhr
Zitat von DerWoWusste:
Hauptbenutzer können sich selbst im Handumdrehen zu Admins machen, diese Gruppe benutzt man nicht, wenn es um Sicherheit
geht.
Zur Behebung: Setze doch mal die Rechte in allen Unterordnern zurück.

Die Berechtigungen des betroffenen Profilordners hab ich schon in alle möglichen/unmöglichen Richtungen verändert - keine Änderung.


PS:
Bezüglich HAUPTBENUTZER:
Das ist leider für die besch JetTravel-Software notwendig.
Was meinst was ich mich deswegen aufgeregt hab. Ohne Konsequenzen. Nicht umsonst ist DataSystem liquidiert worden.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2013 um 16:02 Uhr
Dann monitore von einem zweiten, parallel angemeldeten Adminuser aus mal mit procmon, was passiert, wenn sich der andere Nutzer anmeldet - lokal siehst Du so alle access denials.
Bitte warten ..
Mitglied: dosser
15.07.2013 um 16:13 Uhr
Zitat von DerWoWusste:
Dann monitore von einem zweiten, parallel angemeldeten Adminuser aus mal mit procmon, was passiert, wenn sich der andere Nutzer
anmeldet - lokal siehst Du so alle access denials.


Das geht doch nur mit "schneller Benutzerumschaltung" ? Die ist deaktiviert.

Oder steh ich auf dem Schlauch ;-(
Bitte warten ..
Mitglied: DerWoWusste
15.07.2013 um 16:51 Uhr
Argh, xp, da ist sie aus... dann fällt die Methode flach.
Zunächst keine weitere Iddee, aber ich komme nochmal zurück.
Bitte warten ..
Mitglied: dosser
15.07.2013 um 16:57 Uhr
Nur keinen Stress.

Jedenfalls schon mal herzlichen Dank für Deine Bemühung.
Bitte warten ..
Mitglied: hmarkus
15.07.2013 um 19:46 Uhr
Zitat von DerWoWusste:
Hi hmarkus.

> der Besitzer des Profilverzeichnisses muss die Gruppe der Domänenadministratoren sein, das solltest Du prüfen
Äh... wie kommst Du darauf? Besitzrechte des Admins haben mit Zugriff der User rein gar nichts zu tun. Sie bieten nur dem
Admin die Möglichkeit, die Rechte zu ändern. Ebenso ist es nicht default, dass der Domänenadmin dort Besitzer ist.
Von "muss" kann keine Rede sein.
mh, ich hab das immer so gemacht und meine, dass ich das auch damals beim MCSA-Lehrgang so gelernt habe. Situation in meinen Domänen ist, dass es sich um ein obligatorisches Profil handelt, welches von allen Usern benutzt wird. Aber wenn es anders ist, dann muss ich mir das beizeiten nochmal durchlesen, bald steht bei mir der MCSA für Server 2012 an, da werde ich das sicher vertiefen. Danke jedenfalls @DerWoWusste für den Hinweis.

Markus
Bitte warten ..
Mitglied: DerWoWusste
15.07.2013 um 22:14 Uhr
Ah, es gibt eine Möglichkeit: starte procmon und stele "enable boot logging" ein und starte dann neu. procmon zeichnet dann alles auf beim nächsten Start und der nächsten Anmeldung.
Bitte warten ..
Mitglied: dosser
15.07.2013 um 22:17 Uhr
Was ich noch vergessen hab:

Das Userprofil wird komplett und richtig von Server gezogen und als "c:\Dokumente und Einstellungen\user-xy" gespeichert.

Nur funktionieren Menues, Programme , Links ,.. nicht, Die Quickstart wird nicht angezeigt, und ein vorhandes Desktop-Wallpaper wird nicht angezeigt.
Bitte warten ..
Mitglied: dosser
16.07.2013, aktualisiert um 14:51 Uhr
Zitat von DerWoWusste:
Ah, es gibt eine Möglichkeit: starte procmon und stele "enable boot logging" ein und starte dann neu. procmon
zeichnet dann alles auf beim nächsten Start und der nächsten Anmeldung.

Das ging ja super. Jetz hab ich die RIESEN-logs

Name Extension Size

Vom USER mit normalen Rechten:

Bootlog.pml 253.563.515
Bootlog-1.pml 321.686.681
Bootlog-2.pml 313.324.258
Bootlog-3.pml 285.747.136

Vom USER mit Admin-Rechten

Bootlog-adm.pml 243.448.792
Bootlog-adm-1.pml 63.240.059

Erstmal stellt sich mir die Frage warum das log mit den Admin-Rechten ¼ so gross ist und nur aus zwei logs besteht.
Zweitens fehlt mir irgend eine Idee wo ich mit der Fehlersuche ansetze , da ja das lesen & schreiben auf dem Client & Server immer funktioniert.

Die auffallendsten Probleme sind das fehle der Quickstart und die fixierte Taskleiste - die Fixierung lässt sich nicht aufheben.
Bitte warten ..
Mitglied: dosser
16.07.2013 um 15:21 Uhr
Kann das momentan nicht praktisch testen, daher eine theoretische Frage

Mir ist folgendes aufgefallen:

in einer "normalen" NTUSER.INI steht:

[General]
ExclusionList=Lokale Einstellungen;Temporary Internet Files;Verlauf;Temp;Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook
[ProfileLoadType]
LastUploadState=Complete

in dem nicht funktionierenden Profil steht aber nur:

[General]
ExclusionList=Lokale Einstellungen;Temporary Internet Files;Verlauf;Temp;Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook


Kann der fehlende Parameter schuld sein - ich finde keine Doku zu dem Parameter ?
Wieso fehlt der Parameter, bzw. was verursacht das fehlen ?

Danke schon mal.
Bitte warten ..
Mitglied: DerWoWusste
16.07.2013, aktualisiert um 15:42 Uhr
ini: weiß ich nicht.
procmon: such/filter im Log nach access denied
Bitte warten ..
Mitglied: dosser
17.07.2013, aktualisiert um 10:46 Uhr
Ich hab das gefilterte LOG hier hingestellt:

http://kuno.sytes.net/stuff/u19-Log.CSV ~18MB
oder
http://kuno.sytes.net/stuff/u19-Log.PML ~ 40MB

1) 23:25:49,2348380 winlogon.exe 592 CreateFile C:\Dokumente und Einstellungen ACCESS DENIED

Da gibts sämtliche Rechte für alle. Die Profile werden dort ja auch ohne Problem hinkopiert ???

2)
23:28:53,7943993 winlogon.exe 592 RegOpenKey HKU\S-1-5-21-1667534469-852598543-854850462-1126 ACCESS DENIED
23:28:53,8375791 userinit.exe 2308 RegOpenKey HKU\.Default ACCESS DENIED Desired Access: Read/Write

Jede Menge Problem mit der Registry. Woher weiss ich nicht. Und was ich dagegen tun soll ist mir noch nicht ganz klar.

PS:
Was mir an dem ProcessMonitor nicht ganz klar ist, warum der bei verschiedenen Usern verschieden Grosse/viele Logs schreibt.
Ich hab das mit einem zweiten Problem-user getestet, und da hat mir das Teil 89 Logs mit ~ 30GB geschrieben
Bitte warten ..
Mitglied: dosser
18.07.2013, aktualisiert um 00:29 Uhr
Einen Schritt bin ich mal weiter:

Auf dem Registry-Teil des Users ( HKU\S-1-5-21-1667534469-852598543-854850462-1126 ) hatte der User keine Berechtigungen ??!!

Folgende Berichtigung ungen waren da eingetragen:

Administratoren - VOLLZUGRIFF
SYSTEM - VOLLZUGRIFF
Eingeschränkter Zugriff - LESEN


Nachdem ich nun auf dem Client des Users dem USER auf den HKU\S-1-5-21-1667534469-852598543-854850462-1126 VOLLZUGRIFF gegeben habe läuft das wieder alles 1A auf dem Client.

Wie sich Profil des auf anderen Clients verhält konnte ich noch nicht testen. Aber der HKU-Teil der Registry wird ja als ntuser.dat ins servergespeicherte Profil geschrieben. Somit soltte sich das Problem auch auf den anderen Clients gelöst haben.

Wenn ich das fertig gechecked hab melde ich mich nochmal.

Mein ganz besonderer Dank geht an DerWoWusste. für seine Bemühungen und den heissene Tip mit dem ProcessMonitor.

PS:

Woher dieses Problem kam (kommt) konnte ich nicht feststellen und habe auch keine Idee wie ich das rauskriegen könnte.
Bitte warten ..
Mitglied: dosser
19.07.2013 um 11:41 Uhr
So wie in meinem vorigen post beschrieben klappt das einwandfrei.

Sollte es dennoch Probleme geben:

1) auf dem client mit Adminrechten anmelden
2) regedit öffnen ->
3) im regeditor LINKS HKEY_USERS anklicken
4) Datei -> Stuktur laden -> die ntuser-dat des entsprechenden users laden
5) Der Keyname der Struktur bekommt dann die SID des jeweiligen users ( lässt sich mit getsid aus den PSTOOLS ermitteln )
6) abschliesend sollte man für den neuen Schlüssel die Berechtifungen prüfen.

War etwas mühsam das alles aus viel verschiedenen Infos im Netz zu finden.

Bei mir jedengfalls geht wieder alles 1a .

Danke ans Forum für die unterstützung.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...