17
User-Chaos bei Anmeldung an Win2003
Bei der Anmeldung zweier User von XP SP2 an Win2003 mit AD nimmt Win2003 den falschen User
Hallo zusammen,
ich habe in der Firma ein ungewöhnliches Problem. Es geht dabei um zwei XP Workstation mit den aktuellen Patches, gleiches gilt für den Windows 2003 Server.
Zwei User melden sich mit ihren eigenen Logins an. Die im Profil eingestellten Login-Scripte werden (getestet) ausgeführt. Dabei werden jedoch nicht alle im Script eingetragenen NET USE LW:'s angelegt. Besonders ist das im Profil eingestellte Home-Verzeichnis, es ist zwar erreichbar, kann aber nicht geöffnet werden. Soweit zu den Auswirkungen.
Bei der Recherche kam heraus, dass nicht User A und User B in den Sitzungen der Computerverwaltung auf dem Server angezeigt werden, sondern der User C mit drei verschiedenen IP-Adressen (welche auch mit den Computern von User A, B und C übereinstimmen). Scheinbar hat der Server statt drei VERSCHIEDENER User dreimal den User C angemeldet. User A und C können nicht auf ihr Userverzeichnis zugreifen, dafür aber auf das Home-Verzeichnis von C !!! Ich habe diese Sachen mehrmals überprüft und auch die Scripte verändert um zu sehen, wer sich dort anmeldet. Es waren immer die richtigen Scripte von A und B die dort abliefen.
Selbst beim Trennen der Laufwerke und manuellem Verbinden als User A wird zuerst der Login von User C vorgeschlagen. in der gesamten Registry auf dem Rechner von A kann ich keinen entsprechenden Eintrag (weder den Usernamen von A noch seinen Registry-Key! finden.
Die Versuche den Zustand zu beheben: Löschen des Users C aus dem ActiveDir, mit dem Erfolg, dass User A und B vom Netzwerk (Explorer) keinen Zugriff mehr auf den Server bekamen. Dann User C wieder angelegt um ihm das Weiterarbeiten zu ermöglichen. User C mußte sein lokales Profil anpassen, und ist wieder voll funktionsfähig. User A und B sind weiterhin arbeitsunfähig.
Wenn sich User A oder B auf anderen Rechnern anmelden ist alles in Ordnung.
ALSO... neues Profil! Tja, leider läßt sich das Profil von A nicht löschen. Als lokaler oder Domain-Admin darf ich es nicht löschen (oder umbenennen, um ein neues zu erstellen). Rechner neu machen kommt auch nicht in Frage. (Am Rechner von B hab ich noch nichts umgestellt).
Rechner aus der Domäne nehmen und dann wieder aufnehmen hat auch nichts gebracht.
Mein Gefühl geht in Richtung Profil... nur was tun, löschen klappt scheinbar nicht, auch nicht im abgesicherten Modus.
Frage an Euch, was passiert da, und wie kann ich es korrigieren?
ich habe in der Firma ein ungewöhnliches Problem. Es geht dabei um zwei XP Workstation mit den aktuellen Patches, gleiches gilt für den Windows 2003 Server.
Zwei User melden sich mit ihren eigenen Logins an. Die im Profil eingestellten Login-Scripte werden (getestet) ausgeführt. Dabei werden jedoch nicht alle im Script eingetragenen NET USE LW:'s angelegt. Besonders ist das im Profil eingestellte Home-Verzeichnis, es ist zwar erreichbar, kann aber nicht geöffnet werden. Soweit zu den Auswirkungen.
Bei der Recherche kam heraus, dass nicht User A und User B in den Sitzungen der Computerverwaltung auf dem Server angezeigt werden, sondern der User C mit drei verschiedenen IP-Adressen (welche auch mit den Computern von User A, B und C übereinstimmen). Scheinbar hat der Server statt drei VERSCHIEDENER User dreimal den User C angemeldet. User A und C können nicht auf ihr Userverzeichnis zugreifen, dafür aber auf das Home-Verzeichnis von C !!! Ich habe diese Sachen mehrmals überprüft und auch die Scripte verändert um zu sehen, wer sich dort anmeldet. Es waren immer die richtigen Scripte von A und B die dort abliefen.
Selbst beim Trennen der Laufwerke und manuellem Verbinden als User A wird zuerst der Login von User C vorgeschlagen. in der gesamten Registry auf dem Rechner von A kann ich keinen entsprechenden Eintrag (weder den Usernamen von A noch seinen Registry-Key! finden.
Die Versuche den Zustand zu beheben: Löschen des Users C aus dem ActiveDir, mit dem Erfolg, dass User A und B vom Netzwerk (Explorer) keinen Zugriff mehr auf den Server bekamen. Dann User C wieder angelegt um ihm das Weiterarbeiten zu ermöglichen. User C mußte sein lokales Profil anpassen, und ist wieder voll funktionsfähig. User A und B sind weiterhin arbeitsunfähig.
Wenn sich User A oder B auf anderen Rechnern anmelden ist alles in Ordnung.
ALSO... neues Profil! Tja, leider läßt sich das Profil von A nicht löschen. Als lokaler oder Domain-Admin darf ich es nicht löschen (oder umbenennen, um ein neues zu erstellen). Rechner neu machen kommt auch nicht in Frage. (Am Rechner von B hab ich noch nichts umgestellt).
Rechner aus der Domäne nehmen und dann wieder aufnehmen hat auch nichts gebracht.
Mein Gefühl geht in Richtung Profil... nur was tun, löschen klappt scheinbar nicht, auch nicht im abgesicherten Modus.
Frage an Euch, was passiert da, und wie kann ich es korrigieren?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 38492
Url: https://administrator.de/contentid/38492
Printed on: April 19, 2024 at 23:04 o'clock
17 Comments
Latest comment
Hallo Chaos_admin
mal ne blöde Frage....wieso darfste als lokaler Admin kein Profil löschen??
Eventuell musste den Besitz vorher übernehmen, wenn ich mich nicht irre, aber dann müsste das doch gehen............
Gruß
mal ne blöde Frage....wieso darfste als lokaler Admin kein Profil löschen??
Eventuell musste den Besitz vorher übernehmen, wenn ich mich nicht irre, aber dann müsste das doch gehen............
Gruß
^^ Das geht ganz sicher
Einfach die Besitzrechte Übernehmen
MfG Simeon Steffen
Einfach die Besitzrechte Übernehmen
MfG Simeon Steffen
kann es sein das die rechner geklont worden sind und 3 rechner mit identischer SID im netz sind ?
Hi
Danke Supaman, das war genau mein Gedanke! Wenn du die SID überall neu erstellst und die Benutzer sauber im AD neu erstellst, dann wir das auf alle Fälle funktionieren.
Das Profil kannst du wie bereits Beschrieben löschen...aber mit dem Admin müsste das auf alle Fälle auch gehen.
gretz drop
Danke Supaman, das war genau mein Gedanke! Wenn du die SID überall neu erstellst und die Benutzer sauber im AD neu erstellst, dann wir das auf alle Fälle funktionieren.
Das Profil kannst du wie bereits Beschrieben löschen...aber mit dem Admin müsste das auf alle Fälle auch gehen.
gretz drop
Erstmal danke für die Tipps...
klonen fällt weg, jeder Rechner wurde sauber neu aufgesetzt. Das Profil ist auch durch Übernahme des Besitzes nicht möglich. Fehlermeldung muß ich später noch nachreichen, da der Rechner im Einsatz ist.
@drop_ch: SID überall neu erstellen, das sagt mir momentan nichts, wie muß ich das machen?
User aus dem AD löschen ist auch nicht der Hit, weil ich dann eine nicht unerhebliche Anzahl an Sicherheitseinstellungen in unserem Dokumenten-Ordner machen müsste. Aber dazu habe ich leider nicht die Berechtigung. Die hat nur die Firmenverwaltung.
Gruß
Dieter
klonen fällt weg, jeder Rechner wurde sauber neu aufgesetzt. Das Profil ist auch durch Übernahme des Besitzes nicht möglich. Fehlermeldung muß ich später noch nachreichen, da der Rechner im Einsatz ist.
@drop_ch: SID überall neu erstellen, das sagt mir momentan nichts, wie muß ich das machen?
User aus dem AD löschen ist auch nicht der Hit, weil ich dann eine nicht unerhebliche Anzahl an Sicherheitseinstellungen in unserem Dokumenten-Ordner machen müsste. Aber dazu habe ich leider nicht die Berechtigung. Die hat nur die Firmenverwaltung.
Gruß
Dieter
Guck dir mal unter www.sysinternals.com das Tool NewSID an.
Gruss Ivo
Gruss Ivo
Chaos_Admin hat doch geschrieben, die Rechner sind nicht via Image installiert worden, also kann es auch nicht an der SID liegen
Und um die Profile eines anderen Nutzers zu löschen musste ich bis jetzt immer (Als Domänen-Administrator) die Besitzrechte übernehmen, dann konnte ich das Konto einfach löschen. Das muss doch gehen. Allerdings spielt das eigentlich eh keine Rolle, da du ja alle Rechner frisch aufgesetzt hast, und somit auch die Vermutung es würden noch die alten Verzeichnisse existieren nicht bestätigt worden ist.
Sonst hab ich grade keine Lösungsansatz parat.
Sorry
MfG Simeon Steffen
Und um die Profile eines anderen Nutzers zu löschen musste ich bis jetzt immer (Als Domänen-Administrator) die Besitzrechte übernehmen, dann konnte ich das Konto einfach löschen. Das muss doch gehen. Allerdings spielt das eigentlich eh keine Rolle, da du ja alle Rechner frisch aufgesetzt hast, und somit auch die Vermutung es würden noch die alten Verzeichnisse existieren nicht bestätigt worden ist.
Sonst hab ich grade keine Lösungsansatz parat.
Sorry
MfG Simeon Steffen
^^ Er hat doch geschrieben, die Rechner sind
nicht via Image installiert worden, also kann
es auch nicht an der SID liegen
nicht via Image installiert worden, also kann
es auch nicht an der SID liegen
@simeon
Da hast du Recht. Es ist aber so, dass er das erst am 22. geschrieben hat und wissen wollte, wie eine neue SID zu vergeben ist.
Und dazu am 23. meine Antwort.
Wünsche dir einen schönen Tag
Gruss Ivo
Hallo,
man soll's nicht glauben, aber das Problem ist "gelöst"!
Noch einige Informationen dazu:
Ich habe VERSUCHT den Besitz als lokaler Admin zu übernehmen, das scheiterte an der UserClass, die von einem anderen Programm benutzt wurde. Auch nach Reboot hatte ich den gleichen Effekt.
Auch das Entfernen der Berechtigungen brachte keinen Erfolg. Und nun kommt die "merkwürdige" Lösung: Hinzufügen des Domain-Admins in die Berechtigungen mit Vollzugriff. Daraufhin konnte ich das Verzeichnis umbenennen. Alle anderen Versuche schlugen fehl...
Nach dem Anmelden des Users ist auch wieder das Logon-Script durchgelaufen und die Zugriffe auf die Freigaben erfolgen wie gewünscht.
Eine merkwürdigenSache. Falls einer noch 'ne Erklärung dafür hat, dass der Domain-Admin das darf, aber der lokale nicht... Immer her damit!
Trotzdem, schönen Dank für Eure Vorschläge
Schöne Grüße von Chaos vom Chaos
Dieter Peters
man soll's nicht glauben, aber das Problem ist "gelöst"!
Noch einige Informationen dazu:
Ich habe VERSUCHT den Besitz als lokaler Admin zu übernehmen, das scheiterte an der UserClass, die von einem anderen Programm benutzt wurde. Auch nach Reboot hatte ich den gleichen Effekt.
Auch das Entfernen der Berechtigungen brachte keinen Erfolg. Und nun kommt die "merkwürdige" Lösung: Hinzufügen des Domain-Admins in die Berechtigungen mit Vollzugriff. Daraufhin konnte ich das Verzeichnis umbenennen. Alle anderen Versuche schlugen fehl...
Nach dem Anmelden des Users ist auch wieder das Logon-Script durchgelaufen und die Zugriffe auf die Freigaben erfolgen wie gewünscht.
Eine merkwürdigenSache. Falls einer noch 'ne Erklärung dafür hat, dass der Domain-Admin das darf, aber der lokale nicht... Immer her damit!
Trotzdem, schönen Dank für Eure Vorschläge
Schöne Grüße von Chaos vom Chaos
Dieter Peters
Der lokale Admin ist nur Admin auf der Workstation und der lokalen Profile. Er hat keinerlei Rechte in der Domäne und an den Serverprofilen!! Sonst könnte ja jeder der mit seinem Lappi in der Domäne steckt, sprich jeder DAU, den halben Server plätten und Profile editieren etc
Danke Maik87,
jetzt wird mir einiges klar!
Aber eine Frage hätte ich da noch: wenn ich (als "jeder DAU") das lokale Profil löschen will, plätte ich damit die halbe Domäne?
jetzt wird mir einiges klar!
Aber eine Frage hätte ich da noch: wenn ich (als "jeder DAU") das lokale Profil löschen will, plätte ich damit die halbe Domäne?
Dann Entschuldige ich mich mal für die Fehlinformation (lokaler Administrator), hoffe ich hab nicht zu viel mehraufwand erzeugt;-(
Nobody is Perfect
MfG Simeon Steffen
Nobody is Perfect
MfG Simeon Steffen
Ihr könnt mich Steinigen oder auf die schwarze Liste setzen...
Aber:
Wenn du den Unterschied zwischen einem lokalen Admin und einem Domänen Admin nicht kennst, solltest du zwingend erstmal ein paar Administrations-Bücher lesen....bevor du dich mit dieser Materie beschäftigst.
Sorry, ich will dir hier nicht auf den Schlips treten...aber für unsere Antworten setzen wir hier ein Grundwissen voraus. Wir können nicht jedesmal einen Roman schreiben.
Gruss Ivo
Aber:
Wenn du den Unterschied zwischen einem lokalen Admin und einem Domänen Admin nicht kennst, solltest du zwingend erstmal ein paar Administrations-Bücher lesen....bevor du dich mit dieser Materie beschäftigst.
Sorry, ich will dir hier nicht auf den Schlips treten...aber für unsere Antworten setzen wir hier ein Grundwissen voraus. Wir können nicht jedesmal einen Roman schreiben.
Gruss Ivo
Quatsch,
ich habe doch die ganze Zeit auch nur ausprobiert. Wenn ich keine Ideen mehr habe bin ich jedenfalls für Ratschläge anderer dankbar, sofern sie konstruktiv sind!
Oft ist es ja mal sehr aufschlußreich wie andere Leute an ein Problem herangehen. User X und Y melden sich an ihren WS's an, der Server erkennt sie beide aber als User Z. Eine logische Erklärung finde ich dafür nicht. Ich habe hier etwa 50 Rechner und das Phänomen tritt an zwei Rechnern auf, ein Desktop und ein NB (die dann auch noch im gleichen Raum stehen!).
Also ich gehe dann gerne jedem möglichen Hinweis nach...
Gruß Dieter Peters
ich habe doch die ganze Zeit auch nur ausprobiert. Wenn ich keine Ideen mehr habe bin ich jedenfalls für Ratschläge anderer dankbar, sofern sie konstruktiv sind!
Oft ist es ja mal sehr aufschlußreich wie andere Leute an ein Problem herangehen. User X und Y melden sich an ihren WS's an, der Server erkennt sie beide aber als User Z. Eine logische Erklärung finde ich dafür nicht. Ich habe hier etwa 50 Rechner und das Phänomen tritt an zwei Rechnern auf, ein Desktop und ein NB (die dann auch noch im gleichen Raum stehen!).
Also ich gehe dann gerne jedem möglichen Hinweis nach...
Gruß Dieter Peters
Mit lokal meine ich die Profile, die auf dem PC liegen, wo du direkt vorsitzt. Wie du es bei dir zu Hause auch hast. Bei einer Domäne liegen alle Profile zentral auf einem Server, da kannst du von dem PC wo du dran sitzt, nichts kaputt machen, da du ja nur Lokaler Admin bist, also nicht an die Profile und Einstellungen des Servers drankommst.
@Maik87
Stimmt nicht ganz:
Du kannst auch ne Domäne haben, bei welcher das Client-Profil nicht auf den Server zurückgeschrieben wird.
Das bei Servergespeicherten Profilen lokal auf dem Client eine Kopie des Profils erstellt wird, müssen wir nicht erwähnen. Das würde zu Verwirrungen führen.
gretz drop
Stimmt nicht ganz:
Bei einer Domäne liegen alle Profile zentral auf einem Server
Das nur, wenn beim Server die Option "Servergespeicherte Profile" aktiviert wurde.Du kannst auch ne Domäne haben, bei welcher das Client-Profil nicht auf den Server zurückgeschrieben wird.
Das bei Servergespeicherten Profilen lokal auf dem Client eine Kopie des Profils erstellt wird, müssen wir nicht erwähnen. Das würde zu Verwirrungen führen.
gretz drop
OK, dass hatte ich vorrausgesetzt. Da ich die neuen User am PDC erstellt hbe und mich nur auf den WKS einloggen musste, war die Einstellung Standart drin =)
Ja, da schweig mal lieber, Domäne kann schon schlimm genug sein, sag ich dir. Habe da selbst so meine Erfahrungen gemacht . . .
Ja, da schweig mal lieber, Domäne kann schon schlimm genug sein, sag ich dir. Habe da selbst so meine Erfahrungen gemacht . . .
