none
Servergespeicherte Profile mit Eigenleben RRS feed

  • Frage

  • Hallo an Alle,

    Ich hoffe, dass mir hier jemand einen Tipp geben kann, oder sogar schon mal so was selber erlebt hat.

    Folgendes:
    Wir arbeiten hier mit Servergespeicherten Profilen.
    Server 2008
    Client Windows 7 

    Grundsätzlich läuft alles perfekt.

    Profile werden geladen und auch wieder auf den Server gespeichert.
    Berechtigungen sind OK.
    User hat volle Rechte, Admin ist mit drin, eigentlich alles wie es sein soll.
    Soweit so gut.

    Nun gibt es aber ab und an, dass ein Profil zwar einwandfrei funktioniert aber zusätzlich zum Speicherort des Profils unter dem Server unter C:\Users, wo eigentlich nur die AdminProfile des Servers gespeichert sind das Profil eines Users zusätzlich gespeichert wird. Obschon der User selber dort gar keinen Zugriff hat.

    Am 1.10. ist das nun wieder passiert, nachdem 3 Monate keine solchen Profile generiert wurden.

    Ich hab den User, als das zusätzliche Profil unter c:\Users angelegt wurde befragt, was zu diesem Zeitpunkt genau gemacht wurde. Der User hat sich zu diesem Zeitpunkt weder am PC abgemeldet noch angemeldet. Er hat sich auch nicht an einem anderen Gerät zusätzlich angemeldet. Also einfach nur am PC gearbeitet, was ich diesem User auch glaube.

    Was ich absolut nicht verstehen kann, wieso wird ein Profil auf den Server geschrieben, wenn kein an- oder abmelden erfolgt? das ist doch gar nicht möglich.

    Zudem wurde das Profil mit absolut identischer Uhrzeit einmal unter den Servergespeicherten Profilen gespeichert und zusätzlich einmal unter c:\Users auf dem Server mit den Profilen.

    Ich versteh das nicht.
    Wir haben keine speziellen Programme im Einsatz. Der PC mit diesem besagten User ist sauber. Keine Viren oder dergleichen.

    Das Profil unter c:\users kann ich löschen und dann verhält sich auch alles wieder ganz normal.

    Gestern ist nun schon wieder ein solches Profil erstellt worden auf dem Server. Von einem anderen Benutzer.
    Es ist nie das selbe UserProfil. Auch er hat sich nicht am PC abgemeldet. Das Gerät war zu diesem Zeitpunkt gesperrt, da er noch in der Mittagspause weilte. Der User hat also nicht einmal am PC gearbeitet, als sein Profil am falschen Ort auf den Server gespeichert wurde.

    Ich hab mir die Ereignisprotokolle angesehen.
    Das einzige was diese beiden Fälle gemeinsam haben ist folgendes:

    --------------------------------------------------------

    Informationen
    01.10.2013 14:43:36 Microsoft-Windows-Security-Auditing
    4714 Andere Richtlinienänderungsereignisse
    "Die Gruppenrichtlinie ""Datenwiederherstellungs-Agent"" für das verschlüsselnde Dateisystem (Encrypting File System, EFS) wurde geändert.
    Die neuen Änderungen wurden übernommen."

    Fehler
    01.10.2013 14:43:38 Microsoft-Windows-Eventlog
    1108 Ereignispozessor
    "Der Ereignisprotokollierungsdienst hat einen Fehler beim Verarbeiten eines eingehenden Ereignisses erkannt, das von ""Microsoft-Windows-Security-Auditing"" veröffentlicht wurde."

    ---------------------------------------------------------------

    Informationen
    03.10.2013 13:34:39 Microsoft-Windows-Security-Auditing
    4714 Andere Richtlinienänderungsereignisse
    "Die Gruppenrichtlinie ""Datenwiederherstellungs-Agent"" für das verschlüsselnde Dateisystem (Encrypting File System, EFS) wurde geändert.
    Die neuen Änderungen wurden übernommen."

    Fehler
    03.10.2013 13:34:40 Microsoft-Windows-Eventlog
    1108 Ereignispozessor
    "Der Ereignisprotokollierungsdienst hat einen Fehler beim Verarbeiten eines eingehenden Ereignisses erkannt, das von ""Microsoft-Windows-Security-Auditing"" veröffentlicht wurde."

    ----------------------------------------------------------------

    Irgendwie muss es damit wohl zusammenhängen. Aber ich komm einfach nicht mehr weiter.
    Ich weiss nicht mehr wo ich noch ansetzen könnte.

    Jede Idee oder Hinweis ist wirklich herzlich willkommen.

    Vielen Dank im Voraus.

    Grüsse
    Trix

    Freitag, 4. Oktober 2013 07:43

Antworten

  • Kann es sein, dass der Server als Fileserver fungiert und der zugehörige Benutzer verschlüsselte Dateien auf dem betroffenen Server besitzt, wodurch es dazu kommen kann, dass diese EFS-Informationen in einem lokalen (Mini-)Profil angewandt werden? S.a.: http://blogs.technet.com/b/instan/archive/2009/07/16/efs-and-windows-2008-file-servers.aspx
    Freitag, 4. Oktober 2013 09:21
  • Die Lösung in dem Artikel paßt nicht zu Deinem Problem ;-)

    Da geht's darum, daß die User mit servergespeicherten Profilen in XP ein Profilverzeichnis "\\server\profile\%username%" haben. Der 2008 Fileserver sucht aber ein Profilverzeichnis "\\server\profile\%username%.V2" (da wird seit Vista vom OS automatisch .V2 angehängt).

    Du könntest mal versuchsweise EFS verbieten (Computerkonfiguration - Richtlinien - Windows-Einstellugnen - Sicherheitseinstellungen - Richtlinien öffentlicher Schlüssel - Verschlüsselndes Dateisytem, Rechtsklick "Eigenschaften").


    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Freitag, 4. Oktober 2013 14:17

Alle Antworten

  • Hm - verstehe ich richtig?

    Die Profile werden gespeichert auf \\server\profile\%username% (oder so). Und auf dem lokalen Systemlaufwerk des Servers in C:\Users taucht ein Benutzerprofil auf, obwohl der User sich am Server nie angemeldet hat?

    Da würde ich auf dem Server die Objektüberwachung aktivieren und auf C:\Users die Überwachung für das Erstellen von Ordnern. Dann weißt Du wenigstens schon mal, unter welchem Account das entsteht und wann genau.

    http://support.microsoft.com/kb/310399 (ist zwar für XP, gilt aber sinngemäß immer noch)


    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Freitag, 4. Oktober 2013 07:57
  • Kann es sein, dass der Server als Fileserver fungiert und der zugehörige Benutzer verschlüsselte Dateien auf dem betroffenen Server besitzt, wodurch es dazu kommen kann, dass diese EFS-Informationen in einem lokalen (Mini-)Profil angewandt werden? S.a.: http://blogs.technet.com/b/instan/archive/2009/07/16/efs-and-windows-2008-file-servers.aspx
    Freitag, 4. Oktober 2013 09:21
  • Hallo,

    Danke für Deine Antwort.

    Ja, genau so ist es. Der User meldet sich nie am Server an. Kann er auch nicht. Trotzdem erscheint dort sein Profil zusätzlich zum Originalort der Servergespeicherten Profile. Er greift mit seinem Profil auch nicht auf das "falsche" Profil zu.

    Dein Hinweis mit der Überwachung hab ich versucht einzustellen. Hab dann gesehen, dass da schon einiges drin war und bin so auf was gestossen.

    ------------------------------------------

    Informationen 01.10.2013 14:43:37 
    Microsoft-Windows-User Profiles Service
    Ereignis-ID 6
    Die Synchronisierung des Profils von \\ Server\Profile$\xyz.V2 auf C:\Users\xyz wird gestartet.

    Informationen 01.10.2013 14:43:50 
    Microsoft-Windows-User Profiles Service
    Ereignis-ID 7
    "Die Synchronisierung des Profils von \\ server\profile$\xyz.V2 auf C:\Users\xyz wurde beendet.
    Ergebnis: Der Vorgang wurde erfolgreich beendet.

    -----------------------------------------------

    Scheinbar wurde in beiden Fällen der Befehl ausgelöst dieses Profil zu kopieren.

    Mir ist jetzt nur absolut nicht klar, was genau kann so was auslösen?
    Was könnte der Auslöser sein? Woher bekommt das System den Befehl genau diesen User zu kopieren und wo steht geschrieben von wo nach wo?

    Es gibt weder ein Script/Task/GPO/Tool in diese Richtung.

    Wer/was löst diesen Befehl aus?

    Danke
    Grüsse

    Trix

    Freitag, 4. Oktober 2013 10:59
  • Hallo Tobias,

    Es ist in der Tat so, dass der Server gleichzeitig Fileserver ist.

    Allerdings können die User keine Dateien Verschlüsseln. Es erscheint die Meldung:
    "Wiederherstellungsrichtlinie für diesen Computer ungültiges Wiederherstellungszertifikat enthält."
    Was auf ein abgelaufenes Certi hinweist - glaub ich. Bitte Korrigieren, wenn's nicht stimmt.
    Die bis jetzt betroffenen User sagen auch, dass Sie nichts mit Verschlüsselten Dateien oder Ordnern gemacht hätten, oder hätten tun wollen.

    Im TechNet-Blog wird gesagt, dass dies nur passieren kann, wenn der User kein .V2 Profil besitzt.
    oder versteh ich das falsch?

    In der Tat scheint es aber wirklich in diese Richtung zu gehen.

    Ich hab bei mir versucht eine Datei zu verschlüsseln, was ich wie oben erwähnt ja nicht darf resp. hinbekommen hab. Trotzdem hab ich aber unter hat er mir dieses "Mini-Profil" sofort angelegt.

    Obwohl also der User nicht verschlüsseln kann, löst der reine Versuch, das Anlegen des Profils aus.

    Super! Jetzt bin ich doch schon einen Schritt weiter. Vielen Dank.

    Im Blog wird auch von einer Lösung gesprochen, die ich aber nicht wirklich verstehe.
    Mein Englisch ist auch nicht gerade sehr gut - geb ich zu.

    Kannst Du mir noch mal "unter die Arme" greifen?

    Vielen Dank

    Freitag, 4. Oktober 2013 12:57
  • Die Lösung in dem Artikel paßt nicht zu Deinem Problem ;-)

    Da geht's darum, daß die User mit servergespeicherten Profilen in XP ein Profilverzeichnis "\\server\profile\%username%" haben. Der 2008 Fileserver sucht aber ein Profilverzeichnis "\\server\profile\%username%.V2" (da wird seit Vista vom OS automatisch .V2 angehängt).

    Du könntest mal versuchsweise EFS verbieten (Computerkonfiguration - Richtlinien - Windows-Einstellugnen - Sicherheitseinstellungen - Richtlinien öffentlicher Schlüssel - Verschlüsselndes Dateisytem, Rechtsklick "Eigenschaften").


    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Freitag, 4. Oktober 2013 14:17
  • Hallo Martin,

    vielen Dank für Deine Ausführungen.

    Ich hab mir die Einstellung auf dem Server mal angesehen.
    Ist im Moment nicht definiert. Heisst er soll einfach ein privates Certi machen, wenn keins da ist.
    Das würde genau passen.

    Ich werde das am Montag mal einstellen und testen.
    Melde mich wieder .... so oder so..... ob's die Lösung war oder nicht :-)

    Danke erst mal an alle die mir geholfen haben.

    Grüsse und schönes Wochenende
    Trix

    Freitag, 4. Oktober 2013 14:52
  • Hallo und guten Morgen an Alle,

    ich hab nun mal EFS wie von Martin empfohlen mal verboten.
    Danach hab ich mit Testusern getestet, ob ich weiterhin Profile generieren kann, wie ich das am Freitag ja schon fast mit Begeisterung hinbekommen hab.

    Und siehe da, Ruhe herrscht. Keine Mini-Profile mehr.

    Vielen herzlichen Dank an Euch Profis!!!

    Grüsse

    Trix

    Montag, 7. Oktober 2013 06:49