Trix 0 Geschrieben 2. Oktober 2013 Melden Teilen Geschrieben 2. Oktober 2013 Hallo an Alle, Ich hoffe, dass mir hier jemand einen Tipp geben kann, oder sogar schon mal so was selber erlebt hat. Folgendes: Wir arbeiten hier mit Servergespeicherten Profilen. Server 2008 Client Windows 7 Grundsätzlich läuft alles perfekt. Profile werden geladen und auch wieder auf den Server gespeichert. Berechtigungen sind OK. User hat volle Rechte, Admin ist mit drin, eigentlich alles wie es sein soll. Soweit so gut. Nun gibt es aber ab und an (selten mal) dass ein Profil zwar einwandfrei funktioniert aber zusätzlich zum Speicherort des Profils unter dem Server unter C:\Users, wo eigentlich nur die AdminProfile des Servers gespeichert sind das Profil eines Users zusätzlich gespeichert wird. Obschon der User selber dort gar keinen Zugriff hat. Vor zwei Tagen ist das nun wieder passiert. Ich hab den User, als das zusätzliche Profil unter c:\Users angelegt wurde befragt, was zu diesem Zeitpunkt genau gemacht wurde. Der User hat sich zu diesem Zeitpunkt weder am PC abgemeldet noch angemeldet. Er hat sich auch nicht an einem anderen Gerät zusätzlich angemeldet. Also einfach nur am PC gearbeitet, was ich diesem User auch glaube. Was ich absolut nicht verstehen kann, wieso wird ein Profil auf den Server geschrieben, wenn kein an- oder abmelden erfolgt? das ist doch gar nicht möglich. Zudem wurde das Profil mit absolut identischer Uhrzeit einmal unter den Servergespeicherten Profilen gespeichert und zusätzlich einmal unter c:\Users auf dem Server mit den Profilen. Ich versteh das nicht. Wir haben keine speziellen Programme im Einsatz. Der PC mit diesem besagten User ist sauber. Keine Viren oder dergleichen. Das Profil unter c:\users kann ich löschen und dann verhält sich auch alles wieder ganz normal. In ein paar Wochen wird aber ein anderer User genau das selbe wieder "hinkriegen" Es ist nie das selbe UserProfil. Ich hab mir die Ereignisprotokolle angesehen - nichts. Ich weiss nicht mehr wo ich noch ansetzen könnte. Jede Idee oder Hinweis ist wirklich herzlich willkommen. Vielen Dank im Voraus. Grüsse Trix Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 2. Oktober 2013 Melden Teilen Geschrieben 2. Oktober 2013 (bearbeitet) Hallo, also am Server wird das Userprofil gespeichert, als wenn der User sich lokal am Server anmelden würde? Wenn dieser sich definitiv nicht am besagten Server angemeldet hat (auch nicht per RDP?), dann könnte es noch um eine Anmeldung über einen Dienst/Task/Skript/Ausführen als-Befehl handeln. Dabei könnte das Profil lokal erstellt werden, und dabei zieht er sich dann halt das servergespeicherte Profil. Such also auch mal auf dem Server nach dem Problem, und nicht nur am Client. bearbeitet 2. Oktober 2013 von iDiddi Zitieren Link zu diesem Kommentar
Trix 0 Geschrieben 3. Oktober 2013 Autor Melden Teilen Geschrieben 3. Oktober 2013 Guten Morgen, ja genau. Als wenn er sich am Server selber anmelden würde. Er kann sich wirklich nicht am Server anmelden. Auch nicht über RDP. Er hat nur Domänen-Benutzer Rechte. Keine Adminrechte. Danke für Deinen Hinweis. Ich habe in der Tat gestern Abend die Dienste durchforscht. - Nichts. Tasks gibt es keine. Skripts nur einen einzigen und dort hat nur ganz ein spezieller Account Zugang. Also auch nichts. Zudem ist es ja so, dass es immer ein anderer Benutzer ist. Nie der selbe. Und das auch nicht jeden Tag oder viele User. Sondern immer mal ab und an. Ich bin erst seit 4 Monaten hier und habe mir sagen lassen, dass es vorher immer wieder solche Profile unter c:\users gab und eben immer andere Benutzer. Als ich damals hier anfing, hatte es zwei Einträge. Ich hab mir diese angesehen und bemerkt, dass die Berechtigungen nicht OK waren und auch die Servergespeicherten Profile nicht ganz korrekt waren. So habe ich das dann alles bereinigt und siehe da, es war Ruhe. Drei Monate lang gab es keine neuen Einträge mehr unter dem c:\users Bereich. Bis dann am Montag Punkt 14:43:37 wieder ein Profil entstanden ist. Mit Ausnahme eines manuellen Eingriffs, Task oder Script wird doch ein Profil NUR beim Abmelden resp. Herunterfahren des PC's auf den Server zurückgeschrieben, oder? Oder bin ich hier völlig falsch. Auf dem Server hab ich im Ereignisprotokoll gesehen, dass zu dieser Zeit der User 3 Einträge hat mit "Ein Konto wurde erfolgreich angemeldet" aber nur einen Eintrag "Ein Konto wurde abgemeldet" Somit bleiben immer noch 2 Einträge angemeldet. Was mir irgendwie auch nicht logisch erscheint. Was vielleicht auch noch Hilfreich sein könnte ist: Der User war nach diesem Vorfall mit dem korrekten Profil verbunden und nicht mit dem Eintrag unter c:\users Es kommt mir vor, als wenn das zweite Profil wie eine Schattenkopie zusätzlich gemacht worden wäre. Wir arbeiten auf diesem Server zwar mit Schattenkopien, aber die laufen um 11:00 und 16:00. Also absolut nicht in der besagten Zeit. Idee? Danke Grüsse Trix Zitieren Link zu diesem Kommentar
Trix 0 Geschrieben 3. Oktober 2013 Autor Melden Teilen Geschrieben 3. Oktober 2013 Hallo an Alle, inzwischen hab ich selber noch was festgestellt, denn es gab heute schon wieder einen Profileintrag am falschen Platz. Im Ereignisprotokoll sind in beiden Fällen genau zu der besagten Zeit die gleichen Einträge. -------------------------------------------------------- Informationen01.10.2013 14:43:36 Microsoft-Windows-Security-Auditing4714 Andere Richtlinienänderungsereignisse"Die Gruppenrichtlinie ""Datenwiederherstellungs-Agent"" für das verschlüsselnde Dateisystem (Encrypting File System, EFS) wurde geändert.Die neuen Änderungen wurden übernommen." Fehler01.10.2013 14:43:38 Microsoft-Windows-Eventlog1108 Ereignispozessor"Der Ereignisprotokollierungsdienst hat einen Fehler beim Verarbeiten eines eingehenden Ereignisses erkannt, das von ""Microsoft-Windows-Security-Auditing"" veröffentlicht wurde." --------------------------------------------------------------- Informationen03.10.2013 13:34:39 Microsoft-Windows-Security-Auditing4714 Andere Richtlinienänderungsereignisse"Die Gruppenrichtlinie ""Datenwiederherstellungs-Agent"" für das verschlüsselnde Dateisystem (Encrypting File System, EFS) wurde geändert.Die neuen Änderungen wurden übernommen." Fehler03.10.2013 13:34:40 Microsoft-Windows-Eventlog1108 Ereignispozessor"Der Ereignisprotokollierungsdienst hat einen Fehler beim Verarbeiten eines eingehenden Ereignisses erkannt, das von ""Microsoft-Windows-Security-Auditing"" veröffentlicht wurde." ---------------------------------------------------------------- Irgendwie muss es damit zu tun haben. Laut Google kann man diesen Fehler vernachlässigen. Kann mir jemand mehr dazu sagen? Danke Grüsse Trix Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. Oktober 2013 Melden Teilen Geschrieben 3. Oktober 2013 (bearbeitet) Hallo, existiert auf dem Server eventuell ein Malware oder eine Fernwartungssoftware aus vergangenen Zeiten? bearbeitet 3. Oktober 2013 von lefg Zitieren Link zu diesem Kommentar
Trix 0 Geschrieben 3. Oktober 2013 Autor Melden Teilen Geschrieben 3. Oktober 2013 Hallo, hab es mir soeben angesehen. Nein, es existiert nichts dergleichen. Weder noch installiert noch übriggebliebene Ordner oder so. Ich nehme auch nicht an, dass ja je sowas drauf war. Woran hast Du bei Deiner Frage gedacht? Resp. was vermutest Du? Grüsse Trix Zitieren Link zu diesem Kommentar
Trix 0 Geschrieben 7. Oktober 2013 Autor Melden Teilen Geschrieben 7. Oktober 2013 Hallo an Alle, mein Problem ist gelöst. Via GPO EFS verbieten und schon ist Ruhe. Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Richtlinien öffentlicher Schlüssel - Verschlüsselndes Dateisystem, Rechtsklick "Eigenschaften" Grüsse Trix Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 7. Oktober 2013 Melden Teilen Geschrieben 7. Oktober 2013 Danke für die Rückmeldung. Das EFS damit zu tun hat überrascht mich jetzt aber. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.