Active Directory User komplett löschen

[BaduOne 0]

Sehr geehrtes Forum!

Dies ist mein erster Beitrag, deshalb möchte ich ein paar Infos zu mir angeben.

Befinde mich derzeit in einer Ausbildung zum Fachinformatiker für Systemintegration, bin 19 Jahre alt und arbeite mich derzeit in die Active Directory Strukturen ein.

 

 

Folgende Situation: Einer unserer CAD User hat ständig Probleme mit seinem Rechner (friert ein..) nun gab es schon allerlei Lösungsansätze. Lange Rede kurzer Sinn -->

 

Mein Auftrag: Den AD-User komplett löschen und neu anlegen. Es könnten sich ja über die Jahre irgendwelche "Sachen" auf dem Profil gesammelt haben die zu irgendwelchen Problemen und diese zu den besagten Abstürzen führen.

 

Meine Frage: Gibt es ein bestimmtes Prozedere  um einen AD user samt Profil (Server gespeichertes Profil) zu löschen bzw. auf eine Art "Werkseinstellungen" zurückzusetzen, so dass man sagen kann, das Profil ist "jungfröhlich und kann als mögliche Fehlerquelle ausgeschlossen werden.

Alle wichtigen Dateien wurden seperat abgespeichert. Das Profil kann bedenkenlos nun gelöscht/zurückgesetzt werden.

 

- Domänenstrukturebene: Windows Server 2012 (virtueller Server)

- Die Servergespeicherten Profile werden auf einen seperaten virtuellen Windows Server 2008 R2 gespeichert.

 

Möchte mich im Vorraus für Lösungsansätze und Ideen bedanken.

Wünsche einen baldigen Feierabend!

 

Viele Grüße Martin

[GuentherH 61]

Es könnten sich ja über die Jahre irgendwelche "Sachen" auf dem Profil gesammelt haben die zu irgendwelchen Problemen und diese zu den besagten Abstürzen führen.

 

Dann lösche doch zuerst das Profil auf dem betreffenden Rechner und nicht gleich den kompletten User.

 

Um den Fehler einzugrenzen, melde dich mit einem anderen User auf diesem Rechner an. Friert er dann auch ein? Wenn ja, dann liegt es am Rechner. Wenn nein, dann liegt es am Profil des Users.

 

LG Günther

[lefg 276]

Hallo und ein Willkommen am Board

 

Das Benutzerkonto und das Benutzerprofil sind verschiedene Objekte.

 

Ein Einfrieren des Rechners liegt nicht am Benutzerkonto.

 

Wenn also das Profil gelöscht werden soll, dann lösche es auf dem Rechner des Benutzers und auf dem Server.

 

Auf dem Rechner kann man es einfach mit dem Explorer machen oder in System/Erweiterte Systemeinstellungen, dazu noch den Eintrag in der Registry ProfileList löschen.

 

Und falls der Auftrag so streng gefasst, dann lösche noch den Konteneintrag im AD.

 

Dann das Konto neu anlegen, der User meldet sich nach dem Reboot des Rechners neu an, es entsteht dort ein jungfräuliches Profil.

 

Das Ganze hat aber nicht wirklich etwas mit AD zu tun. Wie anfangs schon geschrieben, Benutzerkono und Benutzerprofil sind ganz verschiedene Objekte, das Konto ist tatsächlich im AD, das Profil ist einfach nur ein Ordner mit weiteren Unterordnern und Dateien unter C:\Users auf dem PC und Freigabe auf dem Server. Eine wichtige Datei davon ist die NTUser.dat, sie enthält den Registryanteil des Users.

bearbeitet 18. Februar 2016 von lefg

[Doso 77]

Nutzer abmelden lassen, als Admin abmelden und per Systemsteuerung das zwischengespeicherte Profil löschen. Auf den Fileserver gehen, den Ordner mit neuen Namen versehen. Nutzer anmelden lassen -> jungfräuliches Roaming Profil. Dateien umkopieren aus altem Ordner die man noch braucht, also meist Desktop und Dokumente. Das neue anlegen des Benutzers im AD führt bei sowas zu nix und zeugt eigtl. nur von Unwissenheit des Auftraggebers.

[blub 115]

Nutzer abmelden lassen, als Admin abmelden und per Systemsteuerung das zwischengespeicherte Profil löschen.

Anschließend unbedingt das Adminkonto sofort aus dem AD löschen! Das AdminKonto ist ab jetzt ein Sicherheitsrisiko!

 

Grundregel der Security: Niemals mit einem Konto mit erhöhten Priviligien oder Rechten an einer potentiell unsicheren Maschine, wie einem Endbenutzerclient, anmelden! (weder lokal noch per RDP)

 

blub

[BaduOne 0]

Vielen Dank!!

Ihr habt mir wirklich sehr geholfen!

[NorbertFe 2.027]

Anschließend unbedingt das Adminkonto sofort aus dem AD löschen! Das AdminKonto ist ab jetzt ein Sicherheitsrisiko!

Wenns ein lokales Adminkonto ist gibt's nix im AD und selbst wenn, wieso sollte ich das löschen? Im Allgemeinen reicht cached credentials löschen oder Kennwort ändern. Oder überseh ich hier grad die Panik? ;)

 

Grundregel der Security: Niemals mit einem Konto mit erhöhten Priviligien oder Rechten an einer potentiell unsicheren Maschine, wie einem Endbenutzerclient, anmelden! (weder lokal noch per RDP)

ACK.

 

Bye

Norbert

[blub 115]

Wenns ein lokales Adminkonto ist gibt's nix im AD und selbst wenn,

Tja, wenn das Wörtchen Wenn nicht wär, dann ...

und selbst wenn, wieso sollte ich das löschen? 

Ja, da hast du recht. Den administrativen Domain Account löschen hilft nicht mehr 

 Im Allgemeinen reicht cached credentials löschen oder Kennwort ändern 

No!

Potentielle Malware verbreitet sich von dem ersten verseuchten Rechner aus schneller mit dem abgezogenen neuen Token auf andere Systeme, als du jemals ein Passwort ändern kannst.

Oder überseh ich hier grad die Panik? ;) 

Alles ganz tiefenentspannt  :D

,   

[NorbertFe 2.027]

Also... ob ich Kennwort ändere oder Konto lösche nimmt ähnlich viel mehr Zeit in Anspruch als die Malware. Also was ist dein Vorschlag? ;)

[blub 115]

deinen ersten Satz versteh ich nicht.

 

Ein Vorschlag, was zu tun ist, ist schwierig, da das sehr von den Gegebenheiten beim TO abhängt.
Protected Users könnte einer sein:

http://www.hackinsight.org/news,565.html

https://technet.microsoft.com/en-us/library/dn466518.aspx

 

aber auch nur, wenn... ;)

 

blub

[NorbertFe 2.027]

Der Unterschied, ob ich ein Kennwort ändere oder ein Konto lösche, dürfte in etwa die selbe Zeit benötigen. Deinem Argument nach also in jedem Fall zu lange für die Geschwindigkeit von Malware. ;)