hacori 2 Geschrieben 5. Juni 2023 Melden Teilen Geschrieben 5. Juni 2023 Hallo zusammen Vielleicht kann mir jemand einen entscheidenden Tipp geben. Wegen eines Fehlers bei der Einrichtung von Veeam Backup for Office 365 auf einem Windows Server 2022 hatte ich testhalber die Synchronisierung in Edge für ein Microsoft Konto aktiviert. Die Software-Einrichtung konnte ich inzwischen abschliessen, jetzt bekomme ich aber den Account nicht mehr weg. Er erscheint sowohl im Edge als auch in den Windows Einstellungen unter Datenschutz > Aktivitätsverlauf (siehe Screenshots). Diverse Hinweise aus dem Internet - fast ausschliesslich auf PCs bezogen - halfen nicht weiter: Im Online-Portal des Accounts erscheint der Server nicht unter Geräte. Die Edge-Einstellungen hatte ich gelöscht. Anschliessend war der Account immer noch (oder wieder) sichtbar Das Profil im Edge hatte ich auch schon gelöscht. Danach wurde der Account im neu erstellten Profil gleich wieder zur Synchronisierung angeboten. Zurücksetzen von Edge via Windows Einstellungen > Apps steht nicht zur Auswahl. Die zuvor unter Anmeldeinformationsverwaltung gespeicherten Einträge sind gelöscht. Den Inhalt von "%localappdata%\Microsoft\Edge\User Data" hatte ich bereits gelöscht, ebenso die Dateien unter "%localappdata%\Microsoft\Windows\Safety\edge\remote", welche mit einer Nummer versehen sind. Ein Tipp, die vom Gerät in Azure (oder Intune) gespeicherten Daten zu löschen, half auch nicht. Die diesbezügliche Seite von Microsoft finde nicht mehr, es war u.a. auf OneDrive bezogen (ist auf dem Server nicht installiert). Via Registry konnte ich einstellen, dass gar keine Accounts für die Synchronisation in Edge angezeigt werden sollen bzw. immer ein unpersönliches Profil genutzt wird. Nachdem ich den Registry-Eintrag wieder gelöscht hatte, erschien der Account erneut. Das war somit nur ein Workaround war und hatte keinen bleibenden Einfluss auf den hintergründig verlinkten Account. In der folgenden Diskussion geht es im Prinzip genau um diese Problematik. In meinem Fall erscheint der Account zwar nicht als "Connected to Windows", indirekt kommt es aber vielleicht aufs Gleiche heraus. https://techcommunity.microsoft.com/t5/discussions/allow-removal-of-quot-connected-to-windows-quot-accounts-from/m-p/1534251 Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 5. Juni 2023 Melden Teilen Geschrieben 5. Juni 2023 Hi, spricht etwas dagegen, dass komplette lokale Profil des Users auf diesem System zu löschen? Get-CimInstance Win32_UserProfile | where { $_.LocalPath -Match „<Username>“ } | Remove-CimInstance Zitieren Link zu diesem Kommentar
hacori 2 Geschrieben 6. Juni 2023 Autor Melden Teilen Geschrieben 6. Juni 2023 (bearbeitet) vor 16 Stunden schrieb testperson: spricht etwas dagegen, dass komplette lokale Profil des Users auf diesem System zu löschen? Theoretisch würde nichts dagegen sprechen. Obschon ich dies als Lösungsmöglichkeit fand, hatte ich Zweifel, ob dies möglich/sinnvoll ist. Mit dem erwähnten Befehl habe ich es nun doch versucht, da mir dieser nicht bekannt war. Leider kann das Profil so nicht gelöscht werden. Grund: Die Datei(en) werden von anderen Prozess verwendet. Ein Server-Neustart unmittelbar zuvor hatte keinen Einfluss darauf, obschon ich danach mit dem lokalen Administrator-Konto anmeldete und das Domänenadmin-Konto in Ruhe liess. Ich will nicht versuchen herauszufinden, welcher Prozess die Löschung blockiert, da vielleicht genau dieser in einen Fehler liefe, falls das Profil doch gelöscht / neu erstellt würde. bearbeitet 6. Juni 2023 von hacori Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 6. Juni 2023 Melden Teilen Geschrieben 6. Juni 2023 Bist du mit dem User angemeldet, mit dem du jetzt versuchst, das lokale Profil zu löschen? Dann wird es in der Tat schwierig und du müsstest dich mit einem anderen User anmelden, der lokaler Administrator ist. Zitieren Link zu diesem Kommentar
hacori 2 Geschrieben 7. Juni 2023 Autor Melden Teilen Geschrieben 7. Juni 2023 (bearbeitet) Nein, natürlich nicht. Das zu löschende Profil ist dasjenige des Domänenadministrators (domain\administrator). Das Konto, mit dem ich angemeldet war, um es zu löschen, ist dasjenige des Servers selbst (.\administrator). Es betrifft selbstverständlich nicht den Domänencontroller, sondern einen normalen Mitgliedsserver. Darum hätte das theoretisch funktionieren müssen. Aber wenn irgendwas die Löschung blockiert, lasse ich es eben lieber bleiben. bearbeitet 7. Juni 2023 von hacori Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 7. Juni 2023 Melden Teilen Geschrieben 7. Juni 2023 Evtl. wurde der DomAdmin nach dem Neustart automatisch wieder angemeldet, gibt es schon seit W8. Du kannst das Feature ja mal auf dem Server abschalten, neu starten und nochmal probieren zu löschen. https://www.heise.de/ratgeber/Immer-noch-angemeldet-trotz-Neustart-4785722.html Zitieren Link zu diesem Kommentar
hacori 2 Geschrieben 13. Juni 2023 Autor Melden Teilen Geschrieben 13. Juni 2023 Das Feature zum automatisch anmelden ist beim Server grundsätzlich nicht vorgesehen und kann nicht über den Gruppenrichtlinieneditor abgeschaltet werden. Den im Heise-Artikel erwähnten Registry-Key habe ich geändert, den Server neu gestartet, als .\administrator angemeldet und nochmals versucht, das Profil von domain\administrator zu löschen. Zuerst erstellte ich eine Kopie des Profils. Wie schon beim ersten Versuch gab es dabei mehrere Fehler, weil einige Dateien (unter anderem die ntuser.dat) geöffnet seien. Das Administrator-Konto wird also durchaus von irgendeinem Dienst automatisch gestartet/verwendet, im Task Manager ist davon aber nichts sichtbar. Die versuchte Profil-Löschung gab wieder folgenden Fehler zurück: Remove-CimInstance : Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Die Synchronisation des Microsoft Accounts hatte ich vorübergehend nochmals aktiviert in der Hoffnung, dass ich ihn deses Mal korrekt/vollständig trennen bzw. abmelden könnte. In der Anmeldeinformationsverwaltung war er danach zweifach unter Windows-Anmeldeinformationen erwähnt, einmal mit 'MicrosoftAccount:user=' und einmal mit 'SSO_POP_User:user='. Beide Einträge habe ich gelöscht und den Server neu gestartet. Leider brachte das nichts. Er wird weiterhin zur erneuten Synchronisierung vorgeschlagen und ist somit noch mit dem Server verknüpft. Etwas Zusätzliches, was mich irritiert: Seit ich am 6. Juni versuchte, das Benutzerprofil zu löschen, ist der Desktophintergrund meistens schwarz, wie wenn jemand zuvor eine Fernwartung zum Server via Teamviewer aufgebaut hätte. Zwar kann ich den Standard-Hintergrund über die Einstellungen auswählen, es bewirkt aber nichts. Gemäss folgendem Thread habe ich die Datei C:\WINDOWS\web\wallpaper\Windows\img0.jpg mit der eines anderen Servers ersetzt. Das hatte kurzfristig gewirkt. Beim nächsten Zugriff war der Desktophintergrund aber wieder schwarz. https://www.mcseboard.de/topic/212356-windows-10-hintergrundbild-wird-nicht-mehr-angezeigt-schwarzer-desktop/ Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 13. Juni 2023 Melden Teilen Geschrieben 13. Juni 2023 Sysinternals "handle.exe" oder ProcMon sagen Dir, wer (welcher Prozess) genau welche Dateien offen hat. 1 Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 13. Juni 2023 Melden Teilen Geschrieben 13. Juni 2023 Wenn du den Server bootest, dich mit einem anderen Konto anmeldest und dann mit dem PowerShell Befehl versuchst das Profil zu löschen, scheitert es auch daran, dass Dateien offen sind? Dann wäre meine Vermutung Es läuft ein Dienst mit diesem Konto Es läuft ein Task mit diesem Konto Ansonsten siehe @daabms Antwort. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 14. Juni 2023 Melden Teilen Geschrieben 14. Juni 2023 Auch wenn es aus dem Task von Testperson allenfalls herauslesbar ist. Ein Konto löschen geht nur, wenn man sich nach einem Neustart noch nicht angemeldet hat. Sprich frisch neu starten, mit einem anderen Account anmelden, unerwünschtes Konto löschen. Zitieren Link zu diesem Kommentar
hacori 2 Geschrieben 17. Juni 2023 Autor Melden Teilen Geschrieben 17. Juni 2023 (bearbeitet) Danke an alle für die bisherigen Tipps. @testperson@Weingeist Natürlich wird der Domänenadministrator-Account für manche Dienste verwendet, schliesslich ist es der (Haupt-)Administrator. Darüber läuft so ziemlich alles. Deswegen verwundert es mich überhaupt nicht, dass ich dessen lokales Profil nicht löschen kann - auch wenn er nicht angemeldet ist und nicht im Task Manager erscheint. @daabm Die zwei Sysinternal Tools testete ich auf meinem privaten Laptop, bei dem die Edge-Synchronisierung zu zwei Microsoft Accounts aktiviert ist. Einer davon (persönliches Konto) ist ebenfalls im Aktivitätsverlauf erwähnt, der andere nicht. - Mit "handle.exe" kam ich gar nicht klar. - ProcMon wäre dank der Filteroptionen zwar besser, ist aber auch nicht wirklich hilfreich. Dass OneDrive aktiv ist, weiss ich auch ohne das Tool. Ansonsten sah ich nichts, was weiterhelfen könnte - in Bezug auf den persönlichen Microsoft Account. Eine Suche nach dem vorderen Teil der E-Mail-Adresse stoppte ich. Die einzige Aufgabe, welche auf dem Server wissentlich mit der Mailadresse des verknüpften Microsoft Kontos in Verbindung steht, ist der Versand von Statusreports (per SMTP) aus Veeam Backup and Replication (Community Edition). Der Versand erfolgt zweimal pro Tag. Falls nur deswegen der Microsoft Account permanent 'verwendet' wird und nicht mehr vollständig aus Edge bzw. den Windows Einstellungen getrennt werden kann, finde ich das etwas sonderbar. In Betracht gezogen hatte ich es natürlich schon. Aber ich verzichtete darauf, einen (oder mehrere) Veeam Dienst(e) zu deaktivieren, da mir dies als wenig aussichtsreich erschien. Weil nach wie vor keine Lösung in Sicht ist, werde ich im Veeam vorübergehend eine andere Mailadresse hinterlegen und nach einem Serverneustart nochmals schauen ob ich etwas ändern kann. Falls nein, werde ich das Ganze wohl auf sich bewenden lassen. Die Lust an weiterem Troubleshooting ist mir vergangen. bearbeitet 17. Juni 2023 von hacori Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 17. Juni 2023 Melden Teilen Geschrieben 17. Juni 2023 vor 3 Stunden schrieb hacori: Natürlich wird der Domänenadministrator-Account für manche Dienste verwendet, schliesslich ist es der (Haupt-)Administrator. Darüber läuft so ziemlich alles. Deswegen verwundert es mich überhaupt nicht, dass ich dessen lokales Profil nicht löschen kann - auch wenn er nicht angemeldet ist und nicht im Task Manager erscheint. An dieser Stelle solltest du ansetzen. In kurz: Der Domänen-Administrator verwaltet die Domain Controller und sonst eigentlich nichts. Alles andere wird mit Accounts erledigt, die nur die erforderlichen Rechte delegiert bekommen haben. 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 17. Juni 2023 Melden Teilen Geschrieben 17. Juni 2023 vor 5 Stunden schrieb hacori: Natürlich wird der Domänenadministrator-Account für manche Dienste verwendet, Echt? Ich find das eher unnatürlich. ;) hier läuft jedenfalls nix unter diesem Account. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 17. Juni 2023 Melden Teilen Geschrieben 17. Juni 2023 vor 7 Stunden schrieb hacori: Natürlich wird der Domänenadministrator-Account für manche Dienste verwendet, schliesslich ist es der (Haupt-)Administrator. Der Dom Admin gehört mit einem starken PW versehen und anschließend nicht mehr benutzt. Für jeden Dienst legt man einen eigenen Account an. So wie Du es derzeit machst, darfst Du das PW vom Dom Admin nie mehr ändern, tust Du es trotzdem, funktioniert zu viel nicht mehr. 1 Zitieren Link zu diesem Kommentar
hacori 2 Geschrieben 17. Juni 2023 Autor Melden Teilen Geschrieben 17. Juni 2023 vor 10 Stunden schrieb NorbertFe: Ich find das eher unnatürlich. ;) Ja, der Begriff 'natürlich' war schlecht gewählt. Dass der Domain-Administrator nur die Domänencontroller verwaltet, wäre logischerweise besser. Dass dieser allgemein verwendet wird, ist/war halt seit Jahren so. vor 8 Stunden schrieb Sunny61: Für jeden Dienst legt man einen eigenen Account an. Diesen Punkt erachte ich zwar für kleine IT-Umgebungen als nicht zwingend nötig. Dass zumindest eine teilweise Abgrenzung mit Dienstaccounts besser ist, leuchtet mir aus sicherheitstechnischen Gründen jedoch ein. Es wird wohl Zeit, das bestehende Konzept betreffend Accunts zu überdenken / zu ändern. Leider habe ich da wenig mitzureden. Aber ich werde bei Gelegenheit den Chef darauf ansprechen. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.