Problem mit Roaming-Profil auf Windows XP SP3 (gelöschte Dateien wieder da)

[Deleted member 8894]

Hallo allerseits

Wir haben in unserem Netzwerk einen Domaincontroller (Win Serv 2008 R2) und eine einzige Maschine, die Windows XP hat (und zwar SP3). Daneben sind noch einige Windows Vista Maschinen, aber auf denen tritt das Problem nicht auf.

Das Problem ist folgendes: der Benutzer löscht irgendeine Datei innerhalb seines Profils (z.B. auf dem Desktop) - nach dem Abmelden/Neustart ist die Datei jedoch wieder da...
Manchmal passiert es auch, dass der Benutzer z.B. eine Datei auf dem Desktop erstellt und nach dem Abmelden/Neustart die Datei nicht mehr vorhanden ist (das tritt aber nicht immer auf).

Ich hab dazu auch schon etwas gegoogelt und dabei ein Dienst von MS gefunden (UPHClean - User Profile Hive Cleanup Service). Hab diesen installiert, doch geändert hat sich nix.

Any idea?

 

[fuchzga]

Hi,
Das Roaming Profile wird ja gewöhnlich auf einem Fileserver abgelegt.
Demzufolge müssten die Files dort ebenfalls gelöscht werden, sobald sich der User von seinem Client abmeldet.
(Es wird sozusagen der Zustand des Userprofiles auf den Fileserver repliziert.)
Kannst du das nachvollziehen?

Ist der Desktop überhaupt teil des Roaming-Profiles oder wird der Desktop durch eine GPO auf einen anderen Pfad umgebogen?
Wenn ihr Vista und WinXP mischt, dann habt ihr hoffentlich nach Client-OS getrennte Roaming-Profiles?

 

[Lord Gurke]

Ist der Server eventuell mit der Anzahl der Clients überfordert (Hardware, Lizenz)? Oder ist die Netzwerkverbindung des Clients nicht so ganz beständig - z.B. WLAN?

Wenn Windows beim An- oder Abmelden keine Verbindung zum Server bekommt, legt Windows das Profil auf der Festplatte ab und lädt es beim Anmelden auch von dort, wenn keine Verbindung zum Server besteht.

 

[Deleted member 8894]

Das Roaming Profile wird ja gewöhnlich auf einem Fileserver abgelegt.
Demzufolge müssten die Files dort ebenfalls gelöscht werden, sobald sich der User von seinem Client abmeldet.
(Es wird sozusagen der Zustand des Userprofiles auf den Fileserver repliziert.)
Kannst du das nachvollziehen?

Das kann ich nicht nachvollziehen, da wenn ich mich als Administrator auf dem Server anmelde und in den Profil-Ordner des Users gehen will, ich da ja vom System aus keinen Zugriff darauf erhalte. Ich müsste die Dateiberechtigungen ändern bzw. den Besitz übernehmen um da reinzuschauen.

Ist der Desktop überhaupt teil des Roaming-Profiles oder wird der Desktop durch eine GPO auf einen anderen Pfad umgebogen?

Der Desktop ist Teil des Roaming-Profils. Mittels GPO ist die Ordnerumleitung für den Desktop aktiviert. Also als Beispiel der User Fred. Dessen Profil ist unter \\MeinServer\Users\Fred gespeichert. Die Ordnerumleitung ist definiert nach \\MeinServer\Users\Fred\Desktop (im Fenster für die Ordnerumleitung wird das auch so korrekt dargestellt).

Wenn ihr Vista und WinXP mischt, dann habt ihr hoffentlich nach Client-OS getrennte Roaming-Profiles?

Also so wie ich das verstehe, trennt das Windows ja automatisch (es erstellt ja automatisch einen Ordner Fred.V2 für die neueren/Vista-Profile).

Ist der Server eventuell mit der Anzahl der Clients überfordert (Hardware, Lizenz)?

Nein, die CAL sind ausreichend und Hardware-Leistung reicht 100%ig garantiert aus.

Oder ist die Netzwerkverbindung des Clients nicht so ganz beständig - z.B. WLAN?

Die besagte Workstation und auch alle anderen Workstations im Netz sind über Gigabit-LAN angeschlossen - also beständig.

Wenn Windows beim An- oder Abmelden keine Verbindung zum Server bekommt, legt Windows das Profil auf der Festplatte ab und lädt es beim Anmelden auch von dort, wenn keine Verbindung zum Server besteht.

Ja das ist richtig. Doch wenn dann wieder eine Verbindung besteht, müsste es meines Wissens wieder synchronisiert werden - oder?

 

[fuchzga]

Das kann ich nicht nachvollziehen, da wenn ich mich als Administrator auf dem Server anmelde und in den Profil-Ordner des Users gehen will, ich da ja vom System aus keinen Zugriff darauf erhalte. Ich müsste die Dateiberechtigungen ändern bzw. den Besitz übernehmen um da reinzuschauen.

Das kannst du in einer GPO mitgeben.
Geh diesen Link mal durch: http://technet.microsoft.com/en-us/library/cc781862(WS.10).aspx
insbesondere "Add the Administrators security group to the roaming user profile share"

Der Desktop ist Teil des Roaming-Profils. Mittels GPO ist die Ordnerumleitung für den Desktop aktiviert. Also als Beispiel der User Fred. Dessen Profil ist unter \\MeinServer\Users\Fred gespeichert. Die Ordnerumleitung ist definiert nach \\MeinServer\Users\Fred\Desktop (im Fenster für die Ordnerumleitung wird das auch so korrekt dargestellt).

Häh? Du hast ein Roaming Profile eingerichtet und gleichzeitig in der GPO eine Ordnerumleitung aktiviert?
Dann sollte (rein theoretisch) der Desktop aber nicht mehr Teil des Roaming Profiles sein.
Mal die Unterschiede zwischen Roaming Profile und Ordnerumleitung:
1. Roaming Profile:
Das Profil des Users liegt im Pfad c:\Users\Fred\
Alles was darunter liegt gehört zum Profil und wird beim Login vom Fileserver gelesen und lokal auf den Client geschrieben. Beim Logoff wird das Profil wieder auf den Fileserver weggeschrieben.
Darin enthalten ist also auch der Ordner c:\Users\Fred\Desktop.
Das Profil des Users liegt also komplett auf der C-Platte.

2. Ordnerumleitung
Mit der Ordnerumleitung trennst du einen Ordner aus dem lokalen Profil des Users. Du kannst z.B. "Eigene Dateien" auf einen UNC-Pfad umbiegen oder auch den Desktop.
Sobald der User dann seine Dokumente auf den Desktop ablegt, legt er sie nicht auf der C-Platte ab, sondern auf dem UNC-Pfad.
Das kann man machen.... zieht aber auch Nebenwirkungen nach sich, z.B. eine Netzwerklast, wenn der UNC-Pfad auf einen Fileserver zeigt.

Wenn du jetzt beides mischt, musst du aufpassen.
Denn überall dann wo die GPO nicht zieht, greift der User über das Roaming-Profile auf den Desktop zu und repliziert somit den aktuellen Status auf den Fileserver. Das könnte zu diesen seltsamen Nebeneffekten führen, die du hier beschreibst.

 

[Deleted member 8894]

Das kannst du in einer GPO mitgeben.
Geh diesen Link mal durch: http://technet.microsoft.com/en-us/library/cc781862(WS.10).aspx
insbesondere "Add the Administrators security group to the roaming user profile share"

Ahh, auf Englisch macht dieser Satz auch etwas mehr Sinn wie auf Deutsch Leider wird es nachträglich auf die bestehenden Profile nicht mehr angewendet - irgendein Trick dazu?


Bezüglich Ordnerumleitung und Roaming-Profil: das macht alles irgendwie Sinn was du schreibst - aber wieso funktioniert es dann auf der Vista-Maschine ohne Probleme?

Und einfach um sicher zu gehen, dass ich es richtig verstanden habe: müsste ich die Ordnerumleitungen in diesem Fall deaktivieren, wenn alle Profil- & Nutzer-Daten innerhalb des gleichen Ordners sind?

 

[Photogregor]

Ahh, auf Englisch macht dieser Satz auch etwas mehr Sinn wie auf Deutsch Leider wird es nachträglich auf die bestehenden Profile nicht mehr angewendet - irgendein Trick dazu?

Für mich ist diese Frage unverständlich. Man kann als Administrator Zugriffsrechte auf Verzeichnisse einrichten, vorher, nachher, wann immer.

Bezüglich Ordnerumleitung und Roaming-Profil: das macht alles irgendwie Sinn was du schreibst - aber wieso funktioniert es dann auf der Vista-Maschine ohne Probleme?

Auch wenn es bei Vista funktioniert ist es möglich, dass das gleichzeitige Replizieren eines Ordners über den Roaming-Profile-Mechanismus und über die Offline-Synchronisation bei XP zu Problemen führt.

Und einfach um sicher zu gehen, dass ich es richtig verstanden habe: müsste ich die Ordnerumleitungen in diesem Fall deaktivieren, wenn alle Profil- & Nutzer-Daten innerhalb des gleichen Ordners sind?

Genau. Alles, was Bestandteil des Benutzerprofils ist (also "Eigene Dateien", "Desktop" etc.) wird ja schon durch den Mechanismus der serverbasierten Profile synchronisiert.

 

[Lord Gurke]

Für mich ist diese Frage unverständlich. Man kann als Administrator Zugriffsrechte auf Verzeichnisse einrichten, vorher, nachher, wann immer.

Das ist bei Roaming-Profilen aber leider nicht ganz so einfach:
Denn dieser Ordner wird vom System so eingerichtet, dass nur der jeweilige Domänenbenutzer Inhaber ist und er auch alleinige Zugriffsrechte auf diesen Ordner besitzt - als Administrator darfst du da erstmal nicht dran.
Um doch an die Dateien zu gehen, müsstest du den Besitz an dem Ordner übernehmen, was dann aber bei der nächsten An- oder Abmeldung des Clients dazu führt, dass dieser - weil er ja nicht mehr der Besitzer ist - sein Profil dort nicht mehr akzeptieren wird.
Und bei der nächsten Gelegenheit repariert der Client auch normalerweise die Rechte wieder - sprich er wirft alle anderen Benutzer oder Gruppen, die nicht zu ihm gehören wieder aus der ACL raus.

 

[fuchzga]

Korrekt. Darum muss die Policy "Add the Administrators security group to the roaming user profile share" gesetzt werden.

Bei allen Usern die sich ab diesen Zeitpunkt ein neues Roaming-Profil auf dem Fileshare ablegen, wird automatisch die Admingruppe in die NTFS-ACL eingetragen.
Bei den bisher bestehenden Profilen bleibt einem nichts übrig, als es manuell zu berichtigen.
Es gibt im Windows Resource Kit auch ein paar Tools, um das zu scripten.

 

[Deleted member 8894]

Korrekt. Darum muss die Policy "Add the Administrators security group to the roaming user profile share" gesetzt werden.

Hm... das funktioniert aber irgendwie nicht - obschon die Richtlinie, in der diese Option aktiviert ist, auf die Clients angewendet wird, werden die Benutzerordner trotzdem ohne Admin-Zugriff erstellt...