macomar
Goto Top

Roaming Profiles - gelösche Dateien vom Desktop kommen immer wieder (Windows 10 (2004) - 2016er Domäne)

Hallo an alle,

ich bin ratlos... Seit einiger Zeit haben wir von Usern die Rückmeldung, dass gelöschte Dateien vom Desktop am nächsten Arbeitstag einfach wieder da sind. Dieses Phänomen habe ich auch seit dieser Woche selbst.

Die Umgebung sind Windows 10 1903 / 2004 Clients in einer 2016er Domäne.

Versucht wurde schon:
lokales Profil löschen/neu erstellen
Servergespeichertes Profil löschen/neu erstellen

Folgende GPO ist für Roaming Profiles gesetzt:
Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Registrierung -> ExcludeProfileDirs
Wertdaten: AppData\Local;AppData\LocalLow;$Recycle.Bin;OneDrive;Work Folders;AppData\Roaming\Telekom Deutschland GmbH;

Ich konnte noch feststellen, dass das Profil beim Abmelden synchronisiert wird, sich der Zeitstempel auf dem Server ändert, aber die gelöschten Dateien beim Sync außer Acht gelassen werden. Diese werden beim Abmelde-Sync auf dem Server quasi nicht entfernt.

Kann mir hier jemand helfen ?
Im Anhang noch Screenshot zum besseren Einblick

Danke und VG
Macomar
berechtigungen gruppe g-rprofiles
excludeprofiledirs
profilpfad im ad

Content-Key: 593752

Url: https://administrator.de/contentid/593752

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: Hubert.N
Hubert.N 05.08.2020 um 12:45:00 Uhr
Goto Top
Moin face-smile

1. gibt es für die Konfiguration in den GPOs eine eigene Einstellung - also eigentlich kein bedarf, das über einzelne Registrywerte zu basteln:
Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - System - Benutzerprofile -> Verzeichnisse aus servergespeichertem Profil ausschließen. Kontrolle über HKCU\Software\Policies\Microsoft\Windows\System -> ExcludeProfileDir

Aber das nützt Dir ja erst einmal nichts, denn Du willst den Desktopinhalt ja zentral bereitstellen.

2. Um das Prolem aus der Welt zu schaffen, würde ich den weg gehen, die Ordner wie Desktop, Dokumente für die Benutzer einfach umzuleiten. Dann hast Du das Problem aus der Welt geschafft sparst Du Dir auch ggf. längere Anmeldezeiten am System, weil die Daten nicht mehr komplett beim An- und Abmelden hin und her kopiert werden

Gruß
Mitglied: Inf1d3l
Inf1d3l 05.08.2020 um 13:47:42 Uhr
Goto Top
Vielleicht wird ja beim Anmelden auf den Desktop kopiert. Per Script (Netlogon) oder GPP/GPO. Oder deine Benutzer melden sich an mehreren Rechnern gleichzeitig an. Da gewinnt das zuletzt verwendete Profil
Mitglied: dertowa
dertowa 05.08.2020 um 14:12:41 Uhr
Goto Top
Zitat von @Hubert.N:
2. Um das Prolem aus der Welt zu schaffen, würde ich den weg gehen, die Ordner wie Desktop, Dokumente für die Benutzer einfach umzuleiten.

Den Desktop würde ich persönlich nicht umleiten.
Ganz einfach, bricht mal irgendwie das Netzwerk weg, wenn auch nur ganz kurz sind alle Symbole weg der Hintergrund weg und es geht direkt die Welt unter. Genauso beim Roaming, da gibt es heute immer noch Anwendungen die nicht mit UNC Pfaden klarkommen. ;)

Wenn nur Dokumente und Co. umgeleitet werden ist der Zugriff darauf dann kurz nicht möglich, das regeneriert sich aber von allein.
Mitglied: dertowa
dertowa 05.08.2020 um 14:16:45 Uhr
Goto Top
Bedeutet aber wenn neue Dateien angelegt werden, dann werden diese auf den Server zurückgeschrieben beim Abmelden?

Irgendwie klingt dies nach verqueren Rechten, oder falschen Besitzereigenschaften.
Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.

Damit setzen sich nämlich die Berechtigungen der Unterordner beim Anlegen von selbst und somit erhält jeder Benutzer auf
seinem Ordner Vollzugriff.
Mitglied: Hubert.N
Hubert.N 05.08.2020 um 14:58:44 Uhr
Goto Top
Zitat von @dertowa:
Den Desktop würde ich persönlich nicht umleiten.
Ganz einfach, bricht mal irgendwie das Netzwerk weg, wenn auch nur ganz kurz sind alle Symbole weg der Hintergrund weg und es geht direkt die Welt unter.

Wenn das Netzwerk wegbricht, hat man eh ein Problem. Und wenn man nichts daran bastelt, werden die Daten auf dem Client über die Synchronisierung zwischengespeichert. Also eigentlich kein Problem

Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.

Ups??? - Ist ja schön, wenn "Jeder" bei jedem die Daten lesen kann. Datenschutz 2.0 ?? ;)
Dafür gibt es explizit Vorgaben, wie dir Rechte zu setzen sind: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Gruß
Mitglied: SeaStorm
SeaStorm 05.08.2020 aktualisiert um 19:07:42 Uhr
Goto Top
Zitat von @dertowa:
Auf die Freigabe sollte jeder Vollzugriff haben, genauso bei der Sicherheit, gern eingrenzen auf die Domänen-Benutzer.
Wow... nein auf keinen Fall!
User Bekommen bei den Freigaberechten nur Modify und bei NTFS Rechten ebenso nur Modify
Admins bekommen beides mal Vollzugriff

Der Grund ist, das wenn man beim Share dem User Vollzugriff gibt, kann der sich bei den Ordnern&Dateien auf die er Ownerrechte hat einfach selbst vollzugriff geben und dann auch Admins aus den Berechtigungen schmeissen
Mitglied: macomar
macomar 06.08.2020 um 08:33:00 Uhr
Goto Top
Hallo dertowa,

richtig, neu abgelegte Dateien auf dem User-Desktop werden bei Abmeldung mit dem R-Profile auf dem Server synchronisiert. Löscht man diese nach einer Neuanmeldung bzw. am nächsten Arbeitstag, sind diese zwar auf dem Desktop gelöscht, sind aber nach einer Neuanmeldung bzw. nächsten Arbeitstag wieder auf dem User Desktop vorhanden.

Das ist unser Problem. Lösung habe ich im Moment keine.

Danke und Grüße
Macomar
Mitglied: dertowa
dertowa 06.08.2020 aktualisiert um 11:34:21 Uhr
Goto Top
Zitat von @Hubert.N:
Ups??? - Ist ja schön, wenn "Jeder" bei jedem die Daten lesen kann. Datenschutz 2.0 ?? ;)

Nicht verstanden oder? ;)
Die Freigabe hat das Recht, damit wird beim ersten Anmelden des Nutzers der entsprechende username.V6 - Ordner erstellt, denn der Nutzer darf auf der Freigabe schreiben. Da der Nutzer Vollzugriff hat darf er auch Rechte setzen und so wird dem Benutzer auf seinem Ordner Vollzugriff eingeräumt.
Durch eine passende Gruppenrichtlinie erhält auch die Gruppe "Administratoren" Vollzugriff, letztlich haben auf dem Profilordner des Nutzers also:
- er selbst
- SYSTEM
- Administratoren
Vollzugriff auf den jeweiligen Ordner.

Der freigegebene Profilordner braucht eigentlich nur den ERSTELLER, aber das wollte hier in den 2012 R2 Systemen nicht, daher ist es auf die Domänen-Benutzer beschränkt.
Jop die könnten dort nun Ordner und Dateien anlegen, aber dafür bräuchten die erstmal den versteckten Freigabenamen. ;)
So funktioniert es zumindest seit jeher.

Somit halb so wild.
Mitglied: macomar
macomar 06.08.2020 um 14:17:04 Uhr
Goto Top
Hallo an alle - ich habe die Lösung gefunden - Dr. Google hat dabei geholfen, es ist ein bekanntes Problem bei Microsoft.
https://support.microsoft.com/de-de/help/4340390/roaming-profile-not-syn ...
Scheinbar immer noch nicht richtig behoben, da unsere Systeme auf 1909 / 2004 laufen.

Ich musste den Pfad AppData\Roaming\Microsoft\Installer noch in die ExcludeProfileDirs GPO reinsetzen und schwupps ging alles.

Gleiches Problem mit Lösung habe ich auf hier gefunden
https://serverfault.com/questions/1020154/active-directory-roaming-profi ...

Danke und viele Grüße
Macomar
Mitglied: Hubert.N
Hubert.N 06.08.2020 um 19:30:06 Uhr
Goto Top
1. Schön, dass du das Problem lösen konntest face-smile

2.
Zitat von @dertowa:
Nicht verstanden oder? ;)

Nein.. verstehe ich nicht weil...

Da der Nutzer Vollzugriff hat darf er auch Rechte setzen und so wird dem Benutzer auf seinem Ordner Vollzugriff eingeräumt.

weil (wenn Du die Vererbung nicht unterbrichst...) alle Benutzer dann auf allen Profilordnern Zugriff haben.

So funktioniert es zumindest seit jeher.

Nur weil es funktioniert, muss es ja nicht in Ordnung sein. Wenn ich auf einer Datenfreigabe für "Jeder" Vollzugriff setze, funktioniert das auch. Dass dann der Azubi in den Peronalakten stöbern kann, ist egal - Hauptsache es funktioniert ?!

Noch mal kurz korrekt:
Administratoren und System -> Vollzugriff auf Ordner, Unterordner und Dateien
Ersteller-Besitzer -> Vollzugriff auf Unterordner und Dateien
Authentifizierte Benutzer -> Ordner auflisten/Daten lesen und Ordner erstellen/Daten anhängen
Mitglied: dertowa
dertowa 08.08.2020 um 22:05:02 Uhr
Goto Top
Zitat von @Hubert.N:
weil (wenn Du die Vererbung nicht unterbrichst...) alle Benutzer dann auf allen Profilordnern Zugriff haben.

Wir reden hier aber schon noch von der "Freigabe"?
Denn das sind nicht die "Sicherheit"szulassungen und dort ist es entsprechend unterbunden, dass der Azubi in den Personaldaten schnüffelt. ;)
Soweit ließ es sich zumindest in der Umgebung eindämmen, die Grundfreigabe des Dienstleisters früher war "Jeder" - "Jeder", warum wurde mir
klar als ich die Vorgabe von Microsoft umsetzen wollte.
Scheinbar hatten die nur festgestellt - geht nicht - also Jeder - Jeder, später hat man dann bei neueren Nutzern ganz auf Roaming verzichtet.

Mit der Fehlerbereinigung befasse ich mich aber auch nicht mehr, da dieses Jahr noch eine saubere 2019er Domain kommt. face-smile
Mitglied: dertowa
dertowa 08.08.2020 um 22:15:24 Uhr
Goto Top
Spannend, ja damals hatte Microsoft Roaming einfach mal für 6 Monate vergessen, wurde dann aber gefixt. :D
Demnach müsste aber im Eventlog was zu finden gewesen sein?

Hinsichtlich des Installer - Ordners ne Rückfrage von mir, was steht denn in den Dingern drin?
In meinem Gedankenspiel können die vollständig weg.

Noch ein kleiner Hinweis an der Stelle, wenn ihr Teams einsetzt, direkt den Ordner auch ausklammern...
https://microsoftteams.uservoice.com/forums/555103-public/suggestions/34 ...
Da weiß man die Stellung des Raomings und das ist auch der Grund warum warum wir immer mind. 1 Generation zurückhängen bei den Clients.