server 2003 benutzerprofil Problem

[Widharcal]

morgen.

ich hab da folgendes Problem und zwar das ich jeden Morgen ein neues Profil in der Active Direktory anlegen darf, da Windows Server 2003 jeden morgen das Profil nicht mehr findet. Soweit ich herausgefunden habe, greift ein Programm oder ein Prozess auf NTUSER.DAT zu, obwohl niemand angemeldet ist.

Das Profil wird für Remote Desktopverbindungen genutzt. Alle Einstellungen sind wie bei jedem anderen auch, aber die haben das Problem nicht.

Weiß jemand einen Rat?

[hades]

Poste mehr zum Umfeld.

Aktuelle Updates (mit/ohne Windows Server SP1)?

Windows Server 2003 SP1?

Welche Systeme (NT4, 2000, XP oder 2003 oder ...?) nutzen das Benutzerprofil?

[Widharcal]

Die Systeme sind w2k.

Der Server ist ein Win2003 Standard Server. Kein SP1.

Der Server wird als Domänenkontroller und Terminal verwendet.

Alle Systeme greifen mit Remote auf den Server zu.

Jeder hat sein eigenes Profil, alle funktionieren, bis auf eines. Dieses eine kann jeden morgen nicht geladen werden, da auf die NTUSER.DAT vom System her nicht zugegriffen werden kann.

[hades]

Moeglichkeit 1: Fehlende Benutzerrechte

Benutzerrechte ueberpruefen, der betreffende Benutzer sollte Eigentuemer seines Profils sein und Vollzugriff auf dieses besitzen.

Moeglichkeit 2: Defektes Benutzerprofil

Profil an einen anderen Ort verschieben und neues Profil mit der Benutzeranmeldung erstellen lassen sowie benoetigte Dinge wieder reinkopieren (PST-Datei, Adressbuch, Favoriten, Eigene Dateien, Anwendungsdaten etc.)

Moeglichkeit 3: Das Profil bereinigen

Hier bietet Microsoft das User Profile Hive Cleanup Tool (UPHCleanup) an.

[1] http://www.microsoft.com/downloads/details.aspx?FamilyID=1B286E6D-8912-4E18-B570-42470E2F3582&displaylang=en

[2] http://support.microsoft.com/kb/885958/en-us

[3] http://support.microsoft.com/kb/837115/en-us

Weitere Tips fuer Deine Umgebung:

- Trennung DC und Terminal Server in zwei unabhaengige Server

Es ist keine gute Idee, auf einem DC einen Terminal Server zu installieren.

Auf Deinem DC, das Herz der Domaene, darf jeder remote rumwerkeln.

Entweder jeder hat Domain-Adminrechte oder Du hast die Default DomainController Policy verbiegen muessen.

Beides erhoeht nicht gerade die Sicherheit. Klasse Einfall.

- Windows Updates

Ermitteln ob Windows Server SP1 fuer Eure Anwendungen kompatibel ist und dass dann bei Freigabe der betreffenden Softwarehersteller auch einsetzen.

Regelmaessig Updates einspielen, dazu auch mal den kostenlosen WSUS testen.

[Chief Wiggum]

Ergänzend zu hades:

Nicht umsonst empfiehlt Microsoft, einen WTS als Memberserver in einer Domain laufen zu lassen.

Mit einem DC-WTS öffnet man Sicherheitslücken ohne Ende.

http://support.microsoft.com/kb/247989

Zum Thema: Ist es immer das gleiche Profil vom gleichen User? Dann lass mal ein Monitortool über Nacht laufen und log mal mit, was wann auf das Profil zugreift.

http://www.sysinternals.com/Utilities/Filemon.html

[Widharcal]

Danke für die Hilfe, werde mal schaun.

Aber zu meiner Verteidigung.

1. bin ich erst vor kurzen in den Betrieb gekommen.

2. habe nicht ich diesen Server so aufgesetzt

Ansonsten wünsche ich allen noch einen schönen Abend un en tolles wochenende.

[hades]

@Widharcal:

Dann zeige Deine fachliche Kompetenz und schlage die Trennung von DC und Windows Terminal Server aus den oben geschilderten Gruenden vor.

Ein Windows Terminal Server kommt immer auf einen Memberserver.