WinFuture-Forum.de: Windows 10 Profil gelöscht - WinFuture-Forum.de

Zum Inhalt wechseln

Windows 10: Alle News, der Download sowie zahlreiche Screenshots und Videos zum neuen Betriebssystem von Microsoft. Jetzt im WinFuture Windows 10 - Special informieren!
Seite 1 von 1

Windows 10 Profil gelöscht


#1 Mitglied ist offline   Merom 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 23. Juli 18
  • Reputation: 0

geschrieben 23. Juli 2018 - 18:19

Schönen guten Abend,

ich muss jetzt doch mal langsam Hilfe suchen zu diesem Thema....

Bei mir auf Arbeit habe ich das Problem das sich aus dem nichts heraus auf einmal die Profile lösche von den einzelnen Benutzern....

Ich versuche es so gut wie Möglich zu beschreiben:
Der Benutzer arbeitet an seinem Computer bzw. an seinem Laptop ganz normal.
Auf einmal flackert ganz kurz der Bildschirm auf (als würde sich gerade der Treiber für die Grafikkarte installiert haben)

Danach kann man keine Programme mehr nutzen (teilweise gelöschte Daten aus den jeweiligen installations Ordnern), alle Verknüpfungen sind weg und unter C:\Users\xxx\ fehlen komplett alle Ordner bis auf Dokumente.

Also wirklich restlos weg das Profil.

Unter dem Punkt Systemeigenschaften\Benutzerprofile steht dann nur noch das Lokale Benutzerkonto drin aber das Konto von dem Benutzer ist nur noch unter dem Punkt "Unknonw User" zu finden.
Dieses Profil weißt auch die üblichen 10-15GB auf die durch das Outlook Postfach entstanden sind (Outlook.ost Datei)

Wir machen auch alle 6 Monate eine Passwort-Rest für alle Benutzer (Auch für unsere Admin Profile).


Mittlerweile bin ich komplett Ratlos was das Problem ist und wie ich es beheben kann...
Selbst wenn ich den Computer neu mache und ich alles wieder Einrichte kommt das Problem zurück sobald sich der User wieder anmeldet und versucht zu arbeiten.

Ich habe schon nach einander mit verschiedenen Viren Scanner getestet ob es eine Schadware ist aber alle sagen mir das die Rechner komplett sauber sind.
Ich habe auch bei anderen Firmen angefragt die sich speziell mit AD, Servern und Client-Verwaltung beschäftigen aber auch die können mir bei diesem Problem nicht helfen.

In der Ereignisanzeige ist auch nichts zu finden. Keine Fehler, keine seltsamen Einträge..

Hat jemand schon einmal was von dem Problem gehört bzw. weiß jemand wie das Problem behoben werden kann?

Vielen Dank im voraus und bitte entschuldigt das ich es nicht richtig formulieren kann da ich nicht weiß wie ...
0

Anzeige



#2 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.902
  • Beigetreten: 14. August 15
  • Reputation: 198

geschrieben 23. Juli 2018 - 18:58

Has du schon in Betracht gezogen, dass der entsprechende User das Profil selbst löscht? Entweder absichtlich oder aber per Script oder Batch, der vielleicht einen Fehler enthält welcher dann zu dem Ergebnis kommt.

Wenn das Problem erst auftritt, nachdem der User sich angemeldet hat, würde ich an dem Punkt ansetzen und schauen ob er dort nicht im Verlauf der Arbeit irgendetwas startet was das Problem verursacht.

- Es könnte auch ein Scherz eines Kollegen sein, der ihm eine interne Mail mit einem entsprechenden Script geschickt hat.
- Oder eines dieser Reinigungstools was nicht ordnungsgemäß bedient wird.
- Oder er versucht nach getätigter Arbeit seine Spuren auf dem PC zu verwischen und denkt das löschen des Profilordners wäre eine gute Idee.
- Oder oder oder ...

Dieser Beitrag wurde von Gispelmob bearbeitet: 23. Juli 2018 - 19:04

0

#3 Mitglied ist offline   Merom 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 23. Juli 18
  • Reputation: 0

geschrieben 23. Juli 2018 - 19:20

Danke für die Antwort,

ich habe das vergessen zu erwähnen.
Als Computer "Beschneidung" setze ich das Programm "Server-Eye mit der erweiterung "Anti-Ransum" ein.

Damit sind alle Anwendungen gesperrt die nicht von mir freigegeben wurden. Dazu zählen alle Anwendungen (exe, bat, ps1 etc..). Sobald ein Anwender versucht etwas zu starten was er nicht soll bekommt er sofort die Meldung "Diese Anwendung wurde von dem Systemadministrator gesperrt".

Das Programm hab ich seit einem halben Jahr im Einsatz, doch leider keine Besserung. Jeder Benutzer hat zudem auch keine Administrativen rechte.


Das was ich aber nicht bedacht habe ist, das es gelöscht wird.
Das würde dann aber bedeuten das der Anwender ziemlich.... leider muss ich es so sagen.... bescheuert ist....
Vermutlich würde es bei einem der Fall sein, da ich aber seit letzte Woche bei verschiedenen Anwendern (momentan sind es 6 stk.) das Probleme habe denke ich nicht das es durch den Benutzer ausgelöst wird.
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.297
  • Beigetreten: 20. Juli 07
  • Reputation: 955

geschrieben 23. Juli 2018 - 19:24

Mh? Bißchen undurchsichtig, das Ganze. Und bissel wenig Infos.

Was ist denn das? Domain? Einzelplatz-PCs?

Servergespeicherte Profile?

Normalerweise gehen Profile nicht einfach so verschütt. Nach Beschreibung klingt es so, als würde da was ausgerollt werden, was nicht ausgerollt werden sollte... kann Malware sein, kann ne unglückliche Konfiguration sein, kann "sonstwas" sein.


Kleiner Tip: wenn das eine Domain sein SOLLTE, ist Zusatzsoftware fürs Anwendung-Sperren unnötig. Einfach via GPO den Applocker einrichten.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#5 Mitglied ist offline   Merom 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 23. Juli 18
  • Reputation: 0

geschrieben 23. Juli 2018 - 19:34

Danke,

ja es sind alles Domain Users.

Wir rollen per GPO oder Logon-Scripte nur Drucker aus.
Ansonsten ist dort nichts weiter von uns hinterlegt.

Ich nutze als Sperrung für die Computer das Programm "Server-Eye".
Darüber lege ich eigenständig fest welche Programme alle nutzbar sind.
Alles was ich nicht erlaube bzw. freigebe wird sofort Blockiert, auch alles was in dem Temp Ordern drin ist.
Zuzüglich hat auch jeder Benutzer keine Administrativen rechte.
0

#6 Mitglied ist offline   DanielDuesentrieb 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.838
  • Beigetreten: 15. Januar 06
  • Reputation: 174

geschrieben 23. Juli 2018 - 20:21

Updates sind alle installiert?
Sowohl am Client als auch am DC?
Was passiert denn, wenn sich der "unknown user" wieder am PC anmeldet?
Bekommt er ein temporäres Profil oder wird er anstandslos in das kaputte Profil gelassen?
Was sagen servergespeicherte Profile rein zum Testen?
Tritt das nur bei den Usern auf oder auch beim administrator der Domäne?

Zitat

Selbst wenn ich den Computer neu mache und ich alles wieder Einrichte kommt das Problem zurück sobald sich der User wieder anmeldet und versucht zu arbeiten.
Format C: und Windows neu? Dann muss es was mit den Usern zu tun haben, wenn es der administrator nicht hat.

GPO nochmal gründlich checken.

Seit wann tritt das Problem auf? Testweise mal Server-Eye rausgelassen? Noch nie gehört diese Firma und Software.

Ransomware-Schutz fängt mit einer Schulung an, wann ich wie was mit dem PC mache <_<.

Dieser Beitrag wurde von DanielDuesentrieb bearbeitet: 23. Juli 2018 - 20:22

0

#7 Mitglied ist offline   Merom 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 23. Juli 18
  • Reputation: 0

geschrieben 23. Juli 2018 - 20:42

Hi,

die Updates sind überall installiert und auf dem momentan neusten stand.

Der Benutzer kommt ohne Probleme in das Normale Profil.

Wir setzen keine Server gespeicherten Profile ein. Ich müsste morgen eines anlegen mit einem Benutzer wo das Problem besteht um es zu testen.

Der DC Admin sowie wie der Lokale Admin kommt ohne Problem an den Computer ran und dort ist auch nichts weiter passiert außer halt die Problematik das die Programme teilweise Dateien verloren haben und sich daher nicht starten lassen.
Also der Ordner Inhalt ist im Vergleich zu anderen Ordner um mehr als die hälfte kleiner. Beispiel dafür ist jetzt z.b. Office. Dort fehlen Teilweise dll Datein bzw. ist auch die Word.exe verschwunden.

Ansonsten sind die beiden Profile komplett in Ordnung und laufen auch einwandfrei durch.

Format C mache ich über Installationsmedium und lösche dabei die gesamte Festplatte und lege dann die Partitionen neu an.

GPO Check ich morgen nochmal durch.

Server-Eye habe ich erst nach dem ersten Fall dazu gekauft. Das Problem habe ich seit ca. ende letzten Jahres und dort war es nur Sporade mal ein oder zwei Rechner. Jetzt tritt es aber allerdings häufiger auf.

Zitat

Ransomware-Schutz fängt mit einer Schulung an, wann ich wie was mit dem PC mache <_<.


Ich muss meinen Benutzern auch erst teilweise erklären was eine Verknüpfung ist und wie diese Funktioniert bzw wofür ein File Server genutzt wird und warum wir einen einsetzen...... da sperre ich lieber gleich das gesamte System.

Schulungen habe ich schon öfters beantragt und durchführen lassen aber das brachte nur bedingt einen Erfolg...
0

#8 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.297
  • Beigetreten: 20. Juli 07
  • Reputation: 955

geschrieben 24. Juli 2018 - 01:04

Schau auch mal in den Gruppenzuordnungen, ob da irgendwo "Gäste" (einschließlich Domaingäste) irgendwo mit drinhängen.

Wenn ein Benutzer direkt oder indirekt ein "Gast" ist - was er durch Mitglied in einer der Gästegruppen wird -- dann ist sein Profil automatisch temporär und wird mit Logoff automatisch gelöscht und beim Logon neu erstellt.

Wobei "Malware in der Domain" auch nicht auszuschließen ist. Insbesondere, da das Problem in Abhängigkeit des Zugangs wieder aufzutreten scheint.

Wenn Du kannst: noch jemanden dazunehmen. Drei Augen sehen mehr als zwei.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#9 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.902
  • Beigetreten: 14. August 15
  • Reputation: 198

geschrieben 24. Juli 2018 - 05:52

Ich weiß nicht wie die zu Verfügung stehende Zeit aussieht, aber eventuell hilft es einen freien Rechner neu einzurichten und selbst mit den Programmen und Arbeitsmitteln zu testen, die die anderen nutzen. Vielleicht bekommt man so den Zeitpunkt bzw. die Stelle heraus ab wann/ab der das Problem auftritt.

Wie geschrieben, wenn sogar teilweise die Word.exe gelöscht wird, könnte das Malware sein. Es liest sich für mich aber auch nach einem möglichen Spaßvogel, der per Freigaben der Festplatte verschiedene Dateien auf dem anderen Rechnern löscht um dich oder die Benutzer zu ärgern.

Ich wüsste nicht, was eine Malware davon hat hier und da mal ein paar Dateien zu löschen oder auch mal den Profilordner. Meistens verfolgen die einen bestimmten höheren Zweck und wollen Daten abgreifen.

Du könntest nebenbei auch ein Monitoring laufen lassen um zu sehen, welche IP/welcher Rechner innerhalb eures Netzwerkes auf welche andere IP/welchen anderen Rechner zugreift und was dort gemacht wird, also ggf. Dateien/Ordner ändern/löschen/anlegen.

Dieser Beitrag wurde von Gispelmob bearbeitet: 24. Juli 2018 - 05:52

0

#10 Mitglied ist offline   Merom 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 23. Juli 18
  • Reputation: 0

geschrieben 24. Juli 2018 - 17:01

Hi,

vielen dank für eure Antworten. Ich habe das heute auf Arbeit noch gelesen und dann doch gleich mal ein wenig getestet.

Also ich habe mal die Domain Einstellungen noch einmal geprüft und dort ist kein Gast/guest hinterlegt bzw. eingetragen. In keiner Gruppe.

Zitat

Wenn Du kannst: noch jemanden dazunehmen. Drei Augen sehen mehr als zwei.


Das habe ich schon gemacht. Ich hatte mir mehrer Personen eingeladen und Ihnen mal direkt die Kisten hingestellt und auch bei denen waren nur Fragezeichen im Gesicht...

Auf Maleware hab ich auch schon alle Server und auch die beide HyperV`s getestet und auch testen lassen doch auch die sind alle komplett sauber. (abgesehen von Datenmüll aber den bekämpft glaube ich jeder Admin)

Zitat

Ich weiß nicht wie die zu Verfügung stehende Zeit aussieht, aber eventuell hilft es einen freien Rechner neu einzurichten und selbst mit den Programmen und Arbeitsmitteln zu testen, die die anderen nutzen. Vielleicht bekommt man so den Zeitpunkt bzw. die Stelle heraus ab wann/ab der das Problem auftritt.


Das habe ich heute mit zwei verschiedenen CLients gemacht. 1x Notebook und 1x PC. Auf beiden habe ich heute komplett meine Arbeiten verteilt um einfach mal zu sehen was der Auslöser sein könnte. Beide liefen komplett durch... Das macht mir aber bedenken.
Morgen werde ich die Clients ausliefern um zu sehen was dann passiert. Das einzige was dann verändert wird, ist die Anbindung über ein IP Telefon (kann es für sowas auch Viren geben?)


Zitat

Wie geschrieben, wenn sogar teilweise die Word.exe gelöscht wird, könnte das Malware sein. Es liest sich für mich aber auch nach einem möglichen Spaßvogel, der per Freigaben der Festplatte verschiedene Dateien auf dem anderen Rechnern löscht um dich oder die Benutzer zu ärgern.


Spaß hin oder her. Die Festplatten der Benutzer sind nicht freigegeben und auch keine Ordner. Ich habe es heute auch mal versucht per C$ Freigabe auf einen Computer drauf zu kommen und das geht nur per Benutzer der auf dem Rechner angelegt ist oder halt per Administrator. Für alle anderen war der Zugriff verweigert.
Was so gesehen sehr Positiv ist.

Ich habe heute per GPO die Ordner-Überwachung ausgerollt und werde dann ab morgen früh sehen was da wirklich passiert. Theoretisch müsste es dort genauer aufgeführt sein was wirklich auf dem Rechner passiert.

Was mir aber auf meinem Test-Client aufgefallen ist bei dem ausrollen der GPO via gpupdate /force ist diese Fehlermeldung in der Ereignissanzeige:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\xxx.local\SysVol\xxx.local\Policies\{AEF37946- D6D5-4747-8167-FE5E2C100845}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:

a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.

b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).

c) Der DFS-Client (Distributed File System) wurde deaktiviert.


Nun stell ich mir aber die Frage... Woher kommt das ?
Ich habe keine GPO gefunden die dazu passen könnte.

Das wäre auch ein neuer Ansatz für mich wo ich nachschauen müsste.

Vielen Dank!
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0