TerminalServer 2008, Anmeldung nur mit temporärem Profil

Lieder gibt es Situationen, in denen Windows temporäre Profile anlegt…
So auch oft und gerne bei TerminalServer 2008 Sessions. Gründe dafür sind meist fehlender Userberechtigungen oder sonstige dummen Adminfehler (Jo, die gibt es auch 🙁 ). Im Eventlog erscheint dann eventuell solch eine Meldung:

Leider werden diese temporären Profile aber nicht immer unter Windows Server 2008 (kein R2) gelöscht und verbleiben sowohl im Filesystem als auch in der registry. Das ist natürlich alles andere als schön, denn wenn man den grundlegegenden Fehler behoben hat und anschließend das TerminalServer Profil einrichten will, kommt man immer wieder in dem lokalen temp. Konto raus.

Folgende Lösung hilft um jegliche temporären Profile zu killen und von neuem anzufangen :-):

  1. Den Profilordner unter C:Users löschen
  2. Das Profil unter Systemeigenschaften / Benutzerprofile löschen , sofern es noch da ist
    (rechte Maustaste auf dem Desktop auf das Icon Computer / Eigenschaften)
  3. regedit starten und zum Pfad „HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList“ navigieren.
    Dort wird nun für jeden User ein neuer Ordner angelegt. Am Wert „ProfileImagePath“ erkennt man welche SID zugeordnet ist.
  4. Einfach den Ordner des Users löschen… fertig!

Wer mehr als einen TerminalServer hat und zentrale Profile verwendet hat eventuell Pech und kann diesen Schritt auf allen TerminalServern durchführen.

 

RDP remote aktivieren – mit Hilfe von regedit aus der Ferne

Es kommt schon recht häufig vor, dass man mal auf einen Server oder Client per RDP zugreifen muss um dort Einstellungen zu tätigen. Bei den fast 40 Windows Servern habe ich das mittlerweile schon eingestellt, dass ich dort per Remote drauf zugreifen kann. Allerdings wenn man mal auf einen Client zugreifen will, kann dieser Haken unter Systemeigenschaften auf dem Reiter Remote schon einmal fehlen… was nun? Verzweifeln oder Twitch fragen? 🙂

Neulich, als ich in Holland bei unserer neuen Niederlassung/Firma war, kam dieser Fall mal wieder vor, dass ich an einen Rechner musste um dort Benutzerprofile zu editieren.
… einige sagen jetzt bestimmt, dann nutz doch Teamviewer oder Netviewer. Das ist in einigen Fällen aber so nicht brauchbar, gerade, wenn man sich als Domänenadmin anmelden müsste um Benutzerprofile zu bearbeiten. Ich geb so ungern den Leuten das Admin-Passwort…
Jedenfalls hatte dieser Rechner keinen besagten Haken bei „Remoteunterstützung zulassen“ gesetzt, so dass ich mich nicht als Domänenadmin anmelden konnte. Mit folgendem schnellen Trick kann man diesen Haken aber auch aus der Ferne (Remote) setzen ohne direkt am Rechner sitzen zu müssen … was mir die Fahrtzeit von NL nach DE und wieder zurück ersparte :-).

Wie fast alles bei Windowseinstellungen, findet man diesen Haken auch in der Registry. Das lustige ist, dass man auch auf die Registry entfernter Rechner einer Domäne zugreifen kann. wos? a hacker?! 🙂

So kann man RDP remote aktivieren:

  1. Starten von Regedit über Start, Ausführen und eintippen von „regedit“
  2. Verbinden mit Netzwerkregistrierung (hier den jeweiligen Client oder Server eingeben)
    regedit
  3. Folgenden Eintrag suchen: [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]
  4. Setzen des Wertes vom Schlüssel  „fDenyTSConnections“ auf „0“ (NULL)

Mit Hilfe vom RDP kann man sich nun mit dem Client/Server verbinden. 
Dazu klickt auf Start/Ausführen. Tippt „mstsc /v [COMPUTERNAME] /console“ ein und Enter.
Die erste Anmeldung muss eventuell als Admin der Domäne/ des Rechners erfolgen, damit man anschließend weitere Benutzer hinzufügen/bearbeiten kann.
Ich hatte auch schon einmal das Phänomen, dass trotz setzten des Hakens per Remote ein Neustart erforderlich war, damit der Remotezugriff funktionierte. Das Boardmittel für einen Remote-Neustart eines Rechners ist „shutdown -m \[COMPUTERNAME] -r“

PS: Um dies bei Clients zu nutzen ist mindestens Win XP Pro oder Vista/Win7 Business erforderlich.

Office 2003, 2007 Vorlagenordner & Standardspeicherort per Batch und regedit ändern

Es war mal wieder an der Zeit, sich ein wenig die Arbeit beim Einrichten/Warten neuer Clients in Firmen-Domäne zu erleichtern.

Hintergrund:

Da wir immer noch Clients nach Bedarf kaufen und kaum Open Value Office/Windows Lizenzen benutzen… bitte nicht lachen… ist es üblich, dass wir eine Office Lizenz dazukaufen. Da es kein Office 2003 mehr gibt, kaufen wir im Moment Office 2007 als MLK-Version. Somit ist es natürlich kaum möglich gut gesteuert diese Software zu verteilen und einfach voreingerichtet zu verteilen, das kleine Workaround soll da helfen.
Der zweite Grund für die Maßnahme, die ich gleich erläutere ist, dass einige User meinen, ihren Vorlagenordner oder Standard-Speicherordner auf die lokale Festplatte zurückzuschieben… Nachteil: Bei Festplattencrash war’s das mit den schönen Daten, da die Clients selbst nicht gesichter werden.

Vorwort:

In dem kleinen HowTo beschreibe ich, wie man schnell und einfach per Logonscript den Vorlagenordner und den Standard-Speicherort-Ordner per Regedit und Batch immer wieder aufs neue abändert. Auch wenn der User den Pfad ändert, so ist doch beim Nächsten Login der Pfad wieder der genormte Firmenpfad :-)… irgendwann geben se das dann mit dem abändern auf :-).

HowTo

Was muss getan werden:

  1. eine reg-Import-Datei schreiben
  2. eine Batch schreiben
  3. Logonscript anpassen

Wie sehen die Batches aus und die passende Erklärung dazu:

1. Die reg-Importdatei ist ziemlich einfach aufgebaut. Sie beinhaltet den allgemeinen Reg-Syntax, z.B. wo der Key liegt und welchen Wert dieser bekommen soll. Wichtig ist, dass ein Backslash doppelt vorhanden sein muss (z.B. Z:\Ordner\Unterordner). Die *.reg – Datei benutze ich zum Ändern des Keys für Arbeitsgruppenvorlagen und Uservorlagen. Da der Ordner mit den globalen Vorlagen für alle identisch ist, kann ich das bequem über eine *.reg-Datei erledigen. Schwieriger wird es, wenn für jeden User ein individueller Pfad hinterlegt werden soll. Dazu aber mehr bei Punkt 2. Hier erstmal der reg-Import für Office 2003 und Office 2007.

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0CommonGeneral]
"SharedTemplates"="Z:\Alle\Vorlagen\"
"UserTemplates"="Z:\Alle\Vorlagen\"

[HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0CommonGeneral]
"SharedTemplates"="Z:\Alle\Vorlagen\"
"UserTemplates"="Z:\Alle\Vorlagen\"   

2. Die Batchdatei ist in meinem Falle nötig gewesen, da ich per Logonscript individuelle Standard-Speicherorte für jeden einzelnen User anlegen wollte. Jeder User hat auf unserem Netzlaufwerk einen eigenen Ordner mit entsprechenden Zugriffsrechten. Somit variiert der Wert für einen regkey. Da ich den Usernamen über die Variable „%username%“ beim Logonscript habe, aber nicht als Variable einfach an einen *.reg-Datei übergeben kann, habe ich folgende Lösung gewählt, wieder für Office 2003 und Office 2007 gültig. Sollten keine indiviuellen Ordner angesteuert werden, macht es mehr Sinn diese Regkeys und deren Werte direkt in der aus Punkt 1 genannten reg-Import-Datei unterzubringen.

@echo Registry Updaten
@echo Setzte den Globalen Vorlagen-Ordner fuer Office
:: Öffne die in Punkt 1 angelegte *.reg-Datei und importiere diese ohne Eingabeaufforderung
regedit /s \servergloballogonRegsglobal_office_templates.reg


@echo Setzte den Standard Speicherort fuer Office 2003,2007
@echo off
reg add "HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0WordOptions" /v "DOC-PATH" /t REG_SZ /d "Z:%username%word" /f      >NUL
reg add "HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0ExcelOptions" /v "DefaultPath" /t REG_SZ /d "Z:%username%excel" /f >NUL
reg add "HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0WordOptions" /v "DOC-PATH" /t REG_SZ /d "Z:%username%word" /f      >NUL
reg add "HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0ExcelOptions" /v "DefaultPath" /t REG_SZ /d "Z:%username%excel" /f >NUL      

3. Das Logonscript habe ich nun nur noch so angepasst, dass die entsprechenden neuen Dateien korrekt aufgerufen werden.

:: Registry-Updates
:: Öffnet die Batchdatei aus Punkt 2
call regchange.cmd
  

Fazit:

Ein einfacher Weg, der mich 45 min Einrichtung gekostet hat. Sicherlich ist das alles mit einer GPO auch machbar. Allerdings ist unser AD recht schlecht aufgebaut worden und es ist schwierig dort gezielt Gruppen eine Richtlinie zuzuordnen. Das Umändern des ActiveDirectories ist bei mir schon länger auf einem „gelben Zettel“ vermerkt. Allerdings scheue ich mich ein wenig vor dem Aufwand. Stichwort „gewachsene Struktur“… in solcher einer Situation zieht immernoch der Spruch „never touch a running system“ bei mir :-).