Session pas entièrement fermée

Bonjour,



Je voudrais savoir comment on peut faire pour pouvoir s’assurer qu’une session est bien fermée entièrement.



Jouer avec l’ima peut etre ?



En effet, un client voudrais “nettoyer” les documents and settings d’un de ses serveurs, me demandez pas pourquoi et pour certains users, bien qu’ils soient entièrement déconnectés, il est impossible de supprimer la partie registre ntuser.dat de chacun des users.



J’ai vérifié la session est bien fermée



Une petite idée ?



Merci



Thomas

question stupide, il essaye de supprimer les profils a l’arrache, ou via la console windows profil ?

bonjour,



IMA n’a rien à voir. En fait, le service IMA n’est pas utilisé une fois que le client ICA a reçu l’adresse du serveur citrix le moins chargé hébergeant l’application demandée (SAUF si tu utilises Session Reliability qui utilise un service particulier (Citrix XTE Service) qui est lié à IMA).



Dans ton cas, quels process restent ouverts quand l’utilisateur ferme sa session ? est-ce que la session est toujours active sur le serveur ?

si elle n’est pas active, vérifie si ssonsrv.exe ne bloque pas le ntuser.dat de ton utilisateur (il y a des outils pour cela sur le web). SI ssonsrv.exe est le process responsable du lock de ntuser.dat alors tu peux essayer de désactiver la fonction Windows Prefetch :

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters doit être mis à 2

http://msdn.microsoft.com/en-us/library/ms940847.aspx

plus d’info sur le fonctionnement du prefetch : http://www.edbott.com/weblog/archives/000743.html

Quelle question est stupide … ?



Il fait ça comme un “bourrin” (C:documents and settingsuser cliques droit supprimer) et dès que cela ne marche pas téléphone …



Aucun processus ne reste actif et la session n’est plus active.



Je regarde pour le ssonsrv.exe et vous tiens au courant.



Merci beaucoup



Thomas

et il pourrait pas se payer une formation Windows ce monsieur?

moi j’utiliserais quand meme la gestion des profils pour virer tout ca, vu que c’est un peu son rôle. (proprieté du poste de travail du serveur, apres c’est intuitif)

m’est avis que ca fonctionnera vachement mieux.

Tant que les fournisseurs d’accès donneront le téléphone vers fixe gratuit en illimité …



Pour info, le processus ssonsrv.exe n’est pas lancé pour l’user concerné, je me cultive néanmoins pour le prefetch …



Pour le problème, je pense que le profil itinérant ne se décharge pas bien.



Je lui ai déjà expliqué la gestion des profils, après à moins de pouvoir le forcer



Merci



Thomas

uphclean est utilisé ?

Bonsoir,



Non uphclean n’est pas utilisé.



Je me suis aperçu qu’il y avait un souci de paramétrage, sur tous les serveurs Citrix sur lesquels l’utilisateur se connecte, le type de profil est Local et non Itinérant, je ne vois pas comment cela à pu se produire et le client n’a bien entendu pas d’explication ni rien fait, ça sent le bricolage …



En tout les cas, j’ai supprimé les profils locaux et désormais les profils sont bien Itinérants et se décharge bien au bon endroit, mais …



Deuxième problème que j’ai remarqué, il est impossible d’accès au profil TSE une fois déchargé, en fouillant dans les droits d’accès au répertoire (c’est pas très propre je sais), je me suis aperçu que personne n’avait le droit de rien faire pas même l’administrateur, aucun user.



Si l’on associé via Profil Terminal Serveur un autre profil à cet user, idem on ne peut rien faire, les droits d’accès au répertoire sont inexistants.



J’avoue pas comprendre ce qui se passe, faut il recréer l’user complet ?



Merci d’avance



Thomas

bizarre… petit test : création d’un nouvel user dans l’AD (tout nouveau tout beau) en renseignant son profil TS.

ce profil devra etre créée, vérifie les droits.

Je viens de le faire j’allais justement afficher les résultats :



La création d’un user de test avec un profil TSE a été faite, ouverture de session citrix via la web interface comme l’user précédemment concerné.



Décharge du profil et oh surprise impossibilité de rentrer dans le profil TSE.



Cliques droit Partage-securité : “Vous n’avez pas l’autorisation d’afficher ou de modifier les autorisations actuels pour tartanpion mais vous pouvez en devenir propriétaire ou modifier les paramètres d’audit”.



Et effectivement en jouant avec les autorisations spéciales on parvient à entrer dans le profil, le modifier ou supprimer.



Ca ressemble plus à un souci AD qu’autre chose non ?



Merci



Thomas

Dans les droits du dossier de profil il y avait quand même l’utilisateur ?

C’est tout à fait normal, pour avoir des profils avec des droits admins, il faut rajouter un paramètre dans la GPO serveur :

Config ordinateurModèle d’adminsystèmeprofils utilisateursAjouter le groupe de sécurité administrateurs aux profils itinérants

certes jo mais il faut au minimum le SID du user dans les droits, c’était ce que je voulais qu’il vérifie



et que buzolive a aussi demandé (BRAVO ! Lance toi gars :D)

En même temps je ne vois pas comment le profil pourrait se créer sans que les droits soient bon, sachant que profil est crée par l’utilisateur (du moins avec son droit en tant que créateur propriétaire).

Il n’y a aucun droit dans le dossier de profil de l’utilisateur.



D’où mon interrogation.



Je vous sens sceptique, ca sent la capture d’écran



Concernant la GPO, elle n’est pas paramétrée jusqu’à présent.



Merci



Thomas

En l’état c’est assez normal car l’utilisateur est propriétaire exclusif de son profil, en tant qu’admin tu ne peux pas y fourrer ton nez. Tu dois t’approprier le profil, et ensuite tu devrais pouvoir voir quelquechose.



Il existe des outils qui permettent d’ajouter des droits sans s’approprier les dossiers, je penses à security explorer.

Je suis entièrement d’accord avec toi.



Cependant l’user ne peut pas non plus y fourrer son nez et il y a même des erreurs sur les serveurs informants que la mise à jour du profil n’a pu être effectuée faute de droits.



Je trouve pas cela très normal …



Merci



Thomas

Peux-tu mettre des screenshots des droits NTFS sur le partage et les dossiers.

tu peux aussi essayer de voir avec File Unlocker quel process bloque ntuser.dat éventuellement

http://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html