Hi Nils,

Du hast grundsätzlich recht, wenn es um das manuelle Kopieren eines
Profiles geht, das sollte man nur mit Systemsteuerung - System machen.

Das Erzeugen des neuen Userprofiles aus dem Default User wird aber
durch das SYSTEM gemacht, da spielt das an der Stelle keine Rolle.
Es müssen unter anderem ja die Registry- und Dateisystemrechte des
neu erzeugten Profiles gesetzt werden, wozu der sich anmeldende,
einfache User sowieso gar keine Berechtigung hat.

Ich hab das jetzt nochmal durchgetestet:
A)
Wenn man die NTFS-Rechte nicht ändert und der User hat gar keinen
Zugriff auf den Profilordner "Default User", erzeugt Windows XP ein ganz
neues Standardprofil aus dem Nirwana (bzw. wahrscheinlich aus
%SystemRoot\System32\config\systemprofile) und greift nicht auf
den neuen/alten 'Default User' -Ordner zu.

Der sich neu anmeldende neue User muß also Leserecht auf das
Default User Verzeichnis und die dortigen Dateien (inkl. ntuser.dat) haben.
Aber nicht auf die Registry-Keys innerhalb der ntuser.dat. Weil:

B)
Ich hab dann mal den Zugriff auf die ntuser.dat Datei überwacht. Und
zwar sowohl auf die Datei selbst, als auch auf die Registry Keys
innerhalb der Datei. Und da sieht man dann, daß das SYSTEM die
ganze Arbeit macht:

Wenn der User im Verzeichnis Lesezugriff (per Jeder - Lesen) hat
-dazu gehört automatisch Lesezugriff auf die ntuser.dat-; aber innerhalb
der ntuser.dat auf die Registry-Keys hat nur der ursprüngliche User,
das SYSTEM und Administratoren Zugriff, wird aus diesem Default User
das Benutzerprofil anstandslos erzeugt.

In der Überwachung sehe ich dann folgenden Zugriff auf die Datei ntuser.dat
durch den sich ganz neu anmeldenden Benutzer ("User1" in diesem Fall):
Geöffnetes Objekt:
Objektserver: Security
Objekttyp: File
Objektname: C:\Dokumente und Einstellungen\Default User\ntuser.dat
Handlekennung: 1676
Vorgangskennung: {0,615756}
Prozesskennung: 440
Abbilddateiname: C:\WINDOWS\system32\winlogon.exe
Primärer Benutzername: WXPSP2-1$
Primäre Domäne: RPGROUP
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: User1
Clientdomäne: WXPSP2-1
Clientanmeldekennung: (0x0,0x963CD)
Zugriffe: LESEN_KONTROLLE
SYNCHRONISIEREN
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen
Der User "User1" hat also Lesezugriff *auf* die Datei und übt diesen aus.
Den Eintrag gibts nur einmal.

Dann die Zugriffe innerhalb der ntuser.dat auf die Reg-Keys - das macht
nur das SYSTEM (derlei Einträge gibt's dann massenhaft):
Geöffnetes Objekt:
Objektserver: Security
Objekttyp: Key
Objektname: \REGISTRY\USER\.DEFAULT
Handlekennung: 1856
Vorgangskennung: {0,788915}
Prozesskennung: 440
Abbilddateiname: C:\WINDOWS\system32\winlogon.exe
Primärer Benutzername: WXPSP2-1$
Primäre Domäne: RPGROUP
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: -
Clientdomäne: -
Clientanmeldekennung: -
Zugriffe: LESEN_KONTROLLE
Schlüsselwert abfragen
Unterschlüssel auflisten
Änderungen an Schlüssel
-------------------------------------------------------------------------------------------
Geöffnetes Objekt:
Objektserver: Security
Objekttyp: Key
Objektname: \REGISTRY\USER\.DEFAULT\Control Panel\Desktop
Handlekennung: 1876
Vorgangskennung: {0,788921}
Prozesskennung: 440
Abbilddateiname: C:\WINDOWS\system32\winlogon.exe
Primärer Benutzername: WXPSP2-1$
Primäre Domäne: RPGROUP
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: -
Clientdomäne: -
Clientanmeldekennung: -
Zugriffe: LESEN_KONTROLLE
Schlüsselwert abfragen
Unterschlüssel auflisten
Änderungen an Schlüssel benachrichtigen

Und das SYSTEM hat standardmäßig innerhalb aller Reg-Keys Vollzugriff.