Computer im Active Directory vor dem Beitritt zur Domäne eintragen

    Wenn ein Computer einer Windows-Domäne beitritt, dann erhält er automatisch ein Konto im Active Directory. Allerdings landet er dann standardmäßg im Container Computer. Dabei handelt es sich jedoch um keine organisatorische Einheit (OU), so dass sich dem Rechner zum Beispiel keine Gruppenrichtlinien zuordnen lassen. Um diesen Zustand zu vermeiden, kann man einen Computer bereits vor seinem Beitritt zur Domäne in der zuständigen OU vorab eintragen.

    Die Verbindung eines neu zu einer Domäne beitretenden PCs mit einem existierenden Objekt im AD erfolgt recht einfach, sie erfolgt auf Basis des Namens. Stimmt jener des Computers mit einem vordefinierten Konto in irgendeiner OU überein, dann verwendet das neue Mitglied automatisch dieses vorhandene Objekt und verzichtet auch das Anlegen eines neuen Eintrags im Container Computer.

    Anlegen des Computers über GUI-Tools oder die Kommandozeile

    In Active Directory-Benutzer und Computer lässt sich ein neuer Rechner über die Eingabe seines Namens anlegen.Das so genannte Prestaging eines Computers erfolgt über die zuständigen GUI-Tools Active Directory Verwaltungscenter oder Active Direc­tory-Benutzer und Computer. In beiden Fällen legt man den neuen Computer über das Kontextmenü der betreffenden OU an. Einige Anleitungen im TechNet erwähnen für den folgen­den Dialog eine Möglichkeit, zusätzlich zum Namen die GUID des PCs einzugeben. Diese existiert unter Windows Server 2008 R2 nur dann, wenn die Deployment Services (WDS) installiert sind. Dann stellt die ID sicher, dass der richtige PC per Ferninstallation das ihm zugeteilte Image erhält.

    Wenn man einen Computer über die Kommandozeile im AD registrieren möchte, dann kann man das mit Hilfe von dsadd erledigen:

    dsadd computer "cn=MeinPC,OU=Marketing,DC=contoso,DC=com" -loc Zentrale -desc "Neuer Windows7-PC"

    Der Befehl sieht neben den in diesem Beispielaufruf verwendeten Parametern unter anderem vor, dass man in gleich in eine bestimmte Gruppe aufnimmt.

    3 Kommentare

    Bild von Tom C.
    Tom C. sagt:
    2. August 2011 - 9:42

    Dabei handelt es sich jedoch um keine organisatorische Einheit (OU), so dass dem Rechner keine Gruppenrichtlinien zuordnen lassen."

    Falsch ... oder zumindest nicht richtig :-)
    Wenn man (wie wir) die gewünschten GPOs einfach dem root Verzeichnis zuweist, dann erhalten neue Computer die entsprechenden Richtlinie, so z.B. die "Default Domain Policy" oder eben auch eine selbstgenerierte "PC Policy". Hatte bei uns einfach "historische Gründe", die AD-Struktur am Anfang flach zu halten und eben keine OUs zu verwenden. Spezielle Objekte werden einfach nachträglich in die entsprechenden OUs verschoben.

    Bild von Wolfgang Sommergut
    2. August 2011 - 11:31

    Hallo Tom C., danke für den Hinweis. Es ist richtig, man kann GPOs mit der ganzen Domäne verknüpfen, so dass sie sich auch auf Objekte im Container Computers auswirken. Eine direkte Verknüpfung mit Computers ist aber nicht möglich.

    Für kleine Firmen mag es ein gangbarer Weg sein, alle PCs mit Policies zu verwalten, die für die ganze Domäne gelten. Ansonsten entspricht es aber den Best Practices, die Firmenorganisation über OUs abzubilden und GPOs auf sie anzuwenden. Wenn man sich an diesem Modell orientiert, dann gelten die für eine Abteilung definierten Policies nicht für Computer, die gerade der Domäne beigetreten sind und sich noch im Container Computers befinden.

    Bild von Georg S.
    Georg S. sagt:
    19. Februar 2017 - 3:49

    Wie sieht es aus wenn bereits ein PC mit dem DNS Namen in der AD registriert war er aber mit einem aktualisierten Image bespielt wurde (auf dem zuvor natürlich Sysprep ausgeführt wurde) und ich ihn wieder in die AD aufnehmen will? Verwendet diese dann Problemlos das alte AD Objekt oder sollte der PC davor manuell aus der AD entfernt und wieder hinzugefügt werden?