Domain Join: Mit Windows 11 einer AD-Domäne beitreten

    , 31.05.2023
    Tags: , ,

    Windows 11 Domain JoinFür Windows-PCs existieren mehrere Möglichkeiten, um einer Active Directory-Domäne beizutreten. Dazu zählen der interaktive Domain Join über das Applet Systemeigenschaften, netdom.exe und PowerShell. Als weitere Optionen kommen ein Provisioning Package, eine Antwortdatei oder Offline Domain Join über den Import einer .odj-Datei.

    Firmen-PCs werden auch unter Windows 11 mehrheitlich einer Domäne im Active Directory angehören, um das Management der Geräte und der Benutzerkonten zu vereinfachen.

    Microsoft sieht mehrere Methoden und Tools für den Domain Join vor, die für verschiedene Szenarien ausgelegt sind. Dazu zählen:

    Anbindung an Azure AD

    Die inzwischen weit verbreitete Integration in das Azure AD erfolgt zumeist über einen Hybrid Join. Die Verknüpfung der beiden Verzeichnisse geschieht dabei auf der Server-Seite mittels AAD Connect, für den Client ist dieser Vorgang somit vollständig transparent.

    Anbindung eines PCs an Azure AD in einer hybriden Umgebung

    Voraussetzungen für den Domain Join

    Wie in früheren Windows-Versionen müssen weiterhin einige Voraussetzungen erfüllt sein, bevor ein Rechner einer Domäne beitreten kann. Dazu gehört eine entsprechende Edition des Betriebssystems, erforderlich ist mindestens die Pro Edition.

    Außerdem sollte der Rechner einen DNS-Server nutzen, der ihn über einen SVR-Eintrag mit dem Domain Controller (DC) verbindet. Dies ist immer der Fall, wenn der Domain Name Service von einem Active Directory bereitgestellt wird.

    GUI der erweiterten Systemeigenschaften

    Unter Version 10 übernahm die App Einstellungen immer mehr Aufgaben der Systemsteuerung. Dazu zählte in früheren Versionen auch der Beitritt des Rechners zu einer Domäne. Diese Option verschwand dann aber wieder.

    Daran hat sich auch in Windows 11 nichts geändert, die App Einstellungen bietet weiterhin keine Funktion für den Domain Join. Der Link Domäne oder Arbeitsgruppe unter System => Info öffnet das Applet System­eigen­schaften, das man auch direkt über die Eingabe von sysdm.cpl starten kann.

    Die App Einstellungen öffnet für den Domänenbeitritt das Applet Systemeigenschaften.

    Dort kann man den PC auch gleich umbenennen, was bei neuen Rechnern meist erforderlich ist, um sie der internen Namenskonvention anzupassen.

    PowerShell-Cmdlet Add-Computer

    Nimmt man einen Rechner über die GUI in eine Domäne auf, dann wird dessen Konto automatisch im Container Computer erzeugt, außer man hat für den Rechner schon vorab ein Konto in der vorgesehenen OU angelegt.

    Dagegen lassen sich ein Domänenbeitritt zusammen mit der Umbenennung des Rechners und die Zuordnung zu einer OU mit PowerShell in einem Durchgang erledigen. Zuständig dafür ist das Cmdlet Add-Computer, dem man die OU in Form eines Distinguished Name übergeben muss:

    Add-Computer -DomainName contoso.com -NewName Win11 `
    -OUPath "OU=Marketing,DC=contoso,DC=com" -Credential contoso\admin

    Den erforderlichen Neustart kann man ebenfalls gleich veranlassen, indem man den Schalter -Restart hinzufügt.

    Computer mit PowerShell an eine Domäne anschließen

    Add-Computer kann zudem über den Parameter ComputerName auch entfernte Rechner einer Domäne anschließen. Wenn man gleich mehrere Geräte in die Domäne aufnehmen will, dann übergibt man dem Aufruf die Namen als komma-separierte Liste. Bei PCs, die noch keiner Domäne angehören, muss man allerdings mit notorischen WinRM-Verbindungs­problemen rechnen.

    Netdom

    Wer lieber das Dienstprogramm netdom.exe anstelle von PowerShell verwenden möchte, kann auch damit einen PC in eine Domäne aufnehmen. Es ist im Unterschied zu Add-Computer nur nach der Installation der RSAT auf einer Workstation vorhanden. Ein Aufruf könnte so aussehen:

    netdom join <computername> /domain:contoso.com /UserD:<BerechtigterDomainUser> /PasswordD:* /OU:OU=finance,DC=contoso,DC=com

    Wie man aus diesem Beispiel erkennt, ist auch netdom in der Lage, das Computer-Konto in einer bestimmten OU anzulegen.

    Für den Domain Join erwartet das Programm beim Parameter UserD einen berechtigten User aus der Domäne. Dessen Passwort übergibt man an PasswordD oder belässt es dort bei einem "*". Dann fragt netdom das Kennwort interaktiv ab.

    Provisioning Package

    Windows 10 führte ein neues Verfahren ein, um das Betriebssystem anzupassen. Dabei speichert der Imaging and Configuration Designer (ICD), ein Tool im Lieferumfang des Windows ADK, die Einstellungen für das so genannte Runtime Provisioning in .ppkg-Dateien.

    Das Windows-Setup führt diese automatisch während der OOBE-Phase aus, oder alternativ können Benutzer diese danach zur Laufzeit importieren.

    Solche Packages übernehmen auch das Initial Setup, zu dem die Umbenennung des Computers und der Beitritt zu einer Domäne gehören. Dazu klickt man nach dem Start des ICD auf die Kachel Desktopgeräte bereitstellen, gibt den Namen und den Speicherort für das Projekt ein und durchläuft anschließend den Wizard in fünf Schritten.

    Provisioning Package für den Domänenbeitritt erstellen

    Unter Kontenverwaltung kann man dann die Daten für den Domain Join eingeben, darunter auch das dazu berechtigte Konto und dessen Kennwort. Eine Zuordnung zu einer OU ist indes nicht möglich.

    Die .ppkg-Datei liegt jedoch in einem binären Format vor und lässt sich zum Abschluss noch mit einem Passwort sichern.

    Beitritt zur Domäne durch Ausführen der .ppkg-Datei

    Der Vorteil dieser Methode besteht offensichtlich darin, dass man ein solches Paket beispielsweise an Remote-Benutzer weitergeben kann, die ihren PC damit an die Domäne anschließen. Dies setzt jedoch voraus, dass für den Rechner ein DC über VPN erreichbar ist.

    Offline-Join

    Besteht jedoch keine Verbindung zwischen PC und Domänen-Controller, dann bietet sich die Möglichkeit, der Domäne offline beizutreten. Dazu legt man das Computerkonto vorab im Active Directory mit Hilfe von djoin.exe an und speichert das Ergebnis in einer Datei:

    djoin /provision /domain contoso.com /machine Win11pro /savefile Win11pro.odj

    Bei Bedarf kann man mit machineou noch angeben, in welcher OU das Konto erstellt werden soll.

    Im zweiten Schritt importiert man die .odj-Datei am betreffenden Client:

    djoin /requestodj /loadfile .\Win11pro.odj /windowspath c:\windows /localos

    Der Schalter localos teilt dem Programm mit, dass man das aktuell ausgeführte Windows der Domäne anschließen möchte.

    unattend.xml

    Bis auf ein Provisioning Package sind alle Verfahren nur für den Domänenbeitritt eines Live-Systems gedacht. Häufig möchte man jedoch PCs schon beim Deployment automatisch in eine AD-Domäne aufnehmen.

    Für diese Aufgabe eignet sich der Einsatz einer Antwortdatei. Wenn man diese mit dem Windows System Image Manager (Windows SIM) erstellt, dann findet sich die betreffende Einstellung unter amd64_Microsoft-Windows-UnattendedJoin_10.0.22621.1_neutral.

    Diese Komponente zieht man auf den Abschnitt Specialize der Antwortdatei und trägt dann im Fenster Eigenschaften unter Identification die Domäne sowie unter Credentials die Zugangsdaten ein.

    Antwortdatei für den Beitritt zu einer AD-Domäne mit Windows SIM erstellen

    Das Ergebnis ist dann die folgende XML-Datei, die man nach Anpassung der Domäne und Anmeldedaten auch direkt verwenden kann:

    Die Datei sollte den Namen unattend.xml erhalten. Nach dem Mounten des Windows-Images mit DISM kopiert man sie in das Verzeichnis \Windows\Panther.

    Zusammenfassung

    Der Beitritt zu einer lokalen AD-Domäne gehört nach wie vor zur Standardprozedur für Firmen-PCs. Die Anbindung an das Azure AD, etwa für das Management mittels Intune, erfolgt dann in der Regel über die Synchronisierung zwischen den AD DS und der Cloud.

    Für den Beitritt eines PCs sieht Microsoft je nach Szenario verschiedene Methoden vor. Für den interaktiven Domain Join kommen primär das Applet aus der System­steuerung und die Kommando­zeile (Add-Computer, Netdom.exe) in Frage.

    Eine interessante Option stellen Provisioning Packages dar, weil sie sowohl auf einem Live-System als auch in einem Deployment-Image verwenden werden können. Für den automatischen Beitritt zu einer AD-Domäne während der Installation ist eine Antwortdatei gedacht, für eine reine Offline-Konstellation gibt es djoin.exe.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links