netdom, add-computer: Windows-Domäne beitreten von der Kommandozeile

    Zu Arbeitsgruppe oder Domäne beitretenWill man einen Computer über die grafische Oberfläche einer Windows-Domäne anschließen, dann führt der Weg normalerweise über Systemsteuerung => System und Sicherheit => System. Dieses Verfahren kann sich in bestimmten Fällen als umständlich erweisen und hat zudem den Nachteil, dass sich der Beitritt zu einer Domäne nicht durch zusätzliche Angaben steuern lässt. Die Kommadozeile bietet hier flexiblere Alternativen.

    Die GUI-Variante ist vor allem dann nützlich, wenn man PCs von Endbenutzern an die Domäne anschließen lässt. Das Procedere ist relativ einfach und per Voreinstellung dürfen Mitglieder von Authentifizierte Benutzer bis zu 10 PCs einer Domäne hinzufügen. Wenn man allerdings für die betreffenden Rechner kein Konto vorab im Active Directory anlegt, dann wird ein solches automatisch im Container Computer erstellt. Die Kommandozeilen-Tools bieten hier dagegen die Möglichkeit, ein neues Computer-Object direkt in der gewünschten OU zu erzeugen.

    XP-Erbschaft netdom.exe

    Seit Windows 2000 war netdom.exe das Kommandozeilen-Tool der Wahl, um mit einem PC einer Domäne beizutreten. Allerdings gehörte es nicht zum Lieferumfang des Betriebssystems, sondern war Teil der Support Tools.

    netdom.exe wird unter Windows 7 mit RSAT installiert, wobei die AD DS-/AD-LDS-Tools aktiviert werden müssen.Unter Windows 7 ist das Programm weiterhin verfügbar, nur mit dem Unterschied, dass es dort über RSAT installiert wird (wenn unter Windows-Funktionen aktivieren oder deaktivieren die AD DS-/AD-LDS-Tools ausgewählt sind). Das Tool lässt sich auch auf andere Rechner kopieren, auf denen kein RSAT installiert ist, wenn man nicht nur die .exe-Datei aus dem system32-Verzeichnis übernimmt, sondern auch die Sprachdatei netdom.exe.mui aus dem Unterverzeichnis de-DE. Zu beachten ist dabei, dass das Programm abhängig vom Betriebssystem in 32- und 64-Bit-Versionen vorliegt.

    Der Aufruf von netdom.exe für den Beitritt eines Computers zu einer Domäne ist relativ einfach und kommt mit folgenden Informationen aus:

    netdom join %computername% /domain:domaene.com /userd:domaene\user /passwordd:*

    Der Stern als Wert für /passwordd bedeutet, dass das Passwort für den Domänen-User interaktiv eingegeben werden soll. Bei Bedarf lässt sich dieser Aufruf um weitere Parameter ergänzen. Wesentlich ist dabei die Möglichkeit, über den Schalter /ou die Organisationseinheit anzugeben, in der das Computer-Konto erstellt wird, also beispielsweise /OU:OU=Marketing,­DC=domaene,­DC=com. Auskunft über die Nutzung weiterer Optionen erhält man über die Eingabe von netdom join /?.

    Windows 7: Powershell-Cmdlet add-Computer

    Die gegenüber netdom.exe bevorzugte Methode, um unter Windows 7 einen PC einer Domäne anzuschließen, ist das Powershell-Cmdlet add-Computer. Wie alle anderen Methoden setzt die erfolgreiche Ausführung des Befehls eine Edition von Windows 7 voraus, die zum Domänenbeitritt berechtigt, also mindestens Windows 7 Professional (also keine Home Edition oder weniger).

    Im Vergleich zu netdom.exe bietet add-Computer noch weitere Optionen, beispielsweise die Möglichkeit, über den Parameter -WhatIf die Ausführung des Befehls zu simulieren. Außerdem lässt sich damit ein Computer auch remote einer Domäne anschließen, indem man ihn über den Parameter -ComputerName spezifiziert. Der minimale Aufruf von add-Computer erfolgt ähnlich wie jener von netdom.exe.

    Allerdings lassen sich die Anmeldedaten des Do­mä­nenbenutzers nicht mehr ohne Weiteres übergeben. Der Paramter -Credential nimmt entweder nur den Benutzernamen im Format domäne\user und fordert später die interaktive Eingabe des Passworts, oder verlangt für die gesamten Anmeldeinformationen ein PSCredential-Objekt, das in Scripts über Methoden wie Get-Credential erzeugt werden kann.

    Ein minimaler Aufruf von add-Computer könnte so aussehen:

    add-computer -credential domaene\user

    Das Cmdlet frägt den Domänen-Namen anschließend interaktiv ab, weitere Optionen jedoch nicht. Aufrufe ohne den Parameter -credential schlagen fehl, auch wenn die Microsoft-Hilfe solche Beispiele anführt. Im Unterschied zu netdom.exe entfällt hier zudem die Angabe des Computernamens. Will man das neu erstellte Computer-Objekt einer bestimmte OU zuordnen, dann muss man diese im Parameter -OUPath als vollständig definierten Namen übergeben:

    add-computer -domainname domaene.com -credential domaene\user -OUPath "OU=Marketing,DC=domaene,DC=com"

    Auch bei add-Computer beschreibt die Hilfefunktion alle verfügbaren Parameter ausführlich, man kann sie über den Befehl

    get-help Add-Computer -detailed

    aufrufen.

    Keine Kommentare