Mit Windows 10 einer AD-Domäne beitreten

    Mit PC einer Domäne beitretenFirmen-PCs werden auch unter Windows 10 mehrheitlich einer Domäne im Active Directory angehören, um das Management der Geräte und der Benutzer­konten zu vereinfachen. Für den Domain Join steht neben den altbekannten Tools auch eine Touch-optimierte Variante zur Verfügung.

    Schon mit dem Erscheinen von Windows 8.1 und Server 2012 R2 wurde darüber spekuliert, ob die herkömmliche Integration mit dem Active Directory und die Verwaltung von PCs über Gruppenrichtlinien noch eine Zukunft hätten. Diese Betriebssysteme führten nämlich den so genannten Workplace Join (Arbeitsplatzbeitritt) ein, bei dem Anwender ihre Geräte in Eigenregie am AD registrieren können.

    Domänenbeitritt für PCs weiterhin die Norm

    Diese Light-Variante eines normalen Domänenbeitritts ermöglicht den Zugriff auf Ressourcen im Firmennetzwerk durch (vornehmlich private) Geräte, unterstützt aber kein Management durch Group Policies. Aber diese gelten einigen Beobachtern ebenfalls als Auslaufmodell. Windows 10 soll nämlich auf allen erdenklichen Endgeräten laufen und daher zunehmend über Mobile Device Management verwaltet werden.

    Mobile Device Management soll alle Windows-10-Geräte verwalten, aber GPOs kann es vorerst nicht ersetzen.

    Wenn Unternehmen jedoch die meisten Einstellungen ihrer PCs zentral verwalten möchten, dann führt auch unter Windows 10 kein Weg an GPOs vorbei. Die neue Version des Betriebssystems behält nicht nur tausende Einstellungen seiner Vorgänger bei, sondern führt eine ganze Reihe neuer ein.

    Voraussetzungen für Domain Join

    Wie unter Windows 8.1 müssen weiterhin einige Voraussetzungen erfüllt sein, bevor ein Rechner einer Domäne beitreten kann. Dazu gehört eine entsprechende Edition des Betriebssystems, erforderlich ist mindestens die Pro Edition.

    Außerdem sollte der Rechner einen DNS-Server nutzen, der ihn über einen SVR-Eintrag mit dem Domain Controller verbindet. Dies ist immer dann der Fall, wenn der Domain Name Service von Active Directory bereitgestellt wird.

    Domäne beitreten über die Systemsteuerung

    Die schon seit Windows-Generationen gängigste Methode für einen Domänen­beitritt funktioniert auch in der Version 10. Es handelt sich dabei um das Applet System in der Systemsteuerung, die per Voreinstellung aber nicht mehr im Startmenü vertreten ist. Am einfachsten lässt sie sich über das Kontextmenü des Start-Buttons aufrufen.

    Das System-Applet in der Systemsteuerung steht für den Domain Join weiterhin zur Verfügung.

    Klickt man im Abschnitt Einstellungen für Computernamen, Domäne und Arbeitsgruppe auf den Link Einstellungen ändern und anschließend auf den Button Netzwerk-ID, dann öffnet sich ein neuer Assistent, der in einem Durchgang den Namen des Computers ändern und diesen einer Domäne anschließen kann.

    Store App Einstellungen als Alternative

    Die Systemsteuerung weicht nach und nach einer Store App mit dem schlichten Namen Einstellungen, die nun den Platz im Startmenü übernommen hat. Nach einer dürftigen ersten Version in Windows 8 bewältigt sie mittlerweile die meisten Aufgaben der alten Systemsteuerung. Seit Windows 8.1 ist diese App auch in der Lage, einen PC an eine Domäne anzuschließen. Die entsprechende Funktion findet man unter System => Info.

    Wie in der Systemsteuerung kann man dort den PC auch gleich umbenennen, was bei neuen Rechnern meist erforderlich ist, um sie der internen Namens­konvention anzupassen. Neu in Windows 10 ist die Möglichkeit, über die App Einstellungen auch einer Domäne in Azure AD beizutreten.

    Die Store App Einstellungen ist nun auch in der Lage, den Namen des PCs zu ändern und ihn einer Domäne anzuschließen.

    Der Nachteil dieser App besteht darin, dass sie den Button Domäne beitreten abblendet, sobald man den Namen des PCs über die dafür zuständige Schaltfläche ändert. Daher erfordert sie gleich einen zweimaligen Reboot, wenn man im Zuge des Domain Join einen neuen Namen für den Rechner vergeben will.

    Nach der Verbindung mit den DC kann man die lokalen Gruppenmitgliedschaften weitere Domänen-User ändern.

    Nach der Eingabe der Anmeldedaten für den berechtigten Domänenbenutzer präsentiert der Wizard einen weiteren Dialog, in dem der Name des angemeldeten Users angezeigt wird. Diesen kann man dort den Standard­benutzern oder Administratoren zuordnen. Alternativ gibt man hier den Namen eines anderen Domänenbenutzers ein, um dessen lokale Gruppen­mitglied­schaft zu ändern.

    PowerShell als effiziente Alternative

    Beiden GUI-Tools ist gemeinsam, dass sie die Angabe einer OU für den PC nicht vorsehen. Daher wird dessen Account im Container Computer erzeugt, außer man hat für den Namen des Rechners schon vorab ein Konto in der vorge­sehenen OU angelegt.

    Dagegen lassen sich ein Domänenbeitritt zusammen mit der Umbenennung des Rechners und die Zuordnung zu einer OU mit PowerShell in einem Durchgang erledigen. Zuständig dafür ist das Cmdlet Add-Computer, dem man die OU in Form eines Distinguished Name übergeben muss:

    Add-Computer -DomainName contoso.de -NewName Win10Mkt -OUPath "OU=Marketing,DC=contoso,DC=de"

    Den erforderlichen Neustart kann man ebenfalls gleich veranlassen, indem man den Schalter -Restart hinzufügt. Soll das Script nicht interaktiv ausgeführt werden, dann übergibt man ihm über den Parameter Credentials die Anmeldedaten für die notwendige Authentifizierung als Credentials-Objekt.

    Interessant ist zudem die Option, auch entfernte Computer einer Domäne anzuschließen, weil Add-Computer über den Parameter -ComputerName auch das Remoting des Kommandos unterstützt.

    Dabei kann man dem Aufruf gleich die Namen mehrerer Rechner in Form einer Komma-separierten Liste übergeben. Bei PCs, die noch keiner Domäne angehören, muss man dabei allerdings mit notorischen WinRM-Verbindungsproblemen rechnen.

    Domain Join über Runtime Provisioning

    Windows 10 bietet ein neues Verfahren, um das auf neuen Geräten vorinstallierte Betriebssystem an die Anforderung einer Firma anzupassen. Dieses Runtime Provisioning definiert eine ganze Reihe von Einstellungen in .ppkg-Dateien, die vom Benutzer übernommen werden können (siehe dazu: Statt GPOs: Windows 10 konfigurieren mit Runtime Provisioning).

    Zu den Anwendungen solcher Packages gehört auch das Initial Setup, zu dem auch die Umbenennung des Computers und der Beitritt zu einer Domäne gehören (siehe dazu: Windows 10 einer Domäne anschließen mit Provisioning Packages).

    Keine Kommentare