Windows 10 einer Domäne anschließen mit Provisioning Packages (PPKG)

Das ADK für Windows 10 1607 ent­hält eine neue Version des Imaging and Configuration Designer. Dieser verfügt nun über einen eigenen Wizard zur Änderung der Basis­konfi­guration von vorhan­denen Windows-10-Instal­lationen. Zu seinen Funktionen zählen die Änderung des Computername sowie der Beitritt zu einer Domäne.

Der Imaging and Configuration Designer (ICD) spielt neben dem Mobile Device Management eine wichtige Rolle bei der Konfigu­ration des Betriebs­systems. Die beiden Techniken sind längerfristig als Alternativen zu den Gruppenrichtlinien vorgesehen, die Microsoft ihrerseits in der Pro Edition laufend reduziert.

Anpassen von OEM-Windows

Die Fähigkeit, vorhandene Installationen durch einfaches Anwenden von PPKG-Dateien anpassen zu können, macht das Tool besonders für Workgroup-Umgebungen interessant. Das trifft etwa auf neue PCs zu, wo die OEM-Version von Windows nun nicht mehr komplett durch ein neues Abbild ersetzt werden muss, sondern sich mit ICD modifizieren lässt.

Ein solches Dynamic Provisioning, wie Microsoft diese Anpassung während der Laufzeit nennt, eignet sich mithin auch für Firmen-PCs, bevor sie zentral über das Active Directory verwaltet werden. Zu den Aufgaben, die in dieser Phase anstehen, gehört die Vergabe eines Namens und der Domain Join.

Anmeldedaten für Domain Join in PPKG-Datei

Zu diesem Zweck stehen natürlich weiterhin die bekannten Methoden zur Verfügung, sowohl der interaktive Beitritt mittels System­steuerung bzw. der App Einstellungen als auch via PowerShell.

Der Charme von ICD besteht jedoch darin, dass man für diese Tätigkeit kein Passwort eines administrativen Kontos weitergeben muss, weil dieses bereits verschlüsselt im Provisioning Package enthalten ist.

Wenn Windows 10 eine PPKG-Datei auf dem Rechner (bzw. einem Wechselmedium) vorfindet, bevor es in den OOBE- oder Audit-Modus bootet, dann wendet es die in ihr enthaltene Konfiguration automatisch an.

Zeigt der Rechner aber bereits den Desktop, dann erfordert die Ausführung eines Provisioning Packages lokale Admin-Rechte. Aus diesem Grund lässt sich der Domänen­beitritt in dieser Phase nicht ohne weiteres an normale Benutzer delegieren.

Wizard für die Basiskonfiguration

Das Erzeugen eines Pakets für die Grund­einstellungen wie Computername, Domäne oder das Anlegen eines lokalen Administrators fällt mit dem neuen Wizard ziemlich einfach. Nach dem Start zeigt der ICD eine Kachel mit der Aufschrift Einfache Bereitstellung.

Sie startet den Assistenten, der durch vier Dialoge für die Vergabe des Namens, den Domain Join und das Einrichten eines lokalen Admins sowie die Konfiguration des WLANs geleitet.

Als relativ unflexibel erweist sich das Schema für den Computernamen, hier können konstante Zeichenketten nur mit Variablen für Zufallszahlen oder eine Hardware-basierte Seriennummer kombiniert werden. Da der ICD keine Klartextdateien produziert, lassen sich Packages nicht editieren, um den Namen zu ändern. Notfalls müsste man die Rechner nachträglich (remote) umbenennen.

Auch der Beitritt zur Domäne beschränkt sich auf das Minimum. Die Angabe der OU, in welche das Computer-Konto aufgenommen werden soll, lässt der ICD im Gegensatz zu PowerShell nicht zu.