dataKEKS 11 Geschrieben 16. November 2021 Melden Teilen Geschrieben 16. November 2021 Hallo liebe Mitlesende, ich habe ein für mich absolut obskures Verhalten das ich mir nicht erklären kann, hoffentlich aber verständlich erklären kann. Da ich das Problem jetzt schon in verschiedenen Netzen erlebt habe, es aber bislang nicht lösen oder ergooglen konnte hoffe ich auf euer Wissen. Ich habe u.a. in unserem eigenen Netz reproduzierbar ein Problem mit WDS installierten Maschinen. Versuche ich beliebige Clients per WDS zu installieren funktioniert das und nach durchgelaufener Installation kann ich mich mit jeden berechtigten AD Konto anmelden solange ich das mit dem Domänenadmin A mache. Nehme ich aber stattdessen Domänenadmin B (beide sind verifiziert in der Gruppe der Domänenadmins) ist die Maschine NICHT Mitglied der Domäne. Da es sowohl mit physikalischen als auch virtuellen Clients passiert und ich heute erst von einem Freund den Hilferuf mit genau dem gleichen Problem bekomme hoffe ich auf euch. Beim heutigen Hilferuf war die Beschreibung so wie ich sie auch aus anderen Netzen kenne: Nimmt man das im Zuge der AD Einrichtung erzeugte Administrator Konto klappt es, bei Benutzern die davon kopiert wurden hingegen nicht. Ich habe versucht mir die Probleme mal mit Hilfe der Setup Protokolle von Windows 10 zu erklären, leider ohne Erfolg :-( Liebe Grüße aus BaWü Norbert Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 16. November 2021 Melden Teilen Geschrieben 16. November 2021 vor 7 Stunden schrieb dataKEKS: hoffentlich aber verständlich erklären kann Hat nicht geklappt. Ich versteh's überhaupt nicht. Was meinst Du genau mit vor 7 Stunden schrieb dataKEKS: Nehme ich aber stattdessen Domänenadmin B (beide sind verifiziert in der Gruppe der Domänenadmins) ist die Maschine NICHT Mitglied der Domäne Was genau schaust Du da an und welche genauen Schlüsse ziehst Du woraus? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 16. November 2021 Melden Teilen Geschrieben 16. November 2021 Moin, Ich muss zustimmen, ich verstehe auch kein Wort. Bitte noch mal in Ruhe erklären. Gruß, Nils Zitieren Link zu diesem Kommentar
dataKEKS 11 Geschrieben 17. November 2021 Autor Melden Teilen Geschrieben 17. November 2021 Habe ich es doch befürchtet Es geht um Clientinstallation per WDS, egal ob W10 / W11, egal ob Hardware oder VM. Es gibt mehrere Domänen Admins, der "Oberadmin", also der bei der Installation vom AD angelegte, wird im Normalfall nicht benutzt sondern die personifizierten damit immer klar ist wer was gemacht hat. Problem ist aber jetzt folgendes (das ich aus verschiedenen Netzen kenne: Mit dem Oberadmin kann ich mich am WDS anmelden, Clients installieren und sie sind nach der Installation Mitglied der Domäne - so weit so gut. Will ich aber genau den selben Client mit einem anderen Adminkonto installieren kann ich mich zwar am WDS Server anmelden, das zu installierende Image auswählen und Windows wird installiert - die Maschine ist danach aber nicht Mitglied der Domäne! Das sehe ich schon direkt am Anmeldefenster weil im Anmeldefenster die Domäne gar nicht erst aufgeführt wird, ebenso gibt es kein Computerkonto im Active Directory.... Gruß Norbert Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 17. November 2021 Melden Teilen Geschrieben 17. November 2021 (bearbeitet) Hallo dataKeks, vor 29 Minuten schrieb dataKEKS: Will ich aber genau den selben Client mit einem anderen Adminkonto installieren kann ich mich zwar am WDS Server anmelden, das zu installierende Image auswählen und Windows wird installiert - die Maschine ist danach aber nicht Mitglied der Domäne! Das sehe ich schon direkt am Anmeldefenster weil im Anmeldefenster die Domäne gar nicht erst aufgeführt wird, ebenso gibt es kein Computerkonto im Active Directory.... leider drückst du dich etwas ungenau aus. Am "WDS Server anmelden" meinst du nicht interaktiv, sondern die Authentifizierung in Windows-PE gegenüber dem WDS? Update: Rein technisch findet der DomainJoin in der "spezialize"-Phase statt, die wiederum erst nach dem Reboot stattfindet. Selbst wenn sich die Accounts unterscheiden, ist die Authentifizierung nicht mehr gecachet. Es liegt nahe, dass eine Unattended.xml verwendet und übergeben wurde. Wird das Computerkonto vorher händisch angelegt oder erst während des UnsecureDomainJoins? bearbeitet 17. November 2021 von MurdocX Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 17. November 2021 Melden Teilen Geschrieben 17. November 2021 Moin, ich ergänze mal: Normalerweise sind für einen Domain Join auch gar keine AD-Adminrechte nötig. Die Vermutung wäre also, dass es gar nicht mit den Adminrechten zusammenhängt, sondern etwas anderes hakt. Andere Vermutung: Je nachdem, was du mit "am WDS-Server anmelden" meinst, könnte dir theoretisch auch UAC dazwischenfunken, denn der Builtin-Administrator wird nicht durch UAC eingeschränkt, alle anderen Administratoren hingegen schon. Das ist auch praktisch das einzige, das diesen Administrator zum "Ober-Admin" macht. (Ob das bei WDS tatsächlich einen Unterschied macht, weiß ich nicht. Ich muss zum Glück keine Clients installieren. ) Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 17. November 2021 Melden Teilen Geschrieben 17. November 2021 Wäre noch interessant, ob im REMINST-Share evtl. noch mit ACLs was gefuschelt wurde Nicht daß der "fehlerhafte" Account keine Leserechte auf das ImageUnattend.xml hätte oder so ein Kram. Aber ansonsten bin ich bei Nils und Jan - "kann eigentlich nicht sein". Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 17. November 2021 Melden Teilen Geschrieben 17. November 2021 Moin, das ist jetzt vielleicht OT, aber ich weiß jetzt wieder, warum ich niemals WDS ohne MDT verwende Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 17. November 2021 Melden Teilen Geschrieben 17. November 2021 Der WDS ist ein schönes, zuverlässiges und KISS-Produkt das man doch gerne nimmt. Wenn ich mir da den MDT anschaue, denke ich immer "Warum MDT, wenn ich es auch mit dem WDS machen kann." 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 18. November 2021 Melden Teilen Geschrieben 18. November 2021 Da bin ich split brain - WDS ist KISS, MDT ist "ich mach alles automatisch". Beides hat Vorteile. Privat WDS, weil mir da der Aufwand für MDT zu groß ist Hilft dem TO aber alles nix. Und bevor er sich wieder meldet, brauchen wir auch nicht weiter philosophieren... 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.