Wechsel der Domäne incl. Übernahme der Clients (Notebooks)

[Hajo2004 12]

Hallo,

 

ich habe da mal eine Frage an die Community. Also folgende Ausgangslage:

 

ca. 100 Domänen Mitglieder (Notebooks, User) an 3 bis mehr Standorten

sollen von einer alten Domäne in eine neue Domäne Umstrukturiert werden.

Gefordert ist das diese Clients (Notebooks) komplett neu aufgesetzt werden

und in die Neue Domäne aufgenommen werden. Dann auch mit der passenden

Software (Office, Anwendungssoftware usw.) bespielt werden. Wenn dann alle

Clients umgezogen sind soll die alte Domäne abgeschaltet werden.

 

Nun habe ich mir Überlegt das man dafür vielleicht das Microsoft System Center

nutzt, da dort ja ideal Clients die sich anmelden mit dem neuen Betriebsystem

incl. Partitionierung und so aufsetzen kann und dann auch in die Domäne gehoben

werden können. Dort dann auch mit der passenden Anwendungssoftware bestückt

werden können.

 

Da ich allerdings noch nicht so die Erfahrung mit dem Microsoft System Center

habe, würde ich gerne wissen ob das möglich ist das man mit einem Microsoft

System Center die Clients aus der einen Domäne sauber heraus bekommt und

dann auch sauber in die Neue Domäne aufnehmen kann.

Nach erfolgreichem Umzug der Clients und User kann dann ja auch die alte Domäne

abgeschaltet werden.

 

Ich versuche auch nebenher noch mich etwas schlauer zu machen mit dem System Center

doch ich hoffe auch auf Eure guten Tips ob es geht un dwenn es nicht geht wie man

es sonst realisieren kann.

 

Beste Grüße

Hajo

[NorbertFe 2.045]

vor 6 Minuten schrieb Hajo2004:

dem System Center

Du sprichst davon, als wäre "das System Center" ein Produkt. Ist es aber nicht. Es sind diverse. Falls du SCCM meinen solltest, dann viel Spaß beim Aufbau des notwendigen Know Hows. Ich würde je nach Anforderung wetten, dass man das anders schneller und evtl. preiswerter hinbekommen kann. Aber das geht sehr wahrscheinlich insgesamt über das hinaus, was man in einem Forum diskutieren kann.

 

Grundsätzlich ja mit SCCM sind deine angefragten Dinge grundsätzlich möglich (zumindest was ich so auf die Schnelle im Hinterkopf habe). Und nein ich kenne mich nicht tiefer mit SCCM aus. :)

 

Bye

Norbert

[Hajo2004 12]

vor 7 Minuten schrieb NorbertFe:

Du sprichst davon, als wäre "das System Center" ein Produkt. Ist es aber nicht. Es sind diverse. Falls du SCCM meinen solltest, dann viel Spaß beim Aufbau des notwendigen Know Hows. Ich würde je nach Anforderung wetten, dass man das anders schneller und evtl. preiswerter hinbekommen kann. Aber das geht sehr wahrscheinlich insgesamt über das hinaus, was man in einem Forum diskutieren kann.

 

Grundsätzlich ja mit SCCM sind deine angefragten Dinge grundsätzlich möglich (zumindest was ich so auf die Schnelle im Hinterkopf habe). Und nein ich kenne mich nicht tiefer mit SCCM aus. :)

 

Bye

Norbert

Hallo Norbert,

 

ja ich meinte das SCCM. Gut das es schon mal möglich ist wenn Du es noch richtig im Kopf hast, denn

ich war auch der Meinung das es damit eigentlich gehen sollte. Nur zuletzt habe ich mit dem SCCM 2012

zutun gehbt und seid dem nicht mehr. Deswegen hoffe ich mal das hier vielleicht der eine oder andere

mir noch ein paar Tips geben kann wie das genau aufzubauen ist und worauf ich achten sollte wenn man

es dann umsetzen sollte.

 

Besten Dank

[cj_berlin 1.323]

Moin,

 

die interessentere Frage ist ja, was übernommen werden soll. Grundsätzlich ist für die Neubetankung und Aufnahme in die neue Domäne ja egal, ob die Maschine vorher in der alten Domäne Mitglied war. Und die Clients sauber aus der alten Domäne zu nehmen, ist doch allenfalls Kosmetik.

 

Sollen Benutzerprofile gerettet werden? Oder gar irgendwelche Datenbestände, die außerhalb der Benutzerprofile auf den Maschinen gespeichert sind?

[Hajo2004 12]

Hallo cj_berlin,

 

also ich denke mal das es einfach darum geht das der Client sauber aus der einen Raus geht um so

einen Überblick zu haben wann der letzte Client die alte Domäne verlassen hat. Klar das ist etwas

Kosmetik aber auch gut um eine übersicht zu haben.

Denke mal schon das man auch Datenbestände vorab sichern möchte, wie z.B.: Dokumente und Bilder

die im Profil noch liegen oder Ordner die auf dem Desktop liegen mit Daten.

 

Was halt auch wichtig ist das die Clients über das Internet zum Standort des SCCM kommen können

um von dort dann die BS Images zu bekommen und das die eingebaute HDD genutzt wird auf der

vorher das BS installiert war. Also müßte die alte konfiguration zurück gesetzt werden um dann

auch sauber ein neues System aufzuspielen zu können.

 

Achja, habe noch vielleicht etwas zusätzliche Infos.

Alte Domäne wäre z.B. abc.de und die neue wäre dann abc.com

bearbeitet 4. Januar 2023 von Hajo2004

[NorbertFe 2.045]

vor 16 Minuten schrieb Hajo2004:

einen Überblick zu haben wann der letzte Client die alte Domäne verlassen hat.

Bei popligen 100 Geräten tuts dafür auch ne excel Liste ;)

 

vor 16 Minuten schrieb Hajo2004:

Denke mal schon

Das wären aber die Dinge die man mit dem Kunden klärt bevor man das Werkzeug auswählt. ;)

 

vor 17 Minuten schrieb Hajo2004:

Achja, habe noch vielleicht etwas zusätzliche Infos.

Alte Domäne wäre z.B. abc.de und die neue wäre dann abc.com

Vollkommen egal.

[cj_berlin 1.323]

Moin,

 

Betriebssystem-Betankung übers Internet kannst Du knicken. Auch das Sichern und Zurückspielen von Benutzerprofilen übers Internet kannst Du knicken. Wenn Du das ganze rein on-prem abwickeln willst, müssen die Leute oder zumindest die Geräte für einen Tag reinkommen.

 

Was Du hingegen machen kannst - entsprechende Lizenzierung vorausgesetzt - ist vorher schon die "Well Known Folders" auf OneDrive umstellen und die Geräte ins Azure AD aufnehmen statt ins AD. Dann schickst Du jedem User einen USB-Stick zu, von dem er bootet. Daraufhin wird sein Rechner plattgemacht und anschließend ins Azure AD und Intune eingerollt. Das entsprechende Image musst Du natürlich vorbereiten, kann man im Zweifel mit MDT machen. Dann meldet sich der User mit seinem Azure AD Account an, hat dann "sein" OneDrive gleich verbunden, und da liegen auch schon seine Daten. Aber das wäre ein ganz anderes Projekt, als was Dir so vorschwebt. Lohnt sich langfristig aber vermutlich mehr.

[NorbertFe 2.045]

Gerade eben schrieb cj_berlin:

Lohnt sich langfristig aber vermutlich mehr.

Aber für die Aussage müßte man auch mehr Infos vom ist,/soll und Perspektive haben. Ansonsten erstmal nur ein educated guess. 

[Hajo2004 12]

Danke euch beiden,

 

es ist aktuell auch nur eine Überlegung wie man das realisieren könnte. Denke mal das mit AzureAD wird

nicht gewünscht sein. Somit auch kein OneDrive sichern. da wäre dann wohl die bessere Lösung das ganze

über GPO`s zu machen und dann je Standort zu machen. Doch es wäre halt schön wenn man auch remote

die Clients aus der alten in die neue Domäne bekommt mit sauberem Betriebsystem und dann über GPO`s

in der neuen Domäne die Zuweisung der benötigten Anwendungssoftware.

 

Habt ihr da Tips wie man das angehen kann ohne AzureAD.

[NilsK 2.939]

Moin,

 

ich wage mal zu behaupten, dass für irgendwelche konkreten Empfehlungen hier bei weitem nicht genügend Informationen vorliegen.

 

@Hajo2004 es klingt so, als seien viele Rahmenbedingungen mit dem Kunden noch gar nicht geklärt. Das ist aber unabdingbar, bevor man überhaupt anfangen kann, konzeptionelle Ideen zu entwickeln. Wenn der Kunde z.B. gar nicht über SCCM verfügt, dann dürften Beschaffung und Einrichtung bei so einer Umgebung für so ein Vorhaben viel zu teuer und langwierig sein.

 

Gruß, Nils

 

[cj_berlin 1.323]

vor 1 Minute schrieb NorbertFe:

Aber für die Aussage müßte man auch mehr Infos vom ist,/soll und Perspektive haben. Ansonsten erstmal nur ein educated guess. 

Sehe ich in diesem Fall anders. Die drei wichtigsten Punkte wurden ja bereits geliefert:

1. die vorhandene on-prem-Umgebung soll weg und ersetzt durch etwas, was es noch nicht gibt (kein Investitionsschutz also)
2. Clients hüpfen die meiste Zeit im Internet herum (auf VPN und lokaler AD-Mitgliedschaft basierende Konzepte sind also schon mal aus Security-Sicht nicht das Gelbe vom Ei)
3. Es sind nur 100x Clients, jede größere Investition in (Infrastruktur + Arbeitszeit + Lernen) ist also vermutlich pro Stück zu teuer. Und insbesondere SCCM ist *immer* eine größere Investition.

Und ich bin weiß G'tt kein "Cloud-First-CoolAid-Trinker".

[NorbertFe 2.045]

Ja, das sah ich in der Antwort ganz oben ähnlich. ;)

vor 1 Minute schrieb cj_berlin:

Sehe ich in diesem Fall anders. Die drei wichtigsten Punkte wurden ja bereits geliefert:

1. die vorhandene on-prem-Umgebung soll weg und ersetzt durch etwas, was es noch nicht gibt (kein Investitionsschutz also)
2. Clients hüpfen die meiste Zeit im Internet herum (auf VPN und lokaler AD-Mitgliedschaft basierende Konzepte sind also schon mal aus Security-Sicht nicht das Gelbe vom Ei)
3. Es sind nur 100x Clients, jede größere Investition in (Infrastruktur + Arbeitszeit + Lernen) ist also vermutlich pro Stück zu teuer. Und insbesondere SCCM ist *immer* eine größere Investition.

Und ich bin weiß G'tt kein "Cloud-First-CoolAid-Trinker".

Es gibt aber von den 100 Clients abgesehen ja vielleicht auch noch Server ;) ich wiederhole mich bzw. Nils mal: ohne Anforderungen und komplette Infos sucht man sich keine Methode/Werkzeuge aus. 

[cj_berlin 1.323]

vor 8 Minuten schrieb Hajo2004:

Habt ihr da Tips wie man das angehen kann ohne AzureAD.

Du hast zwei Anforderungen formuliert, die sich gegenseitig ausschließen:

1. Internet + VPN --> es wird also eine Identität benötigt, um eine Verbindung zum AD herzustellen, ob nun alt oder neu.
2. OS platt machen --> damit beraubst Du die Maschine erst mal ihrer Identität, und die Katze beißt sich in den Schwanz.

Im LAN geht das, denn da kannst Du im Betankungsnetz 802.1X abschalten, und eine Maschine ohne bekannte Identität kann mit dem AD sprechen.

 

Ansätze wären:

1. Du verzichtest aufs Plattmachen --> dann können AD-Migrationstools, die diesen Namen verdienen, auch einen Domänenwechsel über VPN durchführen. Bereinigen kann man manchmal auch ohne Plattmachen. Du musst aber irgendwas erfinden, um zu inventarisieren, was denn da alles installiert und konfiguriert ist.
2. Du holst die Geräte rein --> siehe "im LAN geht das".
3. Du bastelst Dir einen USB-Bootstick, der bereits für jede Maschine ein Zertifikat inklusive Private Key und eine Offline AD Join-Datei enthält. Diesen schickst Du natürlich nicht an die User, sondern fährst von einem zum nächsten und installierst die Geräte neu. Mit dem Offline Join und dem eingespielten Zertifikat können sie eine AlwaysOn VPN-Verbindung aufbauen und kommen wieder mit der Infrastruktur in Kontakt. ACHTUNG! Dies ist keine Empfehlung, sondern einfach etwas, was technisch machbar ist.

[testperson 1.680]

Hi,

 

ich schmeiße mal noch eine evlt. mit dem Kunden zu diskutierende Idee in den Raum: Wenn die Clients ziemlich verteilt unterwegs sind, wie steht es um eine zentrale Bereitstellung der Anwendungen und Daten in einem Rechenzentrum (vor Ort) per Session Hosts und/oder virtueller Desktops?

 

Gruß

Jan

[daabm 1.356]

Kunde oder Ausbildungsbetreuer? Egal, Thread ist wohl eh tot