Automatischer Eintrag von Computern in Domäne

[mimu.1 10]

Domänencontroller: 2000 Server

20 Clients: 2000 Professional

Alle Clients melden sich a.d. Domäne an

Im Active Directory erscheinen nur 14 Clients, im Explorer unter Netzwerkumgebung erscheinen 20 Clients.

Auf die 6 Clients, die nur im Explorer unter Netzwerkumgebung erscheinen kann ich nicht zugreifen (keine Rechte)

Fragen:

Wieso erscheinen 6 Clients nicht ?

Tragen sich die Computer nicht selbst i.d. Domäne ein ?

Muß ich sie von Hand eintragen ?

Ist dabei was zu beachten ?

[Necron 71]

Welches SP ist installiert?

[mimu.1 10]

sp3

[grizzly999 11]

Tragen sich die Computer nicht selbst i.d. Domäne ein ?

Wie meinst du das? Die Computer fügst DU der Domäne hinzu, entweder beim Installieren oder später. Was steht denn auf den Rechnern in der Systemsteuerung/System/Computername, zu welcher Domäne oder Arbeistgruppe der Rechner gehört?

 

 

grizzly999

[mimu.1 10]

Also ich bin in eine Firma gekommen um zentralen Virenschutz auf der Domäne zu installieren.

 

Es waren einige Rechner im Netz, die sich an der Domäne anmelden und deren Computernamen xxx.domäne.local heißen.

 

Aber im Active Directory erscheinen diese Rechner nicht unter Computer.

 

Die Computer wurden vielleicht rausgelöscht oder was weis ich.

 

Ich von der Domäne aus auch keinen Zugriff über Netzwerkumgebung auf diese Rechner, obwohl diese Rechner dort erscheinen.

 

Im Ereignisprotokoll habe ich aber nun folgendes gefunden:: Der Computer "xxx" hat versucht, sich zu Server \\xxx zu verbinden, wobei er eine Vertrauensstellung der Domäne xxx verwendet hat. Der Computer hat jedoch die korrekte Sicherheitskennung (SID) bei der Neukonfiguration der Domäne verloren. Richten Sie die Vertrauensstellung neu ein.

 

Gehe davon aus, daß ich die Rechner von der Domäne nehmen muß und wieder rein und sie dabei die Benutzereinstellungen und Registry Eintragungen verlieren.

 

Wenn ich danach die alten Einstellungen wieder haben möchte, so geht das wohl nicht, indem ich das alte Profil kopiere, wegen Ntuser.dat ?

[günterf 45]

Hi!

 

Wird dort mit servergespeicherten Profilen gearbeitet?

[grizzly999 11]

Gehe davon aus, daß ich die Rechner von der Domäne nehmen muß und wieder rein und sie dabei die Benutzereinstellungen und Registry Eintragungen verlieren.

Wenn das Konto im AD nicht mehr existiert, ja.

 

Wenn ich danach die alten Einstellungen wieder haben möchte, so geht das wohl nicht, indem ich das alte Profil kopiere, wegen Ntuser.dat ?

Wenn ich davon ausgehe, dass es Profile von Domänenbenutzern sind, dann nicht, das sich ja die SID des Benutzers nicht geändert hat. Wenn es Profile von lokalen Benutzern sind, geht der Zugriff nicht mehr.

 

 

grizzly999

[mimu.1 10]

Lokale Profile -> also kann ich die Benutzerprofile wohl nicht übernehmen.

 

Kann ich bei servergespeicherten Profilen die Computer rein und raus, in und aus der Domäne bringen, wie ich will?

 

Macht es Sinn den Benutzer zu kopieren und dann unter neuem Usernamen diesen kopierten User an die Domäne bringen?

 

Schaue mir netdom an, vielleicht hilft das (ist aber wohl nur zum umbenennen von Computernamen ?)

 

Wollte auch schon die sicheren Kanäle und die digitale Signierung deaktivieren (nicht wirklich)...

[günterf 45]

Hi!

 

Bitte nichts verwechseln!

 

Es geht hier um zwei unterschiedliche Dinge!

 

Benutzer und Computer!

 

Beide haben unterschiedliche SID's

 

Wenn Du den Computer aus AD entfernst und wieder hinzufügst, ändert sich die SID des Rechners, nicht die des Benutzers!

 

Die Benutzer SID ist nicht mit der des Rechners verknüpft!

[mimu.1 10]

Was versteh ich falsch?

 

Wenn ich den Computer raus und wieder rein i d Dom bringe, dann wird doch ein neues, leeres Benutzerprfil angelegt.

 

So hängen doch Computer und Benutzer zusammen ?

 

Die SID ist ja auch nicht mehr in Ordnung, da die Vertrauenssellung nicht mehr gültig ist, da die Domäne (von einem Anderen vor mir) neukonfiguriert wurde.

[grizzly999 11]

Aber im Benutzerprofil eines Domänenbenutzers steht die SID des Domänenbenutzer drin. Diese SID hat er in der Domäne, und diese SID ist unabhängig von der Computer-SID. Solange der Benutzer in der Domänendatenbank bestehen bleibt, bleibt auch seine SID erhalten. Wenn sich der Benutzer an einem Rechner anmeldet, der sein lokales Profil auf der Platte hat, bekommt wieder sein Profil, egal ob sich die SID des Computers geändert hat.

 

grizzly999

[mimu.1 10]

Herausgefunden:

 

2 Sorten Clienten, die sich a d Dom anmelden und kein Computer im AD haben:

 

1.

username/domäne - mit BenutzerRechten auf der Domäne

(kein lokales Profil)

 

2.

username/domäne - mit BenutzerRechten auf der Domäne

username/domäne - lokal abgespeichert mit Adminrechten

(username jeweils gleich, war so installiert)

 

Vorgang:

Unter dem Usernamen angemeldet:

Client wurde aus der Dom in eine Workgroup gebracht.

 

Benutzer wurde NICHT im AD gelöscht.

 

Anmeldung als Admin lokal (*liegt hier der Fehler * ?)

 

Client wurde unter dem lokalen Adminkonto wieder neu an der Domäne angemeldet.

 

Gleicher Benutzer wie vorher angegeben (ist ja noch im AD vorhanden):

username: gleich

domäne: gleich

computername: neu vergeben

 

--> Profil wird als username.001 angelegt.