Jump to content

Einbinden der Clients in die Domain nach Neuaufsetzen des DC


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Aber ok, kann man nichts machen. Und außerdem triffts mich gar nicht so schlimm, da es nur mehr 2 Rechner sind.

Mönsch Markus,

 

nur zwei Kisten. Ich habe das schon an Dutzenden hintereinander gemacht und das unter Druck.

Die Lehrgangsteilnehmer waren schon im Haus, der DC hatte den Geist aufgegeben und ich bekam den Auftrag das Joinen durchzuführen. Das waren dann 25 Pentium-S-Rechner mit 95MHz und 16MB RAM. Hast du ne Ahnung, wie lange soetws dauert. Das macht man denn im Staffelverfahren.

Link zu diesem Kommentar

hi...

 

na ja... bei mir sind es auch "nur" 7 rechner... leider aber 50 user... und jeder will natürlich als erster bedient werden...

 

dass sich die ganzen SIDs ändern, wenn ich die Domäne neu aufsetzt leuchtet mir ja ein... und dass folglich die Rechner eine "alte Vertrauensstellung misbrauchen" ist ebenso klar... was mir nicht einleuchtet ist: wenn ich mich jetzt an einem der clients mit der "misbrauchten" vertrauensstellung als admin anmelde kann ich den Rechner umbenennen... was auch brav in den computerkonten der domänen übernommen wird... warum korrigiert er dabei nicht die SID und stellt die Vertrauenstellung zwischen server und ws wieder her?

 

gruß

 

 

stef

Link zu diesem Kommentar
was mir nicht einleuchtet ist: wenn ich mich jetzt an einem der clients mit der "misbrauchten" vertrauensstellung als admin anmelde kann ich den Rechner umbenennen... was auch brav in den computerkonten der domänen übernommen wird... warum korrigiert er dabei nicht die SID und stellt die Vertrauenstellung zwischen server und ws wieder her?

Da staune ich, woher kommt denn das Computerkonto im AD?

 

Jetzt muss ich hier mal aufpassen, damit wir hier nicht durcheinanderkommen und auch kein Takeover durch Jakus geschieht.

 

Die Situationen sind möglicherweise unterschiedlich.

Link zu diesem Kommentar
ich habe testhalber ein computerkonto erstellt, und den namen eines lokalen computers eingetragen, dem hat er dann korrekt den dns namen zugewiesen (computername.firma.de) und beim umbenennen des rechners wurde dass dann übernommen...
Ich habe vorstehend ja nun nicht behauptet, die von mir empfohlene Methode sei die alleinig funktionierende oder seligmachende. Ich habe erwähnt, das es etwas anders gibt und habe auch dazu eine Empfehlung ausgesprochen.
Link zu diesem Kommentar

hm... vielleicht haben wir uns wirklich nicht verstanden... ich wollte nur die Frage

 

Da staune ich, woher kommt denn das Computerkonto im AD?

 

beantworten.

 

hm... ich dachte schon, dass es hier um genau das gleiche problem geht... aber wenn ich mich irren sollte mache ich natürlich auch einen neuen thread auf... möglicher weise kann mwildbolz uns hier weiter helfen...

 

bei mir ist ein server (standalone) abgeraucht und es existierte kein backup und da ich ihn nicht wiederherstellen konnte musste der ganze server neu aufesetzt werden, inkl. dc und folglich auch allen benutzerkonten... nun wollte ich vermeiden, dass ich an alle clients laufen muss und dort den client von domäne entfernen/ zur domäne hinzufügen muss und mir damit alle benutzereinstellungen verloren gehen, da windows ja neue profile anlegt, wenn ich mich wieder anmelde (was auch passiert, wenn ich den rechner einfach so entferne und wieder hinzufüge). daraus resultierte für mich die frage... kann man die computerkonten wieder anmelden, ohne dass alle einstellungen in den benutzerprofilen wieder neu gemacht werden müssen. man kann zwar den assistenten zum übertragen von einstellungen nutzen, doch muss man das a. für jeden benutzer einzeln machen und b. überträgt der eben doch nicht alle einstellungen...

 

und noch dazu:

 

Jetzt muss ich hier mal aufpassen, damit wir hier nicht durcheinanderkommen und auch kein Takeover durch Jakus geschieht.

 

muss du nicht... wenn ich einen neuen thread auf machen soll, ist das auch kein problem... ich wollte blos kommentare, wie "dazu haben wir schon einen thread" vermeiden, das es in diesem thread ja keine lösung des problems gab...

 

gruß

 

stef

Link zu diesem Kommentar

Hallo Stef,

 

solange sich die Antworten und Fragen am Thema und Interesse des Threadowners orientieren ist die Sache aus meiner Sicht in Ordnung.

Ich denke, die Schilderung des von die angewandten Verfahrens ist ok.

Ich habe das nicht ausgeführt, weil ich mir da (im Moment) nicht sicher bin, ob es auch wirklich funktioniert und habe den einfachsten Weg geschildert. Dieser wird ja angewand, wenn ein Benutzer seinen Rechner einer Domäne hinzufügt.

 

Ich denke, einer meiner Expert-Kollegen wird sich noch dazu :) äussern.

 

Gruß

 

Edgar

Link zu diesem Kommentar

...der haken an meinem verfahren ist nur dass es nicht das erwünschte ergebnis bringt... :D

 

...und das ist auch das, was ich nicht schnalle... wenn der geänderte computername im DC übernommen wird... warum bringt der DC dann trotz dem noch die meldung, dass die SID nicht stimmt?

Wieso übernimmt der DC eine namensänderung ohne die SID des zugehörigen computers zu ändern (scheinbar)?

 

das du den einfachsten weg schilderst ist vollkommen korrekt, jedoch werden dabei neue benutzerprofile erstellt und eben das versuchen wir zu vermeiden... oder kennst du einen weg, der möglichst einfach alle alten benutzer einstellungen in ein neues benutzerprofil übernimmt?

 

danke

 

stef

Link zu diesem Kommentar

Hallo Stef,

 

da hast nämlich den Salat.

 

Klammern wir die WS in der Betrachtung einen kurzen Moment aus.

 

Auch die Benutzer einer Domäne haben eine SID. Benutzernamen/Benutzerkonto stehen sozusagen synonym zur SID. Und auch das Benutzerprofil wird mit der SID identifiziert. Ein Profil einfach sozusagen von einer Domäne(alten, defekten) zur anderen zu kopieren reicht nicht. Das Profil muss identifieziert werden anhand der SID des Users in der (neuen) Domäne.

Wenn die WS dann Mitglied der neuen Domäne ist und das Benutzerprofil auf ihr lokal existiert, geht der Vorgang folgenden Weg:Eigenschaften von Arbeitsplatz, Benutzerprofile, Lokales Profil auswählen, Kopieren nach ..., dann mit Profil kopieren nach den Zielpfad auswählen und mit dem Schalter Benutzer ... Ändern .. den Benutzer oder die Gruppe auswählen.

Es ist darauf zu achten, der Benutzer muss die nötigen Berechtigungen auf den Zielpfad haben. Er sollte auch Besitzer sein. Er kann den Besitz übernehmen.

 

Bei auftretenden (scheinbar (vorerst) nicht lösbaren) Problemen gibt es da eine Möglichkeit mit einer Gruppenrichtlnie die Prüfung des Besitzes auf das Profil zu unterbinden. Das Thema wurde schon mehrfach behandelt.

 

Gruppenrichtlinie > Computerkonfiguration, Administrative Vorlagen, System, Anmeldung, Eigentümer von servergespeicherten Benutzerprofilen nicht prüfen.

Link zu diesem Kommentar

Moin Leute,

 

wow, geht ja heiß her hier in Eurem Thread ... :D cool... da geht wenigstens was... :p

 

Vielleicht kann ich hiermit etwas zum Verständniss beisteuern:

 

Der DC / die DCs machen in bestimmten Zeitabständen neue Secure Identifier mit den Clients aus, das wurde, soweit ich informiert bin, erst ab W2K3 eingeführt (korrigiert mich, wenn ich falsch liege). Wenn ich jetzt beispielsweise ein Image eines Clients ziehe und dieses Image irgendwann Wochen oder Monate später wieder auf den Client zurückziehe, (wenn der echte, aktive Client, den ich damit ja kille, wahrscheinlich schon dreimal eine neue SID mit der Domäne ausgehandelt hat) habe ich ähnliche Phänomene... der Rechner kann sich zwar irgendwie halbseiden anmelden, ist aber doch nicht richtig geduldet. Es gibt dann auch Fehler in den eventlogs.

Normalerweise gehörte hier eine saubere, strikte Sperre eingebaut, daß man sich gar nicht mehr anmelden kann. Ist aber eben nicht ... nervt mich auch, wenn man denkt, alles ist in Ordnung, um dann später zu merken, daß es doch nicht so ist.

In diesem Moment existiert zwar ein Computerkonto, welches beim Join des Rechners in die Domäne sauber erzeugt wurde, aber das reicht eben nicht aus...

Aus diesem Grunde lösche ich generell immer das Konto eines zu restorenden Clients und melde diesen wieder neu in der Domäne an... alles andere hat mir bisher nur Ärger gebracht.

 

Was ich damit sagen will ist, daß es bei W2K3-Domänen eben nicht mehr nur einfach auf Computerkonten und SIDs ankommt, sondern auch solche (zeitlichen) Aspekte noch eine Rolle spielen. Dies muss hier nicht effektiv das Problem sein, meine Ausführungen sollen nur erläutern, daß es meiner Meinung nach echt besser ist, die Clients wieder sauber in die Domäne zu bringen.

 

Man kann nun natürlich ewig lang rumprobieren, ob es nicht doch noch irgendwie anders funktioniert, meiner Meinung nach, ist es aber in der momentanen Situation wirklich besser, die Rechner manuell aus der Domäne zu nehmen und auch so wieder reinzubringen. Wenn ich dann eh schon am Rechner sitze, kopiere ich auch gleich noch die Profile um und der User ist erstmal wieder glücklich...

 

Und danach dann eine saubere Sicherung des Systemstate jedes DCs einrichten, O.K ?

 

Hoffe, ich konnte ein wenig helfen.

 

Liebe Grüsse

 

schroeder750

Link zu diesem Kommentar

Hallo,

 

ich weiss, das saubere Zufügen einer Workstation zu einer Domäe erscheint erstrebenswert. Auch das Bilden neuer Benutzerprofile gehört dazu. Leider ist das nicht immer praktikabel.

Bei einer geringen Anzahl von Clients und Usern erscheint das auch kein Problem zu sein, bei einer grösseren Menge erscheint mir das schon fraglich.

Weiter kommt hinzu, die User brauchen oft ihr Profil so wie es momentan ist.

Ich habe mal blauäugig Rechner neu aufgesetzt, joined und neue Profile gebildet. Die Anwendungen funktionierten, alles schien paletti, und dann fragte mich eine Leitungsperson, wo denn die von ihr eingefügten Begriffe in der Rechtschreibung seien. Und die Formatvorlagen und.. und.. Das war verdammt unangenehm und kostete mir auch einen Strauss Rosen. ;)

Es gab in dem Bereich damals noch keine servergespeicherten Profile, sie waren nicht notwendig und es gab keinen Speicherplatz dafür und das Zehner-Rohr erschien auch zu dünn.

Ich hatte geglaubt etwas Gutes, Richtiges zu tun; hatte ich geglaubt. Die Rechner liefen auch mit der neuen Installation besser als vorher, sagten auch die User; aber es fehlte so einiges. Und das wieder herzustelllen kostete Zeit und letztlich auch Geld, auch wenn niemand es wirklich beziffern konnte.

 

Dies soll kein grundsätzlicher Einwand sein, nur zur Obacht mahnen.

 

Gruß

 

Edgar

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...