70-290 Vorbereitung

[Leony 10]

Hallo,

 

ich habe vor kurzem die 70-270 bestanden. Jetzt bin ich dabei mich auf die 70-290 vorzubereiten und dabei ist mir beim Thema "Computerkonten" einiges unklar.

 

Es geht darum einen Computer einer Domäne beizutreten. Es heißt, wenn sich ein Computer zum ersten Mal anmeldet, wird automatisch ein Computerkonto in der OU Computers erstellt. Ich habe zwar auch gelesen, dass es günstiger sein soll, wenn man zuerst ein Computerkonto erstellt und dann erst den Computer der Domäne beitreten lässt.

Wenn es dann um die Problembehandlung geht, wird als Lösung vorgeschlagen, dass es daran liegen könnte, dass ein Computerkonto in Active Directory fehlt.

Jetzt zu meiner Frage: Dass widerspricht sich doch ein wenig, oder? Entweder kann sich ein Computer auch ohne Computerkonto anmelden, aber dann kann doch nicht der Lösungsansatz nicht lauten, dass das Computerkonto in Active Directory fehlt. Oder hab ich das ganze irgendwie falsch verstanden?

 

Ich wäre dankbar, wenn mir das jemand verdeutlichen könnte.

[JEKRFW 10]

Also, es geht darum, dass das Computerkonto erstellt wird wenn man den Rechner in die Domäne aufnimmt. Das ganze kann man vorher händisch machen. Macht aber meiner Meinung nach keinen Sinn, ausser bei 98 oder Nt Rechner (da muß man es händisch machen, da sie sich nicht selber eintragen).

 

Beim Troubleshooting geht es darum das ein Computerkonto gelöscht wurde und der Benutzer sich deshalb (logischerweise) nicht an der Domäne anmelden kann.

 

In diesem Fall muß ich hingehen und das Konto neu anlegen und dann sollte es wieder funzen ;-)

 

Ich hoffe das hilft Dir weiter...

[IThome 10]

98-Rechner trägt man gar nicht als Computerkonten ein, da 98 nicht an der Domänensicherheit teilnimmt.

Wenn Du einen NT/2K/XP-Prof/2003 Rechner als Member der Domäne zufügst, kannst Du einen x-beliebigen User angeben, der das Computerkonto im Verzeichnis erstellen darf (die Gruppe Authentifizierte Benutzer hat das Benutzerrecht "Zufügen von Arbeitsstationen zur Domäne" und jeder Benutzer darf 10 Konten zufügen, aber nur im Computers-Container). Es macht Sinn, die Konten als Administrator vorher zu erstellen, da man sie dann schon da hat, wo man sie haben will. Existieren die Objekte schon, kann man beim Joinen kein normales Benutzerkonto mehr angeben, sondern muss ein Konto wählen, dem die entsprechenden Berechtigungen delegiert wurden (dem Domänen-Admin z.B.).

Ich denke, dass ist wieder ein Übersetzungsfehler. Wenn das Computer-Konto noch nicht existiert und der User noch keine 10 Computerkonten der Domäne zugefügt hat, dann kann er joinen (das Computerkonto wird im Container Computers erstellt). Ist ein leeres Computerobjekt vom Admin erzeugt worden, muss man ein berechtigtes Konto, z.B. das des Domänenadmins, angeben, um joinen zu können. Ist das Computerkonto nach dem Joinen gelöscht worden, kann man sich nicht mehr anmelden. Dann muss das Konto entweder händisch neu oder beim Joinen angelegt werden, der Client in eine Arbeitsgruppe und danach wieder in die Domäne gebracht werden ...

[undeadopi 10]

Ich glaube was Leony meint, ist das ein der Domäne zugefügter Computer sich nicht der Domain anmelden kann, wenn das Computerkonto in AD später gelöscht wurde.

 

Szenario: Admin installiert Computer und tritt der Domain bei, indem er die entsprechende Funktion im Windows Client nutzt (Unter "Computername" die Möglichkeit, den Computernamen zu ändern und/oder einer Domäne beizutreten.). Der Windows Client fragt dann nach einem Benutzer in AD, der das Recht hat, diese Workstation in AD einzugtragen. Gibt man den Benutzer an, erstellt Windows Server einen Computer-Account in AD und alles is super.

 

Solange bis irgendjemand diesen Computeraccount löscht. Dann kann sich der Computer nicht mehr in der Domäne anmelden. Da er aber noch denkt, Teil der Domäne zu sein, fragt er nicht erneut nach, ob er dieser beitreten soll.

 

Im Endeffekt muss man den Client nun wieder einer Arbeitsgruppe anschließen und kann anschließend erneut der Domäne beitreten und alles ist in Butter.

 

Fazit: Ein Domänencomputer, dessen Konto in AD gelöscht wurde, kann nicht erneut "automatisch" der Domäne beitreten. Man muss erst 'raus aus der Domäne und kann dann anschließend wieder 'rein durch erneutes Anmelden.

[IThome 10]

Ja, kann sein, dass er das gemeint hat. Ich weiss aber auch nicht, was in seinen Lehrunterlagen steht, naja, warten wir mal ab ...

[Leony 10]

Erstmal danke für eure schnellen Antworten. Das hat mir auf jeden Fall weiter geholfen. Das heißt, im im Enddefekt tritt das Problem nur auf, wenn vielleicht ausversehen, dass Computerkonto gelöscht wurde. Dann wird nicht wie beim ersten mal automatisch ein Computerkonto erstellt, es sei denn, der Computer war dann erst wieder Teil einer Arbeitsgruppe. Das ergibt auch Sinn.

 

Ich lerne mit dem Original Microsoftbuch.

[undeadopi 10]

Genau, du hasts erfasst.

Im wesentlichen wird das Prozedere beschrieben, um einen Computer wieder zu einem Teil der Domäne werden zu lassen, wenn das Computerkonto gelöscht wurde. Anders als bei einem Benutzerkonto ist nämlich kein Wiederherstellen von Active Directory nötig.

[IThome 10]

Das Konto muss nicht unbedingt gelöscht worden sein. Es passiert auch, dass die Kennworterneuerung nicht stattgefunden hat, so dass der Secure Channel nicht mehr aufgebaut werden kann (in dem Fall Computerkonto zurücksetzen) ...