Domänenbeitritt per Skript mit Userrechten

13/01/2008 - 15:16 von Gerra Freund | Report spam
Hallo, Gruppe,

ich bitte um Mitlesen/ -denken bei meinem etwas obskuren Problem.

Ein Bildungsanbieter mit XP-Rechnern in einer Win 2003-Domàne möchte
in der Lage sein, die Client-Rechner bei Bedarf, also evtl. nach jedem
Kurs, neu aufzusetzen. Die Mittel sind sehr begrenzt, es gibt keinen
internen Administrator.

Das Klonen bzw. Zurückspielen ist anscheinend nicht das Problem; das
erledigt ein spezieller Linux-Server.

Anschließend gibt es mehrere identisch konfigurierte Rechner, die der
Domàne beitreten sollen - ohne Anwesenheit eines Admins, ohne gar das
Domànenadminpassword in einem Skript, also am allerbesten mit
Userrechten.

Ehe ich mich jetzt völlig verlaufe, würde ich gerne Eure Kommentare
hören:

a) Der existierende lokale User (auf allen Rechnern gleich) muß mit
dem Recht ausgestattet werden, alle Rechner (17) in die Domàne
aufzunehmen. Das kann offenbar mit ADSIEDIT und einem Wert ms-DS-
machineAccountQuota bewerkstelligt werden.

b) Zusàtzlich muß der Benutzer explizit das Recht bekommen,
Computerobjekte zu erstellen/löschen.

Richtig bis hierher?

c) Im Laufe der Prozedur muß der physische Rechner noch das richtige
Computerkonto zugewiesen bekommen. Für eine solche Zuordnung könnten
die IP-Adressen nützlich sein, weil für jede Maschine eine spezielle
Adresse reserviert wurde (DHCP).

d) Das unter a-c Genannte soll vollautomatisch ablaufen und aus
Performancegründen nur dann, wenn es nötig ist, also z. B. beim ersten
Reboot nach dem Klonen.

Haltet Ihr eine solche Lösung für denkbar oder habe ich etwas
übersehen?
Wenn ja, wàre ich vor allem für Tips, wie mit d) zu verfahren ist,
dankbar.
Wenn nein, gibt es bessere Wege?

Sowohl GPO, Bash-Scripts und NETDOM sind mir ein Begriff, aber ich
habe in keinem der Gebiete sehr viel Erfahrung.

Danke im voraus und Grüße
Gerra
 

Lesen sie die antworten

#1 Nils Kaczenski [MVP]
13/01/2008 - 15:48 | Warnen spam
Moin,

Gerra Freund schrieb:
Das Klonen bzw. Zurückspielen ist anscheinend nicht das Problem; das
erledigt ein spezieller Linux-Server.



aha. Mit sysprep bzw. newsid? Sonst wird es problematisch.

a) Der existierende lokale User (auf allen Rechnern gleich) muß mit
dem Recht ausgestattet werden, alle Rechner (17) in die Domàne
aufzunehmen.



Nein. Einen lokalen User kannst du in AD nicht berechtigen.

Das kann offenbar mit ADSIEDIT und einem Wert ms-DS-
machineAccountQuota bewerkstelligt werden.
b) Zusàtzlich muß der Benutzer explizit das Recht bekommen,
Computerobjekte zu erstellen/löschen.



Da hast du ein paar Dinge durcheinandergebracht.

Leg dir im AD einen User an, der nichts weiter als das Recht bekommt,
Computer zur Domàne hinzuzufügen. Dazu das Recht, in der Ziel-OU
Computerobjekte anzulegen. Dessen Anmeldedaten benutzt du dann in deinem
PC-Einrichtungsskript.

c) Im Laufe der Prozedur muß der physische Rechner noch das richtige
Computerkonto zugewiesen bekommen. Für eine solche Zuordnung könnten
die IP-Adressen nützlich sein, weil für jede Maschine eine spezielle
Adresse reserviert wurde (DHCP).



??? versteh ich nicht ganz. Müssen die Konten zwingend vordefiniert
sein? Falls ja, lass vro der Prozedur ein Skript übers AD laufen, das
die alten Konten entfernt und neue anlegt (mit dsrm und dsadd). Wozu du
da die IP-Adresse brauchst, erschließt sich mir nicht.

Haltet Ihr eine solche Lösung für denkbar oder habe ich etwas
übersehen?



Denkbar schon, aber da der Teufel im Detail steckt, wirst du einigen
Testaufwand haben. Und es kann schnell mal was schiefgehen, also soll
der Kunde nicht der Illusion erliegen, nie Support zu benötigen.

Wenn nein, gibt es bessere Wege?



Eine professionelle Softwareverteilung. Erfahrung und Einarbeitung
braucht man da aber auch.


Schöne Grüße, Nils

Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/p....Kaczenski

Ähnliche fragen