Frage zum verlassen einer Domäne mittels windomain

Antworten
magicalUnicorn
Beiträge: 71
Registriert: 07 Mär 2019, 14:46

Frage zum verlassen einer Domäne mittels windomain

Beitrag von magicalUnicorn »

Hi Zusammen,

mir ist eben aufgefallen, dass wenn ich mittels des Windomain Pakets einen Rechner aus der Domäne schmeiße, das entsprechende AD-Objekt des Rechners nicht gelöscht wird. Das Problem ist, dass wenn ich jetzt das Property "account_ou" ändere, um den Rechner beim nächsten Join in eine andere OU zu packen, das alte Objekt nicht verschoben wird und genau da bleibt wo es ist.

Ist das so gewollt, oder funktioniert da irgendwas nicht richtig?
Jan.Schmidt
Beiträge: 366
Registriert: 08 Jul 2017, 12:02

Re: Frage zum verlassen einer Domäne mittels windomain

Beitrag von Jan.Schmidt »

magicalUnicorn hat geschrieben: 18 Aug 2022, 11:01 Ist das so gewollt, oder funktioniert da irgendwas nicht richtig?
Das ist so "gewollt" - das std. Verfahren von Winzigweich und hat mit UIB /\ opsi nur eines gemeinsam die nutzen einen der Wege, die M$ vorgibt.
MSPress 70-irgendwas hat geschrieben:When disjoining a computer from the domain, its computer account is not automatically deleted from the domain.
Instead it is marked as "Disabled" and we need to manually delete it.
magicalUnicorn hat geschrieben: 18 Aug 2022, 11:01Das Problem ist, dass wenn ich jetzt das Property "account_ou" ändere, um den Rechner beim nächsten Join in eine andere OU zu packen, das alte Objekt nicht verschoben wird und genau da bleibt wo es ist.
* Warum löscht man Rechner aus der Domain - die noxh in soweit funktionieren, dass der OPSI Client auf diesem Rechner das kann - um Sie dann später wieder einzufügen???
Ändere dein Verfahren oder dein Vorgehen Problem gelöat :D
magicalUnicorn
Beiträge: 71
Registriert: 07 Mär 2019, 14:46

Re: Frage zum verlassen einer Domäne mittels windomain

Beitrag von magicalUnicorn »

Hi Jan,

danke für die Antwort. Ich hatte sowas schon befürchtet. Der Hintergrund war, dass ich via OPSI Rechner die z.B. zur Neuinstallation bei uns sind und anschließend an einen anderen Mitarbeiter ausgegeben werden, direkt in die richtige neue OU packen kann.
Jan.Schmidt
Beiträge: 366
Registriert: 08 Jul 2017, 12:02

Re: Frage zum verlassen einer Domäne mittels windomain

Beitrag von Jan.Schmidt »

magicalUnicorn hat geschrieben: 29 Aug 2022, 10:43 Hi Jan,

danke für die Antwort. Ich hatte sowas schon befürchtet. Der Hintergrund war, dass ich via OPSI Rechner die z.B. zur Neuinstallation bei uns sind und anschließend an einen anderen Mitarbeiter ausgegeben werden, direkt in die richtige neue OU packen kann.
Jeder macht es anders...

Ich darf Rechner nicht so einfach aus der Domain werfen und neu einbinden...

Computerzertifikate sammeln sich an und keiner (ausser du basust wieder was drumrum) räumt die Leichen weg
Teamviewer Lizenzen werden doppel/dreifach verbraten und last but not Least unsere NAC Lösung sorgt dafür dass die Kisten im Gästenetz landen und keinen Kontakt mehr zum AD bekommen (Computerzertifikat )

Lange Rede kurzer Sinn AD Krams mit AD Boardmitteln unter Windows scripten, da fällt der linux OPSI Server leider aus und weil die PXE Steuerdatei beim einmaligen lesen wider gelöscht wird darfst du die auch nicht auslesen, um vorm installieren die dazugehörige Maschine aus der AD werfen.

Entfernen der disableten Computerkonten wird in dem Fall auch schwer werden, wenn die Kisten eben grade aus der Domain geworfen wurden und in 30 minuten wieder als AD Member da sind.

Bleibt also nur eine (in meinen Augen) Variante übrig - auslesen eurers Assetmanagements (so Ihr eines habt) und dort die Verbindung Benutzer und dessen Abteilung und sein Computer auslesen und ALLE nicht übereinstimmenden Rechner und deren OUs überbügeln.
Das mache ich (ähnlich) für die Windows 10 Builds, damit ich im WSUS steuern kann, wer ein Buildupgrade kriegt und wer nicht.
Antworten