Windomain failed wenn Computerobjekt nicht mehr vorhanden

[magicalUnicorn]

Ich habe eben ausversehen eine Hand voll Clients aus dem AD gelöscht, die ich nicht löschen wollte. An sich kein Drama, dachte ich, weil ich einfach das windomain Paket wieder drüber laufen lassen wollte. Das failed auf den Clients aber, weil ExecWith_powershell_leave_domain damit nicht umgehen kann (so verstehe ich es zumindest):

Code: Alles auswählen

(268)     [5] [2026-04-30 11:08:34.077] [windomain] GetOutStreamFromSection: ExecWith_powershell_leave_domain  "powershell.exe" winst /sysnative
(269)     [6] [2026-04-30 11:08:56.435] [windomain] ExitCode 1
(270)     [7] [2026-04-30 11:08:56.440] [windomain] The value of the variable "$list$" is now:
(271)     [7] [2026-04-30 11:08:56.440] [windomain] (string   0)Remove-Computer : Fehler beim Entfernen des Computers "*hostname*" aus der Domäne "*domain*". Fehlermeldung:
(272)     [7] [2026-04-30 11:08:56.440] [windomain] (string   1)Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
(273)     [7] [2026-04-30 11:08:56.440] [windomain] (string   2)In C:\opsi.org\tmp\_opsiscript_8ur10Pe0AB.ps1:3 Zeichen:1
(274)     [7] [2026-04-30 11:08:56.440] [windomain] (string   3)+ Remove-Computer -ComputerName "localhost" -UnjoinDomainCredential $my ...
(275)     [7] [2026-04-30 11:08:56.440] [windomain] (string   4)+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
(276)     [7] [2026-04-30 11:08:56.440] [windomain] (string   5)    + CategoryInfo          : OperationStopped: (*hostname*:String) [Remove-Computer], InvalidOperationException
(277)     [7] [2026-04-30 11:08:56.440] [windomain] (string   6)    + FullyQualifiedErrorId : FailToUnjoinDomain,Microsoft.PowerShell.Commands.RemoveComputerCommand
(278)     [7] [2026-04-30 11:08:56.440] [windomain] (string   7)
(279)     [7] [2026-04-30 11:08:56.440] [windomain] (string   8)
(280)     [7] [2026-04-30 11:08:56.440] [windomain] (string   9)HasSucceeded ComputerName

Auf den betroffenen Kisten muss ich mich jetzt über unseren Lokalen Admin anmelden, und das Gerät händisch aus der Domain packen. Danach klappt der Domainjoin dann wieder. Kann man das ggf. im Paket abfangen?

Edit: Ggf kann man ein Property "Purge_Local" setzen, das folgenden Befehla ausführt: "dd-Computer -WorkGroupName "WORKGROUP" -Force -Restart"
Das scheint den Client aus der Domain zu nehmen.

[SirTux]

Gibts dafür nicht den RecycleBin?

[magicalUnicorn]

Gibts dafür nicht den RecycleBin?

Auf die Gefahr gesteinigt zu werden: Wir nutzen nachwievor Samba als DC. Da gibt es meines Wissens nach keinen Recycle Bin.
Ich kämpfe auch seit Jahren dafür, dass wir zum Windows AD migrieren...

[SirTux]

Ich steinige niemanden, der sein AD mit Samba betreibt. Im Gegenteil ...

Aber auch unter Samba AD ohne RecycleBin sollte man AFAIK Objekte wiederherstellen können. Univention hat zumindest für UCS neulich etwas in der Richtung gebastelt.

[magicalUnicorn]

Ich bin auch großer Fan davon, MS zu meiden wo es geht. Aber Samba hat leider viele Features nicht, die ich gerne hätte. Aber anderes Thema

Objekte aus dem Backup wiederherstellen geht schon, war mir für die Hand voll Clients zu viel Aufwand tbh

[ThomasT]

Das Problem ist, dass der Computer nach wievor der Ansicht ist, dass er Teil der Domäne ist, auch wenn es sein Objekt nicht mehr gibt.
Da das ein Randfall ist, würde ich hier eher dazu tendieren ein neues Produkt zu bauen, welches einen Rechner forciert aus der Domäne unjoined.
Früher ging das mal mit

Code: Alles auswählen

netdom.exe remove %computername% /domain:contoso.de /userD:contoso\AdminUser /passwordD:* /Force

weil Remove-Computer das nicht gemacht hat....