5 Replies Latest reply on Feb 15, 2018 7:27 AM by derniwi

    Hinzfügen und löschen von AD Computerkonten in OU Ebenen

    System32 Apprentice

      Hallo, wie würdet ihr unter Windows 10 neu installierte Clients im AD in die jeweilig für euch richtige OU schieben, sagen wir z.b. Tablet und Notebooks in eine andere OU als Desktop PCs und VDI Clients wieder wo anders hin (einfach weil jeweils andere GPO greifen sollen).

       

      LG

        • 1. Re: Hinzfügen und löschen von AD Computerkonten in OU Ebenen
          derniwi Master

          Hallo,

           

          ja, so detailiert wie nötig und so einfach wie möglich... :-)

           

          Im Ernst:

          ich würde versuchen, die notwendigen Unterschiede zu ermitteln. Ein Notebook kann z.B. andere GPOs benötigen wie ein Desktop, und ein Rechner an Standort A wieder andere wie an Standort B. Jetzt könnte es noch Unterschiede bei den Abteilungen geben, z.B. dass die IT die Windows Updates früher bekommt wie andere (oder was auch immer...). Ob Windows 7 oder Windows 10 installiert ist, würde ich evtl. nicht über OUs unterscheiden, kann aber auch sinnvoll sein.

           

          Schreibt Euch einfahc mal auf, was Euch so alles an Unterschiede einfällt und schaut dann, wie Ihr das unter einen Hut bekommt.

           

          Was ich nicht machen würde: versuchen, die Organisationsstruktur im AD direkt abzubilden... je nach Unternehmen ist man hier ständig am Aktualisieren, umbenennen und verschieben. Wenn Ihr das machen soll, dann vielleicht versuchen, mit Gruppen zu arbeiten oder mit Aufgaben / Funktionen. Der Einkauf wird immer Einkauf sein, egal, wie er im Organisationsplan heute heißt... :-) evtl. halt noch auf eine gemeinsame Sprache einigen... ;-)

           

          Gruß

          Nils

          • 2. Re: Hinzfügen und löschen von AD Computerkonten in OU Ebenen
            System32 Apprentice

            Hallo, ich habe die Frage zu schwammig gestellt glaub ich. Ich meinte, wie fügt ihr technisch eure Windows 10 Clients in der Domäne den einzelnen OU hinzu, also wenn du möchtest, dass alle Notebooks in eine bestimmte OU joinen und alle Desktops wo anders hin, wie würdest du das machen? Ich habe bisher mit DS-MOVE gearbeitet https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731094(v=ws.10) .... bin aber nicht sicher ob das noch zeitgemäß ist und suche nach modernen Alternativen, entweder kann DSM mittlerweile etwas im escript oder über die Powershell etc. usw.

             

            LG

            • 3. Re: Hinzfügen und löschen von AD Computerkonten in OU Ebenen
              derniwi Master

              Ah ja. Ich habe seinerzeit für Windows 7 eine Methode aufgebaut, die die Kollegn von NWC Services dazu entwickelt oder zumindest dokumentiert haben.

              Dazu wird eine Variable im ORG-Baum erstellt, welche die OU des Zieles enthält. Weiterhin wird die unaatend.xml um einen Eintrag erweitert:

              <MachineObjectOU>%CurrentComputer.Var.CustomSettings.ADOU%</MachineObjectOU>

              Eine kurze Recherche mit

                dsm MachineObjectOU "unattend.xml"

              sollte Dich auf den richtigen Beitrag bringen.

               

              Die Variable wird auf "Managed Users & Computers" gesetzt und auf alle anderen Objetkte vererebt. Gibt es geplant Änderungen, wird eben genau hier etwas anderes in der ORG-Struktur angegeben.

               

              Bei der Installation eines Rechners wird er im DSM dann in die entsprechende OU geschoben und erhält somit ggfs. eine andere Variable als der Standard. Und dadurch wird über die unattend.xml der Wert an das Setup gegeben, welches dann mit dem passenden Account das Rechnerobjekt in der entsprechenden OU erstellt.

               

              Gruß

              Nils

              • 4. Re: Hinzfügen und löschen von AD Computerkonten in OU Ebenen
                Nico Schmidtbauer Apprentice

                Hallo,

                so wie Nils schreibt ist es eine sehr elegante Methode mit der Variable und der Anpassung in der unattend.xml.

                 

                Eine Alternative, die wir noch benutzen aufgrund verschiedener Gegebenheiten bei einem Kunden ist ein eScript, das den Computer dann während der Laufzeit verschiebt.

                Basis ist folgendes VBScript:

                VBScript: Move computer object to another OU via Command line parameter – CTGlobal

                 

                Das rufen wir dann einfach auf mit: %WINSYSDIR%\cscript.exe ".\extern$\moveou.vbs" "%fullou%"

                Die Variable fullou definieren wir im eScript.

                 

                Gruß

                • 5. Re: Hinzfügen und löschen von AD Computerkonten in OU Ebenen
                  derniwi Master

                  Hallo,

                   

                  über ein Tool oder ein Skript (VB oder PowerShell) kann man natürlich auch noch einiges an Daten auswerten, z.B. automatisch erkennen, ob ein Notebook, Desktop, Server oder sonst was verwendet wird. Hier hilf Microsoft und WMI.

                   

                  Damit und mit dem erkannten Betriebssystem könnte man schon mal einiges anhand der Hardware aufbauen.

                   

                  Gruß

                  Nils