mr.schrotti 10 Geschrieben 27. Februar 2013 Melden Teilen Geschrieben 27. Februar 2013 Hi, ich bin auf der Suche nach einer Möglichkeit ein Computerkonto in einer AD2003 Domäne zu löschen. Hatte schon die Idee die Powershell zu nutzen weil ich damit auch die Rechner in die Domäne bringe. Gestoßen bin ich dabei auf Remove-ADComputer und weitere CMDlets. Leider kommen diese mit dem RSAT mit .... ich benötige es jedoch für mein Domainjoin Script welches ich über die Softwareverteilung ausrolle - also direkt auf den Clients. Ich bringe über dieses Script die Clients direkt in eine andere OU mit speziellen GPOs die für die Reinstallation benötigt werden - gebe ich AddComputer keine OU mit legt er den Client wieder da hin wo er war oder legt ihn unter Computers neu an, gebe ich eine OU an und es gibt schon einen PC mit dem Computernamen verweigert Add-Computer den Domainjoin ... Ich wollte nun also vorm DomainJoin nach dem Computerkonto suchen und es löschen per Script. Jemand ne Idee wie ich das bewerkstelligen kann? Gruß Tobias Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 27. Februar 2013 Melden Teilen Geschrieben 27. Februar 2013 Du kannst Powershell remote ausführen. Sprich dein Script führt remote auf einem DC oder einem anderen Rechner mit RSAT das gewünschte Script aus. Welche Softwareverteilung nutzt du? Zitieren Link zu diesem Kommentar
mr.schrotti 10 Geschrieben 27. Februar 2013 Autor Melden Teilen Geschrieben 27. Februar 2013 Mhhh remote wäre ne idee schaue ich mir mal an - wenn ich das ordentlich gescripted bekomme wäre das ne Idee. Wir setzen OPSI sein (www.opsi.org) Gruß Tobias Leider ohne erfolg :/ Habe auf dem Server 2008 die RSAT installiert und auch die Powershell addons. Lokal auf dem Server funktionierts nicht. Probiere ich es Lokal auf dem Server geht es versuche ich es per Remote erhalte ich diese Meldung: WARNUNG: Fehler beim Initialisieren des Standardlaufwerks: "Es kann keine Verbindung mit dem Server hergestellt werden. Dies liegt möglicherweise daran, dass der Server nicht vorhanden oder derzeit ausgefallen ist oder dass dar auf nicht Active Directory-Webdienste ausgeführt wird.". Da der nächste Domänencontroller ein 2003er ist habe ich hier die Active Directory Management Gateway Services inkl. aller benötigter Hotfixes installiert. Leider bekommt man auf nen 2003er ja nicht das AD Powershellmodul, sonst könnte ich direkt mit dem verbinden :/ Zitieren Link zu diesem Kommentar
Timsk 11 Geschrieben 27. Februar 2013 Melden Teilen Geschrieben 27. Februar 2013 Mhhh remote wäre ne idee schaue ich mir mal an - wenn ich das ordentlich gescripted bekomme wäre das ne Idee. Ich empfehle Dir den Einsatz von Invoke-Command (Powershell 2.0 wird vorausgesetzt: http://technet.microsoft.com/en-us/library/hh849719.aspx). Den Rest verstehe ich leider nicht um Dir helfen zu können. Deine Aussage: Habe auf dem Server 2008 die RSAT installiert und auch die Powershell addons. Lokal auf dem Server funktionierts nicht. Probiere ich es Lokal auf dem Server geht es versuche ich es per Remote erhalte ich diese Meldung: Geht es nun lokal oder nicht (wahrscheinlich ersteres) und was genau hast du gemacht (remote) damit du die Fehlermeldung erhalten hast? Ist die Fehlermeldung wirklich so erschienen (was ich nicht glaube) oder hast du diese nur Sinngemäß wiedergegeben? Viele Grüße! Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 27. Februar 2013 Melden Teilen Geschrieben 27. Februar 2013 Ach eine 2003 Domäne. Ob das damit geht weiß ich nicht. Evtl. geht das erst ab Server 2008. Du kannst aber, wenn das nicht so geht, die ds Tools nutzen. Diese kann man auch von Powershell aus aufrufen. Zitieren Link zu diesem Kommentar
mr.schrotti 10 Geschrieben 28. Februar 2013 Autor Melden Teilen Geschrieben 28. Februar 2013 (bearbeitet) Moin, also nen Schritt weiter bin ich gekommen: $secpasswd = ConvertTo-SecureString 'passwort' -AsPlainText -Force $mycreds = New-Object System.Management.Automation.PSCredential ("Admin", $secpasswd) $session = New-PSSession -computerName Fileserver -credential $mycreds -UseSSL:$true Invoke-Command -Session $session -Scriptblock { $secpasswd2 = ConvertTo-SecureString 'passwort' -AsPlainText -Force $mycreds2 = New-Object System.Management.Automation.PSCredential ("Admin", $secpasswd2) Get-ADComputer rechnername -server DC.firma.de.de -credential $mycreds2 Remove-ADComputer -Identity rechnername -confirm:$false -server DC.firma.de.de -credential $mycreds2 } Ich verbinde mich auf unseren Fileserver (der ist schon 2008 ;) ) und führe den Befehl von dort aus Remote auf den DC aus - funktioniert auch von Domänenrechnern nur von nicht Domänenrechnern schlägt das Fehl da dort keine authentifizierung erfolgen kann :( HTTPS lässt sich nur nutzen wenn das auf dem 2008er aktiv ist - da steht leider auch das es kein selbstsigniertes Zertifikat sein darf. Ich werde nochmal wahnsinnig :D bearbeitet 28. Februar 2013 von mr.schrotti Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 28. Februar 2013 Melden Teilen Geschrieben 28. Februar 2013 Du kannst Trusted Hosts konfigurieren: http://technet.microsoft.com/en-us/magazine/ff700227.aspx In many cases, you will be able to work with remote computers in other domains. However, if the remote computer is not in a trusted domain, the remote computer might not be able to authenticate your credentials. To enable authentication, you need to add the remote computer to the list of trusted hosts for the local computer in WinRM. To do so, type:winrm s winrm/config/client '@{TrustedHosts="RemoteComputer"}'Here, RemoteComputer should be the name of the remote computer, such as:winrm s winrm/config/client '@{TrustedHosts="CorpServer56"}' Zitieren Link zu diesem Kommentar
mr.schrotti 10 Geschrieben 28. Februar 2013 Autor Melden Teilen Geschrieben 28. Februar 2013 Du kannst Trusted Hosts konfigurieren: http://technet.microsoft.com/en-us/magazine/ff700227.aspx Naja dann müsste ich alle clients dort hinzufügen. Ich muss das ganze ja im Rahmen eines scriptes auf neuen bzw. neuinstallierten Rechnern ausführen. Das Problem ist ja, das auch bei einem rausnehmen des Rechners aus der Domäne das Computerkonto bleibt. Wenn ich nun also nen neuen Rechner installiere kann es vorkommen das es diesen Rechnernamen schonmal gab und es noch ein Konto gibt. Wenn ich nun mit Add-Computer den Rechner in die Domäne hebe ist das normal kein Problem der Rechner landet dort wo er vorher war. Das soll er aber nicht. Ich gebe Add-Computer also eine OU mit in die der Rechner landen soll. Das geht nur nicht wenn es dieses Computerkonto schon gibt :/ Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 28. Februar 2013 Melden Teilen Geschrieben 28. Februar 2013 Dann überprüfe dein Prozess, so dass entweder Computer Konten beim entfernen oder neu installieren gelöscht werden oder das Computer eindeutige Namen bekommen. Zitieren Link zu diesem Kommentar
mr.schrotti 10 Geschrieben 28. Februar 2013 Autor Melden Teilen Geschrieben 28. Februar 2013 (bearbeitet) Naja das würde bedeuten der jenige der die Rechner Reinstalliert muss zugriff auf die Domäne haben um das Konto dort zu entfernen weil Windows es nur deaktiviert. Etwas unbefriedigend :( aber muss ich mir wohl was überlegen .... edit: hab nen weg gefunden über psexec und darüber dann auf dem DC nen dsrm ;) scheint zu funktionieren. bearbeitet 28. Februar 2013 von mr.schrotti Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.