Jump to content

WDS Installation - kein Domänenkonto trotz Adminkonto - je nach Konto?


Recommended Posts

Hallo liebe Mitlesende,

 

ich habe ein für mich absolut obskures Verhalten das ich mir nicht erklären kann, hoffentlich aber verständlich erklären kann. Da ich das Problem jetzt schon in verschiedenen Netzen erlebt habe, es aber bislang nicht lösen oder ergooglen konnte hoffe ich auf euer Wissen. Ich habe u.a. in unserem eigenen Netz reproduzierbar ein Problem mit WDS installierten Maschinen. Versuche ich beliebige Clients per WDS zu installieren funktioniert das und nach durchgelaufener Installation kann ich mich mit jeden berechtigten AD Konto anmelden solange ich das mit dem Domänenadmin A mache. Nehme ich aber stattdessen Domänenadmin B (beide sind verifiziert in der Gruppe der Domänenadmins) ist die Maschine NICHT Mitglied der Domäne. Da es sowohl mit physikalischen als auch virtuellen Clients passiert und ich heute erst von einem Freund den Hilferuf mit genau dem gleichen Problem bekomme hoffe ich auf euch. Beim heutigen Hilferuf war die Beschreibung so wie ich sie auch aus anderen Netzen kenne: Nimmt man das im Zuge der AD Einrichtung erzeugte Administrator Konto klappt es, bei Benutzern die davon kopiert wurden hingegen nicht.

 

Ich habe versucht mir die Probleme mal mit Hilfe der Setup Protokolle von Windows 10 zu erklären, leider ohne Erfolg :-(

 

 

Liebe Grüße aus BaWü

Norbert

Link to post
vor 7 Stunden schrieb dataKEKS:

hoffentlich aber verständlich erklären kann

Hat nicht geklappt. Ich versteh's überhaupt nicht. Was meinst Du genau mit

vor 7 Stunden schrieb dataKEKS:

Nehme ich aber stattdessen Domänenadmin B (beide sind verifiziert in der Gruppe der Domänenadmins) ist die Maschine NICHT Mitglied der Domäne

 

Was genau schaust Du da an und welche genauen Schlüsse ziehst Du woraus?

Link to post

Habe ich es doch befürchtet :-)

 

Es geht um Clientinstallation per WDS, egal ob W10 / W11, egal ob Hardware oder VM.

 

Es gibt mehrere Domänen Admins, der "Oberadmin", also der bei der Installation vom AD angelegte, wird im Normalfall nicht benutzt sondern die personifizierten damit immer klar ist wer was gemacht hat. Problem ist aber jetzt folgendes (das ich aus verschiedenen Netzen kenne: Mit dem Oberadmin kann ich mich am WDS anmelden, Clients installieren und sie sind nach der Installation Mitglied der Domäne - so weit so gut.

 

Will ich aber genau den selben Client mit einem anderen Adminkonto installieren kann ich mich zwar am WDS Server anmelden, das zu installierende Image auswählen und Windows wird installiert - die Maschine ist danach aber nicht Mitglied der Domäne! Das sehe ich schon direkt am Anmeldefenster weil im Anmeldefenster die Domäne gar nicht erst aufgeführt wird, ebenso gibt es kein Computerkonto im Active Directory....

 

 

Gruß

Norbert

 

 

Link to post

Hallo dataKeks,

 

vor 29 Minuten schrieb dataKEKS:

Will ich aber genau den selben Client mit einem anderen Adminkonto installieren kann ich mich zwar am WDS Server anmelden, das zu installierende Image auswählen und Windows wird installiert - die Maschine ist danach aber nicht Mitglied der Domäne! Das sehe ich schon direkt am Anmeldefenster weil im Anmeldefenster die Domäne gar nicht erst aufgeführt wird, ebenso gibt es kein Computerkonto im Active Directory....

 

leider drückst du dich etwas ungenau aus. Am "WDS Server anmelden" meinst du nicht interaktiv, sondern die Authentifizierung in Windows-PE gegenüber dem WDS?

 

Update:

 

Rein technisch findet der DomainJoin in der "spezialize"-Phase statt, die wiederum erst nach dem Reboot stattfindet. Selbst wenn sich die Accounts unterscheiden, ist die Authentifizierung nicht mehr gecachet. Es liegt nahe, dass eine Unattended.xml verwendet und übergeben wurde. Wird das Computerkonto vorher händisch angelegt oder erst während des UnsecureDomainJoins?

Edited by MurdocX
Link to post

Moin,

 

ich ergänze mal: Normalerweise sind für einen Domain Join auch gar keine AD-Adminrechte nötig. Die Vermutung wäre also, dass es gar nicht mit den Adminrechten zusammenhängt, sondern etwas anderes hakt.

 

Andere Vermutung: Je nachdem, was du mit "am WDS-Server anmelden" meinst, könnte dir theoretisch auch UAC dazwischenfunken, denn der Builtin-Administrator wird nicht durch UAC eingeschränkt, alle anderen Administratoren hingegen schon. Das ist auch praktisch das einzige, das diesen Administrator zum "Ober-Admin" macht. (Ob das bei WDS tatsächlich einen Unterschied macht, weiß ich nicht. Ich muss zum Glück keine Clients installieren. ;-))

 

Gruß, Nils

 

Link to post

Wäre noch interessant, ob im REMINST-Share evtl. noch mit ACLs was gefuschelt wurde :-) Nicht daß der "fehlerhafte" Account keine Leserechte auf das ImageUnattend.xml hätte oder so ein Kram. Aber ansonsten bin ich bei Nils und Jan - "kann eigentlich nicht sein".

Link to post

Da bin ich split brain - WDS ist KISS, MDT ist "ich mach alles automatisch". Beides hat Vorteile. Privat WDS, weil mir da der Aufwand für MDT zu groß ist :-) Hilft dem TO aber alles nix. Und bevor er sich wieder meldet, brauchen wir auch nicht weiter philosophieren... ;-)

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...