netdom move

Andres Bohren

Hallo zusammen,

Mit dem Kommandozeilentool netdom kann man einen Computer Account zu einer Domain hinzufügen. Mit Netdom move kann man den Computeraccount in eine andere Domain oder in einen andere Domain moven. Gibt man dabei noch die  Credentials der Source Domain an, wird dort auch gleich der Computeraccount deaktiviert.

http://technet.microsoft.com/de-de/library/cc788127(v=ws.10).aspx

Voraussetzungen:

  • Der spezifizierte Account darf in der Target Domain Computerobjekte anlegen
  • Der spezifizierte Account darf in der Source Domain Computerobjekte deaktivieren
  • Es besteht ein Trust zwischen Source und Target Domain
  • Netdom ist auf dem Computer installiert (RSAT AD Commandline Tools)
  • Netdom wird mit erhöhten Rechten ausgeführt "Ausführen als Administrator"

Im folgenden Beispiel wird der Computer WIN7X64 von corp.icewolf.ch nach source.internal verschoben.

Berechtigungen in der Target Domain

Der spezifizierte Account darf in der Target Domain Computerobjekte anlegen. Dazu passen wir die Berechtigungen der OU "TEST" an.

Das Recht "Create Computer Objects" muss hier vergeben werden.

Berechtigungen in der Source Domain

Der spezifizierte Account darf in der Source Domain Computerobjekte deaktivieren. Dazu passen wir die Berechtigungen der OU Computer an.

Apply to: "Descendant Computer Objects" auswählen. Und die Berechtigungen "Write all properties" und "Modify Permissions" vergeben.

Netdom installieren

Unter Windows Vista und Windows 7 ist netdom nicht automatisch installiert. Dazu müssen in den RSAT Tools die Option "AD DS Snap-ins and Command-line Tools" ausgewählt werden.

Bei Windows Vista müssen die RSAT zuerst installiert und dann aktiviert werden.

Grundsätzlich muss man netdom nicht installieren, man kann auch bloss die Exe kopieren. Ab Vista und Windows 7 sollte man aber auch noch das MUI File mitkopieren.

x86

C:\Windows\System32\netdom.exe
C:\Windows\System32\de-DE\netdom.exe.mui

x64

C:\Windows\SysWOW64\netdom.exe
C:\Windows\SysWOW64\de-DE\netdom.exe.mui

Netdom move

Der folgende Befehl muss erhöhten Rechten ("Als Administrator") ausgeführt werden.

NETDOM MOVE WIN7X64 /Domain:source.internal /UserD:source\joinaccount /PasswordD:Pa$$word! /UserF:corp\disablepc /PasswordF:Pa$$word! /OU:OU=Test,DC=source,DC=internal

Nach einem Reboot ist der Computeraccount nun in der Domain source.ineternal in der OU Test und der Computeraccount in corp.icewolf.ch ist dektiviert.

Grüsse
Andres Bohren