none
Rechner nach Snapshot Revert nicht mehr in Domäne RRS feed

  • Frage

  • Hallo,
    wir haben für unseren Schulungsraum Windows 7 VM's eingerichtet unter vSphere 6.0.
    Wir arbeiten mit Snapshots, heißt nach jeder Schulung wird ein Revert gemacht.
    Jetzt kann es vorkommen das nach einem Revert die Rechner neu in die Domäne aufgenommen werden müssen.
    Die Computerkonten sind aber noch im AD vorhanden.
    Woran liegt das?
    Kann man das verhindern?

    Danke und Gruß
    Dennis
    Dienstag, 24. Juli 2018 09:04

Antworten

  • Hallo.

    DU musst das Maximalalter der Computerkonten per Gruppenrichtlinie erhöhen.

    GPO -> Computerkonfiguration -> Windows Einstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Domänenmitglied: Maximalalter von Computerkontenkennwörtern: 999 Tage.

    Wenn die Richtlinie für die Computer greift (gpupdate /force und Neustart) DANN kannst du einen Snapshot machen und die Clients 999 Tage lang wieder zurück setzen.

    Gruß
    Ben


    Ben

    • Als Antwort markiert HaschkeD Dienstag, 24. Juli 2018 10:57
    Dienstag, 24. Juli 2018 10:18
  • > Wir arbeiten mit Snapshots, heißt nach jeder Schulung wird ein Revert gemacht.

    Wer mit so was arbeitet, setzt nicht das Maximalalter der Computerkennwörter hoch, sondern deaktiviert deren automatische Änderung besser gleich komplett:
    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-member-disable-machine-account-password-changes

    In so einer Umgebung ist der Schutzbedarf naturgemäß eher niedrig...

    • Als Antwort markiert HaschkeD Mittwoch, 25. Juli 2018 07:19
    Dienstag, 24. Juli 2018 13:06

Alle Antworten

  • Vielleicht ist der Snapshot zu früh erfolgt, mache nach der Neuaufnahme mal einen neuen Snapshot.
    Dienstag, 24. Juli 2018 09:08
  • OK, aber gerade das will ich ja umgehen wieder alle aufzunehmen......
    Es soll initial ein Snappi erstellt werden, auf diesen soll dann jederzeit wieder ein Revert möglich sein ohne Neuaufnahme der Stationen.
    Dienstag, 24. Juli 2018 10:00
  • Hallo.

    DU musst das Maximalalter der Computerkonten per Gruppenrichtlinie erhöhen.

    GPO -> Computerkonfiguration -> Windows Einstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Domänenmitglied: Maximalalter von Computerkontenkennwörtern: 999 Tage.

    Wenn die Richtlinie für die Computer greift (gpupdate /force und Neustart) DANN kannst du einen Snapshot machen und die Clients 999 Tage lang wieder zurück setzen.

    Gruß
    Ben


    Ben

    • Als Antwort markiert HaschkeD Dienstag, 24. Juli 2018 10:57
    Dienstag, 24. Juli 2018 10:18
  • Ahhh ,
    cool :-)

    Und die GPO könnte ich dann auch z.B. nur an eine OU binden dass das dann nur für die Rechner innerhalb der OU zieht?
    Dienstag, 24. Juli 2018 10:20
  • Ja natürlich. Oder einfach eine Gruppe erstellen, diese der GPO Sicherheitsfilterung zuweisen (Auth. Benutzer entfernen) und die Computer der Gruppe zuweisen (Reihenfolge bei der GPO Abarbeitung beachten, diese GPO muss von der Verknüpfungsreihenfolge ÜBER der Standard Policy stehen.).

    Ben



    • Bearbeitet Ben.IT Dienstag, 24. Juli 2018 10:32
    Dienstag, 24. Juli 2018 10:30
  • > Wir arbeiten mit Snapshots, heißt nach jeder Schulung wird ein Revert gemacht.

    Wer mit so was arbeitet, setzt nicht das Maximalalter der Computerkennwörter hoch, sondern deaktiviert deren automatische Änderung besser gleich komplett:
    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-member-disable-machine-account-password-changes

    In so einer Umgebung ist der Schutzbedarf naturgemäß eher niedrig...

    • Als Antwort markiert HaschkeD Mittwoch, 25. Juli 2018 07:19
    Dienstag, 24. Juli 2018 13:06