Computerkonten in Active Directory verwalten und reparieren

Computerkonten spielen in Active Directory eine wesentliche Rolle. Wie Benutzerkonten auch, sind Computerkonten ein Teil von Active Directory. Funktioniert die Verbindung zum Active Directory nicht mehr ordnungsgemäß, können sich Benutzer am PC nicht mehr ordnungsgemäß anmelden.

Index

Zweck der Computerkonten

Auch Serverdienste funktionieren nicht mehr, wenn die zu Grunde liegenden Server nicht mehr korrekt mit Active Directory kommunizieren können. Domänencontroller verfügen ebenfalls über Computerkonten, die natürlich fehlerfrei funktionieren sollten. Auch diese Konten spielen eine wichtige Rolle in Active Directory.

Für Gruppenrichtlinien stehen, neben den Benutzereinstellungen, auch Computereinstellungen zur Verfügung. Die Einstellungen einer Richtlinie wendet Windows auf Computerkonten an, die sich in einer mit der Gruppenrichtlinien-verknüpften Organisationseinheit befinden. Computerkonten können daher nach der Aufnahme in der Domäne mit den verschiedenen Tools in Active Directory verwaltet werden, zum Beispiel Active Directory-Benutzer und -Computer. Es ist aber auch möglich, Einstellungen mit Gruppenrichtlinien zu automatisieren.

Computerkonten mit dem FirstWare IDM-Portal verwalten

Mit Hilfe des FirstWare IDM-Portals werden zahlreiche Vereinfachungen bei der Verwaltung der Computerkonten erreicht. Das am meisten genutzte Feature ist der Bitlocker Festplattenverschlüsselungsschlüssel. Dabei wird das IDM-Portal vor allem dazu genutzt, um das Recovery Password von einem berechtigten Personenkreis auslesen zu können, z. B. von Administratoren. Das Recovery Password wird beispielsweise bei einem Festplattenwechsel benötigt.

Eine weitere Funktion ist die Verwaltung der lokalen Administratoren auf den Computergeräten. Dazu wird zusätzlich noch ein PowerShell-Skript benötigt.

Man kann darüber auch einen Computerverwaltungszyklus aufbauen. Dann werden z.B. die Computerkonten im AD erstellt und dabei schon Namen nach einer bestimmten Konvention vorvergeben. Diese Konten können dann im AD vorkonfiguriert werden, z.B. mit Berechtigungen oder Gruppenpolicies. Später nimmt dann ein Client-Team den physischen PC bei der Installation mit dem vorgegebenen Namen in das AD-Netz. Dann bekommt das Gerät schon die richtigen Richtlinien.

Darüber hinaus ist damit auch eine einfache Inventarfunktion möglich:

Welche Geräte gibt es?
Welche Betriebssysteme haben sie?
Wo stehen sie (wenn sie gepflegt werden)?
Wem sind sie zugewiesen?

Computerkonten in Active Directory-Benutzer und -Computer verwalten

Über das Tool „Active Directory-Benutzer und -Computer“ sind die Server und die Arbeitsstationen der Anwender über den Menüpunkt „Computer“ zu finden. In der PowerShell zeigen Sie die Computerkonten über das Cmdlet „Get-ADComputer“ an. Um sich eine Liste der Server in der PowerShell anzuzeigen, verwenden Sie den folgenden Befehl:

Get-ADComputer -Filter "OperatingSystem -like '*Server*'" | select DNSHostName

1	Get-ADComputer -Filter "OperatingSystem -like 'Server'" \| select DNSHostName

In der PowerShell können Sie mit „select“ auswählen, welche Daten die PowerShell anzeigen soll, zum Beispiel:

Get-ADComputer -filter ‘name -like “*”’ -Properties * | select name,OperatingSystem,IPv4Address

1	Get-ADComputer -filter ‘name -like “”’ -Properties \| select name,OperatingSystem,IPv4Address

Wollen Sie alle Computerkonten in Active Directory zählen, verwenden Sie:

(Get-ADComputer -Filter "Name -like '*'").count

1	(Get-ADComputer -Filter "Name -like '*'").count

Über das Kontextmenü sind verschiedene Funktionen verfügbar. Mit „Verwalten“ starten Sie die Computerverwaltung des Computers über das Netzwerk. Das ermöglicht den Zugriff auf

die Ereignisanzeige des Computers,
die Aufgabenplanung,
die Anzeige der Freigaben und damit verbundenen Benutzer,
und die Anzeige der lokalen Benutzer und Gruppen.

Auch die Leistungsmessung, der Gerätemanager und die Steuerung der Dienste sind über die Computerverwaltung, als auch über das Netzwerk verwendbar.

Computerkonten in Active Directory verwalten

In den Eigenschaften eines Kontos stehen ebenfalls wichtige Informationen und Einstellungsmöglichkeiten zur Verfügung. Auf der Registerkarte „Objekt“ können Sie zum Beispiel durch Aktivieren der Option „Objekt vor zufälligem Löschen“ verhindern, dass Administratoren ein Computerkonto entfernen.

Fehlerbehebung von Computerkonten

Wenn Computer nicht mehr ordnungsgemäß mit Active Directory kommunizieren können, wirkt sich das auf alle Dienste des Computers aus. Das ist bei Servern natürlich besonders problematisch. Das regelmäßige Ändern des Computerkennwortes können Sie auch über Gruppenrichtlinien durchführen. Die Einstellungen sind bei „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen“ zu finden.

Funktioniert ein Computer nicht mehr ordnungsgemäß mit Active Directory, erscheint an verschiedenen Stellen teilweise die Meldung: „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden“, zum Beispiel bei der Anmeldung von Benutzern. Solche Probleme entstehen zum Teil auf virtuellen Computern, wenn zum Beispiel Snapshots zurückgesetzt werden. In einer PowerShell-Sitzung auf dem Computer können Sie vom Domänencontroller ein neues Maschinenkennwort anfordern, zum Beispiel mit

Reset-ComputerMachinePassword -Server dc01 -Credential joos\administrator

Maschinenkennwort von Computerkonten in Active Directory zurücksetzen

Bei dem Parameter „-Server“ geben Sie einen Domänencontroller an, der das neue Kennwort ausstellt . Ob die Verbindung zwischen dem Computer und Active Directory funktioniert, können Sie ebenfalls in der PowerShell testen:

Test-ComputerSecureChannel -Repair -Server dc01 -Credential joos\administrator

Mit der zusätzlichen Option „-verbose“ zeigt das Tool ausführlichere Informationen an. Mit dem Cmdlet ist auch eine Reparatur möglich:

Test-ComputerSecureChannel -Repair

Auch mit dem Befehl „nltest /sc_query:<Name der Domäne>“ können Sie eine Überprüfung des Secure-Channels durchführen. Sinnvoll ist das auf Domänencontrollern, da auch hier die Verbindung zu Active Directory verloren gehen kann.

Auf Domänencontrollern können Sie bei Problemen auch mit netdom.exe arbeiten. Dazu steht der Befehl netdom.exe in der Befehlszeile zur Verfügung:

netdom.exe resetpwd /s:dc01 /ud:Joos\Administrator /pd:*

1	netdom.exe resetpwd /s:dc01 /ud:Joos\Administrator /pd:*

Mit den Parametern /s und /ud erfolgt die Eingabe eines Domänencontrollers, den der Befehl kontaktieren soll und eines Benutzerkontos mit dem die Verbindung hergestellt werden kann. Die Option /pd * ermöglicht die Eingabe des Kennwortes nach dem Auslösen des Befehls.

Veraltete Computer finden und bei Bedarf entfernen

Veraltete Computerkonten stellen ein Problem dar, weil in Active Directory unnötige Daten gespeichert sind und weil es offensichtlich irgendwo Computer gibt, die Bestandteil von Active Directory sind, die aber nicht mehr im Einsatz sind. Angreifer können diese Computer nutzen. Es ist daher sinnvoll, diese veralteten Computer zu finden. Hierzu gibt es verschiedene Möglichkeiten.

Neben der PowerShell können Sie veraltete Computer auch mit „dsquery“ anzeigen. Hier besteht auch die Möglichkeit, die Anzahl an Wochen anzugeben, in denen ein Computer keine Anmeldung an Active Directory vorgenommen hat. Wollen Sie zum Beispiel alle Computer anzeigen, die sich in den letzten 8 Wochen nicht an Active Directory angemeldet haben, verwenden Sie den folgenden Befehl:

dsquery computer -inactive 8

1	dsquery computer -inactive 8

Vor dem Löschen des Computerkontos kann es sinnvoll sein, die Computerkonten zunächst zu deaktivieren. Auch das können Sie in der Befehlszeile vornehmen, zum Beispiel mit „dsmod.exe“:

dsquery computer -inactive 8 | dsmod computer -disabled yes

1	dsquery computer -inactive 8 \| dsmod computer -disabled yes

Computerkonten, die lange nicht mehr verwendet wurden, in der Befehlszeile deaktivieren.

Natürlich können Sie diese Aufgaben auch in der PowerShell vornehmen. Dazu fragen Sie in einer Variablen zunächst das aktuelle Datum ab und geben die Tage an, seit denen das Computerkonto nicht mehr im Einsatz ist:

$date = (Get-Date).AddDays(-90)

1	$date = (Get-Date).AddDays(-90)

Danach erfolgt mit der PowerShell eine Abfrage in Active Directory, welche Computer sich nach der angegebenen Anzahl an Tagen nicht mehr angemeldet haben:

Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $date}

1	Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $date}

Sollen die Konten gelöscht werden, geht das ebenfalls in der PowerShell:

Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $then} | Remove-ADComputer

1	Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $then} \| Remove-ADComputer

Zusammenfassung

Das Verwalten von Computerkonten in Active Directory stellt eine wichtige Aufgabe dar. Mit Hilfe des FirstWare IDM-Portals, der Active Directory Benutzer- und Computer-Konsole oder PowerShell können Administratoren viele Informationen abrufen und Einstellungen vornehmen. Über die Computerkonten wird nicht nur die Authentifizierung gesteuert, sondern Zugriffe auf das Netzwerk und auf Domänenressourcen überwacht. Um zu vermeiden, dass verwaiste Computer mit unternehmensrelevanten Daten in Vergessenheit geraten, ist es wichtig, inaktive Computerkonten zu ermitteln. Demnach ist die aktive Administration der Computerkonten eine wichtiger Faktor beim Thema Datensicherheit.