Batch - Automatisiert den Computername ändern und anschließend in die Domäne aufnehmen

Situation
Wer kennt es nicht: Man betreut ein Netzwerk mit mehreren Clients und ist es Leid, immer nach dem Image-Verteilen bzw. nach einer Neuinstallation zu jedem Rechner zu laufen, um den Computernamen zu ändern und danach in die Domäne einzubinden. Aber dafür gibt es eine Lösung!

Grundlagen im LAN (Allgemein)
Voraussetzung für dieses Vorhaben ist, dass sich mindestens eine Domäne im Netzwerk (LAN) befindet. Zusätzlich zum AD (Active Directory) muss ein DHCP - Server und ein RIS - Server laufen. Diese Dienste können entweder auf der gleichen Maschine laufen oder aber auf einzelne verteilt werden, je nach Auslastung und Clientanzahl!

Ab wann lohnt sich der Aufwand?
Also das kann man allgemein nicht sagen, aber ich denke, so ab 10 Clients würde ich den Aufwand treiben. Nach oben hin sehe ich keine Grenzen. Dort wird es dann eher eine Frage der Hardwarebegrenzung sein.

Wie wird der entsprechende Computername zugeordnet?
Als Grundlage dient die MAC – Adresse der Netzwerkkarte (NIC), da diese weltweit einmalig und somit prima als Basis für die Problemlösung geeignet ist.

Wo wird der Computername und die MAC - Adresse hinterlegt (+ Vorteile / Nachteile)?
Hier gibt es 2 Möglichkeiten: Grundsätzlich kann so was immer mit einer Datei (z.B. Textdatei) gelöst werden. Somit reicht ein einfacher Editor aus und die Datei ist später auch sehr anwenderfreundlich. Doch bei mehreren Computern (so ab 100 Clients) könnte die Datei unübersichtlich werden. Nicht nur das, wenn mehrere Leute an der Datei arbeiten, könnten unter bestimmten Umständen irgendwann mal mehrere Dateien existieren, und dann ist das Chaos vorprogrammiert.
Daher habe ich noch ein anderes Verfahren (war wahrscheinlich der 1000. Mensch, der auf die Idee gekommen ist) entwickelt. Voraussetzung ist ein Webserver (mit PHP Unterstützung) und ein MySQL-Server. Und zwar habe ich in einer SQL-Tabelle den Computer mit dazugehöriger MAC - Adresse gespeichert. Dadurch hat man die Chance, sich ein Webinterface zu programmieren. Dies setzt jedoch einige Kenntnisse in PHP und SQL voraus. Aber über diese Webanwendung können Datensätze hinzugefügt / geändert / gesucht / gelöscht werden. Je nach Belieben!

Vorbereitungen auf dem Server
Für das Aufnehmen eines Computers in die Domäne würde ich einen extra AD - Benutzer anlegen. Danach sollte der Benutzer noch der Gruppe „Kontooperatoren“ hinzugefügt werden.
Im Profil zusätzlich den Haken setzen, dass das Passwort nicht geändert werden kann! Somit wird die Sicherheit nicht ganz vernachlässigt!

Vorbereitungen auf dem Server für die Datei-Variante
Am einfachsten ist es vom Clientzugriff her gesehen, extra eine verstecke Freigabe zu erstellen, auf die „JEDER“ => „Lesezugriff“ hat (sowohl Freigaberechte als auch NTFS - Rechte). Damit ist die Freigabe vor Veränderungen aus dem Netzwerk geschützt! Dort kann nun eine Datei mit dem Namen „xyz.txt“ anlegt werden. Beim Eintragen von MAC – Adresse und dem dazugehörigen Computernamen genau ein Leerzeichen dazwischen lassen. Dadurch gibt es später beim Suchen keine Probleme. Für jede MAC - Adresse muss eine extra Zeile benutzt werden.
Beispiel:

Bitte diese Schreibweise beibehalten, da sonst der Batch (unten) das falsche Ergebnis ausgibt!

Vorbereitungen auf dem Server für die Datenbank-Variante
Zuerst sollten auf einem x-beliebigen Server ein Webserver mit PHP und ein MySQL-Server laufen. Zum Verwalten des MySQL-Servers eignet sich am Besten „phpMyAdmin“.

Downloads:

PHP	http://www.php.net/downloads.php
MySQL	http://dev.mysql.com/downloads/mysql/5.0. ...
phpMyAdmin	http://www.phpmyadmin.net/home_page/index ...

Für das Einrichten von PHP und MySQL gibt es genügend Tutorials im Internet.

Nun muss zuerst eine Datenbank erstellt werden. „DATENBANKNAME“ könnt Ihr durch Euren Wunschnamen ersetzen. Das SQL – Statement zum Erstellen der Datenbank sieht wie folgt aus:
Danach muss in der Datenbank noch eine Tabelle erstellt werden. In dieser werden dann später die entsprechenden Daten gespeichert. In einer Datenbank können beliebig viele Tabellen erstellt werden. „mac-adressen“ ist der Tabellename und kann von Euch beliebig verändert werden. Hier das SQL – Statement für das Erstellen der Tabelle:
Da später eine Tabellenabfrage (Datenbankabfrage) stattfindet, wird ein Benutzer benötigt. Nun könnte man sagen: „Ich benutze den MySQL root – Benutzer“, jedoch steht das PW später in der Batchdatei im Klartext drin!! Eine bessere Lösung ist, einen weiteren Benutzer anzulegen, der NUR Leserechte auf die Tabelle hat.
Dazu den phpMyAdmin aufrufen und als „root“ einloggen. Auf der Übersichtsseite den Punkt „Rechte“ (Mitte unten) anklicken.


Nun erscheint eine Übersicht mit den vorhandenen Benutzern. Darunter gibt es die Option, einen neuen Benutzer einzurichten => anklicken. Im darauf erscheinenden Formular die entsprechenden Daten eingeben und auf „OK“ klicken. Den Rest braucht Ihr zu diesem Zeitpunkt nicht beachten!
Auf der darauf erscheinenden Seite können nun Berechtigungen (global und / oder lokal) vergeben werden. In unserem Fall interessieren uns nur die Lokalen Berechtigungen! Dazu ungefähr in die Mitte scrollen (Datenbankspezifische Rechte) und im DropDown – Menü die Datenbank angeben, die vorher oben erstellt wurde. Nach der Auswahl wird automatisch die nächste Seite geladen. Hier muss der vorherige Schritt wiederholt werden, nur muss dieses Mal die vorher erstellte Tabelle ausgewählt werden. Die nächste Seite wird wieder automatisch geladen. Jetzt erscheint eine Übersicht mit „SELECT“ / „INSERT“… Bei „SELECT“ bitte alle Einträge markieren (SHIFT – Taste gedrückt halten) und dann mit „OK“ abschicken.


Voraussetzungen auf den Clients
Leider reichen die Windowsboardmittel nicht aus (egal bei welcher Variante). Aber Gott sei Dank gibt es die Windows Supporttools von WindowsXP (Download: http://www.microsoft.com/downloads/detail .... Daraus wird die netdom.exe benötigt. Die heruntergeladene Datei entpacken und aus der support.cab die EXE „netdom“ extrahieren. Diese EXE ermöglicht den Domänenbeitritt per Kommandozeile.

Für die Datenbank-Variante wird noch die EXE „mysql.exe“ gebraucht. Diese befindet sich im „bin“ – Ordner von MySQL.

Beide Dateien sollten beim Client im Verzeichnis „C:\WINDOWS\system32“ liegen. Bei der Imagevariante dürfte das kein Problem sein. Bei der RIS Variante gibt es auch eine Lösung (http://www.windows-unattended.de/unattend ....

Batchdatei

1.Schritt: Einbinden der Datei
Ich habe die Variante mit dem Autostartordner gewählt. Beim Image dürfte es keine Probleme geben. Beim RIS - Server ist es etwas anders. Dazu muss in die *.sif Datei der entsprechende Eintrag getätigt werden:
Die „start.bat“ (Inhalt dieser Datei sind die folgenden Codezeilen) muss nach „$OEM$\$$“ gespeichert werden.


Nach der Installation per RIS bzw. nach dem Image wird der Rechner neugestartet. Nun wird wahrscheinlich automatisch ein Benutzer (braucht natürlich Adminrechte) angemeldet, sodass automatisch das Script gestartet wird.

2. Schritt: Dafür sorgen, dass die Batchdatei nur einmal ausgeführt wird
Dazu lasse ich eine leere Textdatei auf C: erzeugen und überprüfe dann immer, ob diese bereits existiert.

3. Schritt: Auslesen der MAC – Adresse
Nun wird mit einer einfachen FOR – Schleife die MAC – Adresse ausgelesen und in eine Variable geschrieben.

4a. Schritt: Auslesen des Computernamens anhand der MAC - Adresse (Dateivariante)
In der Variable "%pc%" steht nun der Computername. Der Pfad zur MAC-Datei muss natürlich durch Euren Pfad ersetzt werden.

4b. Schritt: Auslesen des Computernamens an Hand der MAC - Adresse (DB - Variante)
Hier kommt nun die mysql.exe zum Einsatz. In der Variable "%pc%" steht nun der Computername, der in der MySQL – Tabelle für diese MAC – Adresse hinterlegt ist.
Die groß geschriebenen Wörter sind durch Eure Werte zu ersetzen!

Erweiterung Dez. 2007 - Handling mehrerer MAC-Adressen in der IPConfig-Ausgabe.
Falls mehrere MAC-Adressen je Rechner vorkommen können, statt Schritt 3 und 4b diese Mimik:
siehe Kommentar/Querverweis von Biber weiter unten.


5. Schritt: Computernamen ändern
Jetzt kann der Computername geändert werden. In den folgenden Zeilen braucht nichts verändert zu werden, da dort die Variable "%pc%" eingebaut ist!

6. Schritt: Neustart einleiten

7. Schritt: Überprüfung, ob Domainabschnitt schon einmal ausgeführt wurde.

8. Schritt: Computer in die Domäne aufnehmen
Nachdem alle Netzlaufwerke getrennt sind, wird per netdom.exe der Computer in die Domäne aufgenommen. Die entsprechenden Stellen müssen natürlich wieder durch Eure Werte ersetzt werden.
Als Benutzer könnt ihr den oben erstellten AD - Benutzer verwenden! Zusätzlich habt Ihr die Option, den Computer gleich in eine OU zu verschieben.

9. Schritt: Ende
Nun noch die letzte Abfrage:
Bemerkung zur Datenbank-Variante:
Hierzu lässt sich noch per PHP ein Webinterface programmieren. Leider darf ich meines nicht herausgeben.

Anmerkung:
Ich möchte mich bei „Biber“ und „bastla“ bedanken. Sie haben auch einen Teil beigetragen!


Gruß
Dani

00-26-55-43-AE-02 RECHNERNAME1 

00-26-55-43-AE-03 RECHNERNAME2 

00-26-55-43-AE-04 RECHNERNAME3

md e:\dom 

copy \\server\images\dom\start.bat e:\dom /Y 

copy \\server\images\dom\cpau.exe e:\dom /Y 

copy \\server\images\dom\xyz.txt e:\dom /Y 

copy \\server\images\dom\del.bat e:\ /Y 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d "1" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d "ADMINLOKAL" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t REG_SZ /d "NEU" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserPassword /t REG_SZ /d "PASSWORTADMINLOKAL" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d "PASSWORTADMINLOKAL" /f 

REG import \\server\images\dom\run.reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"START"="e:\\dom\\cpau.exe -u ADMINLOKAL -p PASSWORTADMINLOKAL -ex \"e:\\dom\\start.bat >> e:\\dom\\ausgabe.txt\""

set log=e:\dom\mac.txt 

REM Fallauswahl 

if exist "%log%" (for /f "tokens=1 delims=," %%s in ('type "%log%"  ^|findstr "domainbeitritt"') do goto ende) 

if exist "%log%" (for /f "tokens=1 delims=," %%s in ('type "%log%"  ^|findstr "namegeaendert"') do goto domain) 

::Nameermitteln 

if exist "%log%" del %log% 

echo Ping durchführen (Wartezeit 2') 

::Wartezeit von 2 Minuten 

ping 127.0.0.1 -n 120 >nul 

REM im FOlgenden den Server anpingen zwecks Netzwerkverbindung 

ping 111.111.111.111 

ping SERVER 

:: Es werden alle MAC-Adressen des PC's ermittelt 

for /f "tokens=2 delims=:	" %%a in ('ipconfig /all ^| find "Physi"') do echo %%a>> %log% 

echo *******MAC ermitteln******** 

echo alle MAC-Adressen %mac% 

for /f "tokens=2 delims=:	" %%a in ('ipconfig /all ^| find "Physi"') do echo %%a 

echo *******Rechnername ermitteln******** 

for /f "tokens=1 delims=," %%s in ('type "%log%"') do (for /f "tokens=2 delims= " %%b in ('type "e:\dom\xyz.txt" ^|findstr "%%s"') do if not "%%b"=="" set pc=%%b) 

if "%pc%"=="" goto macfehler 

echo Rechnername ist %pc% 

echo Rechnername ist %pc% >> "%log%" 

echo *******Rechnername ändern******** 

REG add "HKLM\SYSTEM\ControlSet001\Control\ComputerName\ComputerName" /v ComputerName /t REG_SZ /d %pc% /f 

REG add "HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters" /v "NV Hostname" /t REG_SZ /d %pc% /f 

REG add "HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName" /v ComputerName /t REG_SZ /d %pc% /f 

REG add "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v "NV Hostname" /t REG_SZ /d %pc% /f 

echo namegeaendert %date% %time%>> "%log%" 

::neu starten 

SHUTDOWN -r -f -t 30 

GOTO :EOF 

:domain 

REM Abschnitt für Beitritt zur Domäne 

::Wartezeit von 2 Minuten 

ping 127.0.0.1 -n 120 >nul 

REM im FOlgenden den Server anpingen zwecks Netzwerkverbindung 

ping 111.111.111.111 

ping SERVER 

echo Der Domäne beitreten... 

net use * /d /y 

start /w pkgmgr /iu:RemoteServerAdministrationTools-Roles-AD-DS-SnapIns;RemoteServerAdministrationTools-Roles-AD-DS;RemoteServerAdministrationTools-Roles-AD;RemoteServerAdministrationTools-Roles;RemoteServerAdministrationTools 

NETDOM join %computername% /Domain:DOMÄNE /UserD:DOMÄNENADMINUSER /PasswordD:DOMÄNENADMINPASSWORT 

echo domainbeitritt %date% %time%>> "%log%" 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d "1" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v ForceAutoLogon /t REG_SZ /d "1" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d "DOMÄNENADMINUSER" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t REG_SZ /d "DOMÄNE" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d "DOMÄNENADMINPASSWORT" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserPassword /t REG_SZ /d "DOMÄNENADMINPASSWORT" /f 

::Autostart löschen 

REG delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v START /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v loeschen /t REG_SZ /d "e:\del.bat" /f 

:: ******** Hintergrundbild 

copy e:\dom\desktopbilder\%computername%.bmp c:\windows\desktop.bmp 

:: ********* Windows aktivieren 

cscript %windir%\system32\slmgr.vbs /ipk WINDOWS-KEY 

ping 127.0.0.1 -n 5 >nul 

cscript %windir%\system32\slmgr.vbs /skms KMSSERVER:1688 

ping 127.0.0.1 -n 5 >nul 

cscript %windir%\system32\slmgr.vbs /ato 

SHUTDOWN -r -f -t 30 

GOTO :ende 

:macfehler 

echo MAC wurde in Liste nicht gefunden 

echo MAC wurde in Liste nicht gefunden>>%log% 

goto ende 

:ende 

echo Alles erledigt!

rd e:\dom /S /Q 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d "0" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v ForceAutoLogon /t REG_SZ /d "0" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d "" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t REG_SZ /d "DOMÄNE" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserPassword /t REG_SZ /d "" /f 

REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d "" /f 

:ende 

::Autostart löschen 

REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v loeschen /f 

SHUTDOWN -s -f -t 30