Zum Inhalt springen
sw
en

Tippe um zu suchen

IT-Support (Business)

Workstation Setup – Windows-Neuinstallation & Domänenbeitritt

Schritt für Schritt: Windows 11 sauber installieren, konfigurieren, in die AD-Domäne einbinden und für den Arbeitsalltag bereitstellen.

9 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Warum eine saubere Installation wichtig ist

In der Praxis passiert es regelmässig: Ein neuer Mitarbeiter startet in einer Woche, das Gerät trifft zwei Tage vorher ein – und du sollst daraus in möglichst kurzer Zeit einen vollständig eingerichteten, domänengebundenen Arbeitsplatz machen. Wer hier ohne Plan vorgeht, vergisst Treiber, setzt den falschen Hostnamen oder lässt die Workstation in der falschen OU landen.

Diese Seite zeigt dir den gesamten Ablauf: von der Windows-Installation über Treiber, Hostname und Domänenbeitritt bis hin zur Übergabe an den Benutzer. Ausserdem: Sysprep und Imaging für wiederkehrende Setups und der moderne Autopilot-Weg für Umgebungen mit Intune.


Voraussetzungen und Vorbereitung

Bevor du anfängst, kläre folgende Punkte:

PunktDetails
Windows-EditionFür den Domänenbeitritt zwingend: Pro, Enterprise oder Education. Home nicht domänenfähig.
LizenzschlüsselOEM (aufgeklebt am Gerät), MAK (Key im Asset-System) oder Volumen (KMS/ADBA)
NetzwerkzugangDNS muss den Domain Controller auflösen – stell sicher, dass der interne DNS-Server eingetragen ist
Admin-CredentialsDomain-Join-Konto (muss nicht Global Admin sein; Add Workstations to Domain-Recht reicht)
HostnameNamenskonvention abklären, z.B. WS-MUSTER-01 (Workstation – Nachname – Laufnummer)
Ziel-OUIn welcher Organisationseinheit soll das Computerkonto landen?

Schritt 1: Bootfähigen USB-Stick erstellen

Lade das Media Creation Tool von Microsoft herunter und erstelle damit einen bootfähigen USB-Stick (mindestens 8 GB):

  1. Microsoft Media Creation Tool herunterladen und starten
  2. „Installationsmedien für einen anderen PC erstellen” wählen
  3. Sprache, Edition und Architektur wählen (für KMU: Windows 11 Pro, 64-Bit)
  4. „USB-Speicherstick” wählen, Stick auswählen, fertigstellen

Alternativ mit Rufus (empfohlen bei TPM-Problemen auf älterer Hardware): Rufus kann das Image direkt von Microsoft ziehen und dabei TPM 2.0 / Secure Boot Anforderungen umgehen, falls nötig.


Schritt 2: Windows installieren

Starte den PC vom USB-Stick (BIOS/UEFI → Boot-Reihenfolge anpassen, oder F12 / F8 / Del beim Start drücken – je nach Hersteller).

Beim Setup beachten:

  • Sprache, Zeitzone und Tastaturlayout (Deutsch/Schweiz)
  • „Windows installieren” → Edition wählen (Pro!)
  • Partitionierung: Bei Neuinstallation alle Partitionen löschen, dann auf „Nicht zugeordneter Speicherplatz” installieren lassen
  • Ersten Start: Wenn du nach einem Microsoft-Konto gefragt wirst → „Anmelden mit einer Domäne” oder „Eingeschränktes Setup” wählen, damit kein persönliches Microsoft-Konto angelegt wird

Lege beim ersten Start ein lokales Admin-Konto an (z.B. localadmin). Dieses Konto brauchst du für den Domain-Join und als Fallback, falls der DC mal nicht erreichbar ist.


Schritt 3: Windows Updates und Treiber

Direkt nach der Installation – bevor du irgendetwas anderes tust:

# Windows Update via PowerShell starten (als Admin)
# Zuerst PSWindowsUpdate-Modul installieren:
Install-Module -Name PSWindowsUpdate -Force

# Alle verfügbaren Updates installieren (inkl. automatischer Neustart):
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Oder klassisch: Einstellungen → Windows Update → Nach Updates suchen – so oft klicken, bis „Du bist auf dem neuesten Stand” erscheint. Windows lädt manchmal nach einem Neustart neue Updates nach.

Treiber-Quellen (in dieser Reihenfolge):

  1. Windows Update – Deckt oft schon 90% ab
  2. Hersteller-Website des PC-Herstellers (z.B. Lenovo System Update, Dell Command Update, HP Support Assistant)
  3. Einzelne Treiber direkt vom Chip-Hersteller, wenn der OEM-Treiber veraltet ist (z.B. Intel Management Engine, Realtek Audio)

Welche Treiber fehlen, siehst du im Geräte-Manager (Win+X → Geräte-Manager). Gelbe Ausrufezeichen = fehlender oder defekter Treiber.


Schritt 4: Hostname setzen

Jetzt – bevor du der Domäne beitrittst – den Hostnamen korrekt setzen. Nach dem Domain-Join braucht jede Umbenennung einen erneuten Neustart und kann AD-Objekte durcheinanderbringen.

# Hostname setzen und sofort neustarten (als Admin)
Rename-Computer -NewName "WS-MUSTER-01" -Restart

Oder über die GUI: Win+Rsysdm.cpl → Tab „Computername” → „Ändern” → neuen Namen eingeben → OK → Neustart.

Namenskonvention empfohlen:

PräfixBedeutungBeispiel
WS-Workstation (Desktop/Laptop)WS-WEBER-01
NB-Notebook / LaptopNB-WEBER-01
SRV-ServerSRV-FILE-01
PRN-PrintserverPRN-MAIN-01

Maximal 15 Zeichen, nur Buchstaben, Zahlen und Bindestriche (NetBIOS-Limit).


Schritt 5: Domänenbeitritt

Stelle sicher, dass:

  • Der PC den internen DNS-Server (= meistens der Domain Controller) als primären DNS-Server hat
  • Du ein Konto mit Domain-Join-Berechtigung zur Hand hast

Methode 1: Systemsteuerung (klassisch, zuverlässig)

  1. Win+Rsysdm.cpl
  2. Tab „Computername” → „Ändern”
  3. Unter „Mitglied von” → „Domäne” auswählen → Domänennamen eingeben (z.B. firma.ch)
  4. Anmeldedaten des Join-Kontos eingeben
  5. Neustart

Methode 2: Einstellungen-App (Windows 11)

  1. Win+I → Konten → Auf Arbeits- oder Schulkonto zugreifen
  2. „Verbinden” → „Dieses Gerät mit einer lokalen Active Directory-Domäne verbinden”
  3. Domänenname eingeben → Weiter → Anmeldedaten eingeben
  4. Neustart

Methode 3: PowerShell (am schnellsten)

# Domain-Join mit Credential-Abfrage
Add-Computer -DomainName "firma.ch" -Credential (Get-Credential) -Restart

# Mit Ziel-OU (empfohlen, damit das Computerkonto gleich am richtigen Platz landet)
Add-Computer -DomainName "firma.ch" `
             -OUPath "OU=Workstations,OU=Computer,DC=firma,DC=ch" `
             -Credential (Get-Credential) `
             -Restart

Methode 4: netdom (Kommandozeile, Scripting)

netdom join %COMPUTERNAME% /domain:firma.ch /userd:FIRMA\joinaccount /passwordd:*

Schritt 6: Nach dem Domain-Join

Nach dem Neustart mit einem Domänen-Admin einloggen und prüfen:

# Domänenmitgliedschaft bestätigen
(Get-WmiObject Win32_ComputerSystem).Domain

# Verbindung zum DC testen
Test-ComputerSecureChannel

# GPOs abrufen und prüfen (als SYSTEM oder Admin)
gpupdate /force
gpresult /r

Dann die weiteren Schritte:

  1. RSAT-Tools installieren (falls der PC auch für Administratoren genutzt wird):

    # Active Directory-Verwaltungstools
    Add-WindowsCapability -Online -Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"
    # Group Policy Management
    Add-WindowsCapability -Online -Name "Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0"
  2. Software deployen: Office, Antivirus/EDR, VPN-Client, sonstige benötigte Tools – entweder manuell, via GPO (MSI) oder via Intune.

  3. Lokalen Admin deaktivieren (nach Abschluss aller Einrichtungsschritte):

    Disable-LocalUser -Name "localadmin"
  4. Ersten Benutzer-Login testen: Am besten gleich mit dem zukünftigen User-Konto anmelden und schauen, ob Profile, Netzlaufwerke (via GPO gemappt) und Drucker korrekt erscheinen.


Imaging mit Sysprep (für mehrere identische Geräte)

Wenn du viele gleiche Geräte aufsetzen musst (z.B. 20 identische Laptops eines Modells), lohnt sich ein Image-Workflow:

Ablauf:

  1. Referenzmaschine aufsetzen: Windows + Treiber + Standardsoftware. Nicht der Domäne beitreten und kein Internetzugang während des Builds!
  2. Sysprep ausführen – generalisiert das Image (entfernt SIDs, Computernamen, Aktivierungsstatus):
    C:\Windows\System32\Sysprep\sysprep.exe /oobe /generalize /shutdown
  3. Image erfassen mit Clonezilla, Acronis, MDT/WDS oder DISM:
    # Mit DISM ein WIM-Image erstellen (aus WinPE-Umgebung):
    DISM /Capture-Image /ImageFile:D:\Images\Win11-v1.wim /CaptureDir:C:\ /Name:"Win11 Pro Base"
  4. Image deployen auf neue Geräte – via MDT/WDS (PXE-Boot) oder USB.

Nach der Bereitstellung: Hostname setzen → Domänenbeitritt → fertig.


Moderner Weg: Windows Autopilot + Intune

Für Umgebungen mit Microsoft Intune (M365 Business Premium oder Enterprise) gibt es einen noch eleganteren Weg: Windows Autopilot.

Prinzip: Der Hersteller oder Händler registriert die Hardware-Hash-ID des Geräts im Autopilot-Dienst. Wenn der Mitarbeiter das Gerät zum ersten Mal einschaltet, verbindet es sich automatisch mit Intune, konfiguriert sich selbst und ist nach 30–45 Minuten vollständig eingerichtet – ohne dass du es auch nur anrühren musst.

Was du vorbereiten musst:

  • Gerät im Microsoft Endpoint Manager (Intune) als Autopilot-Gerät registrieren
  • Deployment Profile erstellen (OOBE-Konfiguration, Benutzer oder Selbstbereitstellung)
  • Konfigurationsprofile und App-Assignments zuweisen

Mehr dazu auf der Seite Intune – Grundlagen.


Troubleshooting

Domain-Join schlägt fehl

FehlermeldungWahrscheinliche UrsacheLösung
„Der Domänenname existiert nicht”DNS löst DC nicht aufPrimären DNS auf DC-IP setzen, Resolve-DnsName firma.ch testen
„Die Anmeldeinformationen sind falsch”Falsches Join-Konto oder PasswortKonto in ADUC prüfen, Passwort zurücksetzen
„Zugriff verweigert”Zu wenig Rechte für den Domain-JoinDomänenadmin nutzen oder OU-Berechtigungen prüfen (KB5020276)
„Der Computer konnte der Domäne nicht beitreten”Computerkonto-Limit erreicht (Standard: 10 pro User)Limit erhöhen oder Computerkonto vorab anlegen

Vertrauensbeziehung zwischen Workstation und Domäne fehlgeschlagen

Dieser Fehler erscheint, wenn das Maschinenkennwort nicht mehr mit dem DC synchron ist (z.B. nach einem langen Offline-Betrieb oder einem Snapshot-Rollback bei VMs):

# Sicheren Kanal testen
Test-ComputerSecureChannel

# Sicheren Kanal reparieren (als lokaler Admin, nicht als Domain-User!)
Test-ComputerSecureChannel -Repair -Credential (Get-Credential "FIRMA\Admin")

# Falls das nicht reicht: Maschinenkennwort zurücksetzen
Reset-ComputerMachinePassword -Credential (Get-Credential "FIRMA\Admin")
Restart-Computer -Force

GPOs werden nicht angewendet

# GPO-Update erzwingen
gpupdate /force

# Detaillierten GPO-Report als HTML generieren
gpresult /h C:\Temp\gpo-report.html
# Dann C:\Temp\gpo-report.html im Browser öffnen

# Prüfen, welche GPOs angewendet wurden (Kurzfassung)
gpresult /r

Häufige Ursachen: PC liegt in der falschen OU, DNS-Problem, Domänencontroller nicht erreichbar.

Aktivierungsprobleme nach Domain-Join

In vielen Firmen läuft ein KMS-Server oder Active Directory Based Activation (ADBA). Die Aktivierung geschieht automatisch nach dem Domain-Join. Falls nicht:

# Aktivierungsstatus prüfen
slmgr /xpr

# KMS-Server manuell ansprechen
slmgr /skms kms-server.firma.ch
slmgr /ato

# ADBA erzwingen
cscript C:\Windows\system32\slmgr.vbs /ato

Checkliste: Workstation Deployment

[ ] USB-Stick mit aktuellem Windows 11 Media Creation Tool erstellt
[ ] Windows 11 Pro (nicht Home!) installiert
[ ] Alle Windows Updates installiert (mehrmals prüfen)
[ ] Treiber vollständig (kein gelbes Ausrufezeichen im Geräte-Manager)
[ ] Hostname korrekt gesetzt (Namenskonvention beachten)
[ ] Primärer DNS: interner DNS-Server / Domain Controller
[ ] Domänenbeitritt erfolgreich, PC in richtiger OU
[ ] Test-ComputerSecureChannel gibt True zurück
[ ] gpupdate /force, gpresult /r – GPOs greifen
[ ] Netzlaufwerke und Drucker erscheinen nach User-Login
[ ] Antivirus/EDR installiert und aktiv
[ ] Windows-Aktivierung erfolgreich (slmgr /xpr)
[ ] Lokales Admin-Konto deaktiviert (ausser Notfall-Account)
[ ] Übergabe an User, erster Login getestet

Weiterlernen

Videos

YouTube
Neues Netzwerk – der erste Client (Windows 11) tritt der Domäne bei

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben