Workstation Setup – Windows-Neuinstallation & Domänenbeitritt
Schritt für Schritt: Windows 11 sauber installieren, konfigurieren, in die AD-Domäne einbinden und für den Arbeitsalltag bereitstellen.
Warum eine saubere Installation wichtig ist
In der Praxis passiert es regelmässig: Ein neuer Mitarbeiter startet in einer Woche, das Gerät trifft zwei Tage vorher ein – und du sollst daraus in möglichst kurzer Zeit einen vollständig eingerichteten, domänengebundenen Arbeitsplatz machen. Wer hier ohne Plan vorgeht, vergisst Treiber, setzt den falschen Hostnamen oder lässt die Workstation in der falschen OU landen.
Diese Seite zeigt dir den gesamten Ablauf: von der Windows-Installation über Treiber, Hostname und Domänenbeitritt bis hin zur Übergabe an den Benutzer. Ausserdem: Sysprep und Imaging für wiederkehrende Setups und der moderne Autopilot-Weg für Umgebungen mit Intune.
Voraussetzungen und Vorbereitung
Bevor du anfängst, kläre folgende Punkte:
| Punkt | Details |
|---|---|
| Windows-Edition | Für den Domänenbeitritt zwingend: Pro, Enterprise oder Education. Home nicht domänenfähig. |
| Lizenzschlüssel | OEM (aufgeklebt am Gerät), MAK (Key im Asset-System) oder Volumen (KMS/ADBA) |
| Netzwerkzugang | DNS muss den Domain Controller auflösen – stell sicher, dass der interne DNS-Server eingetragen ist |
| Admin-Credentials | Domain-Join-Konto (muss nicht Global Admin sein; Add Workstations to Domain-Recht reicht) |
| Hostname | Namenskonvention abklären, z.B. WS-MUSTER-01 (Workstation – Nachname – Laufnummer) |
| Ziel-OU | In welcher Organisationseinheit soll das Computerkonto landen? |
Schritt 1: Bootfähigen USB-Stick erstellen
Lade das Media Creation Tool von Microsoft herunter und erstelle damit einen bootfähigen USB-Stick (mindestens 8 GB):
- Microsoft Media Creation Tool herunterladen und starten
- „Installationsmedien für einen anderen PC erstellen” wählen
- Sprache, Edition und Architektur wählen (für KMU: Windows 11 Pro, 64-Bit)
- „USB-Speicherstick” wählen, Stick auswählen, fertigstellen
Alternativ mit Rufus (empfohlen bei TPM-Problemen auf älterer Hardware): Rufus kann das Image direkt von Microsoft ziehen und dabei TPM 2.0 / Secure Boot Anforderungen umgehen, falls nötig.
Schritt 2: Windows installieren
Starte den PC vom USB-Stick (BIOS/UEFI → Boot-Reihenfolge anpassen, oder F12 / F8 / Del beim Start drücken – je nach Hersteller).
Beim Setup beachten:
- Sprache, Zeitzone und Tastaturlayout (Deutsch/Schweiz)
- „Windows installieren” → Edition wählen (Pro!)
- Partitionierung: Bei Neuinstallation alle Partitionen löschen, dann auf „Nicht zugeordneter Speicherplatz” installieren lassen
- Ersten Start: Wenn du nach einem Microsoft-Konto gefragt wirst → „Anmelden mit einer Domäne” oder „Eingeschränktes Setup” wählen, damit kein persönliches Microsoft-Konto angelegt wird
Lege beim ersten Start ein lokales Admin-Konto an (z.B. localadmin). Dieses Konto brauchst du für den Domain-Join und als Fallback, falls der DC mal nicht erreichbar ist.
Schritt 3: Windows Updates und Treiber
Direkt nach der Installation – bevor du irgendetwas anderes tust:
# Windows Update via PowerShell starten (als Admin)
# Zuerst PSWindowsUpdate-Modul installieren:
Install-Module -Name PSWindowsUpdate -Force
# Alle verfügbaren Updates installieren (inkl. automatischer Neustart):
Get-WindowsUpdate -AcceptAll -Install -AutoReboot
Oder klassisch: Einstellungen → Windows Update → Nach Updates suchen – so oft klicken, bis „Du bist auf dem neuesten Stand” erscheint. Windows lädt manchmal nach einem Neustart neue Updates nach.
Treiber-Quellen (in dieser Reihenfolge):
- Windows Update – Deckt oft schon 90% ab
- Hersteller-Website des PC-Herstellers (z.B. Lenovo System Update, Dell Command Update, HP Support Assistant)
- Einzelne Treiber direkt vom Chip-Hersteller, wenn der OEM-Treiber veraltet ist (z.B. Intel Management Engine, Realtek Audio)
Welche Treiber fehlen, siehst du im Geräte-Manager (Win+X → Geräte-Manager). Gelbe Ausrufezeichen = fehlender oder defekter Treiber.
Schritt 4: Hostname setzen
Jetzt – bevor du der Domäne beitrittst – den Hostnamen korrekt setzen. Nach dem Domain-Join braucht jede Umbenennung einen erneuten Neustart und kann AD-Objekte durcheinanderbringen.
# Hostname setzen und sofort neustarten (als Admin)
Rename-Computer -NewName "WS-MUSTER-01" -Restart
Oder über die GUI:
Win+R → sysdm.cpl → Tab „Computername” → „Ändern” → neuen Namen eingeben → OK → Neustart.
Namenskonvention empfohlen:
| Präfix | Bedeutung | Beispiel |
|---|---|---|
WS- | Workstation (Desktop/Laptop) | WS-WEBER-01 |
NB- | Notebook / Laptop | NB-WEBER-01 |
SRV- | Server | SRV-FILE-01 |
PRN- | Printserver | PRN-MAIN-01 |
Maximal 15 Zeichen, nur Buchstaben, Zahlen und Bindestriche (NetBIOS-Limit).
Schritt 5: Domänenbeitritt
Stelle sicher, dass:
- Der PC den internen DNS-Server (= meistens der Domain Controller) als primären DNS-Server hat
- Du ein Konto mit Domain-Join-Berechtigung zur Hand hast
Methode 1: Systemsteuerung (klassisch, zuverlässig)
- Win+R →
sysdm.cpl - Tab „Computername” → „Ändern”
- Unter „Mitglied von” → „Domäne” auswählen → Domänennamen eingeben (z.B.
firma.ch) - Anmeldedaten des Join-Kontos eingeben
- Neustart
Methode 2: Einstellungen-App (Windows 11)
- Win+I → Konten → Auf Arbeits- oder Schulkonto zugreifen
- „Verbinden” → „Dieses Gerät mit einer lokalen Active Directory-Domäne verbinden”
- Domänenname eingeben → Weiter → Anmeldedaten eingeben
- Neustart
Methode 3: PowerShell (am schnellsten)
# Domain-Join mit Credential-Abfrage
Add-Computer -DomainName "firma.ch" -Credential (Get-Credential) -Restart
# Mit Ziel-OU (empfohlen, damit das Computerkonto gleich am richtigen Platz landet)
Add-Computer -DomainName "firma.ch" `
-OUPath "OU=Workstations,OU=Computer,DC=firma,DC=ch" `
-Credential (Get-Credential) `
-Restart
Methode 4: netdom (Kommandozeile, Scripting)
netdom join %COMPUTERNAME% /domain:firma.ch /userd:FIRMA\joinaccount /passwordd:*
Schritt 6: Nach dem Domain-Join
Nach dem Neustart mit einem Domänen-Admin einloggen und prüfen:
# Domänenmitgliedschaft bestätigen
(Get-WmiObject Win32_ComputerSystem).Domain
# Verbindung zum DC testen
Test-ComputerSecureChannel
# GPOs abrufen und prüfen (als SYSTEM oder Admin)
gpupdate /force
gpresult /r
Dann die weiteren Schritte:
-
RSAT-Tools installieren (falls der PC auch für Administratoren genutzt wird):
# Active Directory-Verwaltungstools Add-WindowsCapability -Online -Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0" # Group Policy Management Add-WindowsCapability -Online -Name "Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0" -
Software deployen: Office, Antivirus/EDR, VPN-Client, sonstige benötigte Tools – entweder manuell, via GPO (MSI) oder via Intune.
-
Lokalen Admin deaktivieren (nach Abschluss aller Einrichtungsschritte):
Disable-LocalUser -Name "localadmin" -
Ersten Benutzer-Login testen: Am besten gleich mit dem zukünftigen User-Konto anmelden und schauen, ob Profile, Netzlaufwerke (via GPO gemappt) und Drucker korrekt erscheinen.
Imaging mit Sysprep (für mehrere identische Geräte)
Wenn du viele gleiche Geräte aufsetzen musst (z.B. 20 identische Laptops eines Modells), lohnt sich ein Image-Workflow:
Ablauf:
- Referenzmaschine aufsetzen: Windows + Treiber + Standardsoftware. Nicht der Domäne beitreten und kein Internetzugang während des Builds!
- Sysprep ausführen – generalisiert das Image (entfernt SIDs, Computernamen, Aktivierungsstatus):
C:\Windows\System32\Sysprep\sysprep.exe /oobe /generalize /shutdown - Image erfassen mit Clonezilla, Acronis, MDT/WDS oder DISM:
# Mit DISM ein WIM-Image erstellen (aus WinPE-Umgebung): DISM /Capture-Image /ImageFile:D:\Images\Win11-v1.wim /CaptureDir:C:\ /Name:"Win11 Pro Base" - Image deployen auf neue Geräte – via MDT/WDS (PXE-Boot) oder USB.
Nach der Bereitstellung: Hostname setzen → Domänenbeitritt → fertig.
Moderner Weg: Windows Autopilot + Intune
Für Umgebungen mit Microsoft Intune (M365 Business Premium oder Enterprise) gibt es einen noch eleganteren Weg: Windows Autopilot.
Prinzip: Der Hersteller oder Händler registriert die Hardware-Hash-ID des Geräts im Autopilot-Dienst. Wenn der Mitarbeiter das Gerät zum ersten Mal einschaltet, verbindet es sich automatisch mit Intune, konfiguriert sich selbst und ist nach 30–45 Minuten vollständig eingerichtet – ohne dass du es auch nur anrühren musst.
Was du vorbereiten musst:
- Gerät im Microsoft Endpoint Manager (Intune) als Autopilot-Gerät registrieren
- Deployment Profile erstellen (OOBE-Konfiguration, Benutzer oder Selbstbereitstellung)
- Konfigurationsprofile und App-Assignments zuweisen
Mehr dazu auf der Seite Intune – Grundlagen.
Troubleshooting
Domain-Join schlägt fehl
| Fehlermeldung | Wahrscheinliche Ursache | Lösung |
|---|---|---|
| „Der Domänenname existiert nicht” | DNS löst DC nicht auf | Primären DNS auf DC-IP setzen, Resolve-DnsName firma.ch testen |
| „Die Anmeldeinformationen sind falsch” | Falsches Join-Konto oder Passwort | Konto in ADUC prüfen, Passwort zurücksetzen |
| „Zugriff verweigert” | Zu wenig Rechte für den Domain-Join | Domänenadmin nutzen oder OU-Berechtigungen prüfen (KB5020276) |
| „Der Computer konnte der Domäne nicht beitreten” | Computerkonto-Limit erreicht (Standard: 10 pro User) | Limit erhöhen oder Computerkonto vorab anlegen |
Vertrauensbeziehung zwischen Workstation und Domäne fehlgeschlagen
Dieser Fehler erscheint, wenn das Maschinenkennwort nicht mehr mit dem DC synchron ist (z.B. nach einem langen Offline-Betrieb oder einem Snapshot-Rollback bei VMs):
# Sicheren Kanal testen
Test-ComputerSecureChannel
# Sicheren Kanal reparieren (als lokaler Admin, nicht als Domain-User!)
Test-ComputerSecureChannel -Repair -Credential (Get-Credential "FIRMA\Admin")
# Falls das nicht reicht: Maschinenkennwort zurücksetzen
Reset-ComputerMachinePassword -Credential (Get-Credential "FIRMA\Admin")
Restart-Computer -Force
GPOs werden nicht angewendet
# GPO-Update erzwingen
gpupdate /force
# Detaillierten GPO-Report als HTML generieren
gpresult /h C:\Temp\gpo-report.html
# Dann C:\Temp\gpo-report.html im Browser öffnen
# Prüfen, welche GPOs angewendet wurden (Kurzfassung)
gpresult /r
Häufige Ursachen: PC liegt in der falschen OU, DNS-Problem, Domänencontroller nicht erreichbar.
Aktivierungsprobleme nach Domain-Join
In vielen Firmen läuft ein KMS-Server oder Active Directory Based Activation (ADBA). Die Aktivierung geschieht automatisch nach dem Domain-Join. Falls nicht:
# Aktivierungsstatus prüfen
slmgr /xpr
# KMS-Server manuell ansprechen
slmgr /skms kms-server.firma.ch
slmgr /ato
# ADBA erzwingen
cscript C:\Windows\system32\slmgr.vbs /ato
Checkliste: Workstation Deployment
[ ] USB-Stick mit aktuellem Windows 11 Media Creation Tool erstellt
[ ] Windows 11 Pro (nicht Home!) installiert
[ ] Alle Windows Updates installiert (mehrmals prüfen)
[ ] Treiber vollständig (kein gelbes Ausrufezeichen im Geräte-Manager)
[ ] Hostname korrekt gesetzt (Namenskonvention beachten)
[ ] Primärer DNS: interner DNS-Server / Domain Controller
[ ] Domänenbeitritt erfolgreich, PC in richtiger OU
[ ] Test-ComputerSecureChannel gibt True zurück
[ ] gpupdate /force, gpresult /r – GPOs greifen
[ ] Netzlaufwerke und Drucker erscheinen nach User-Login
[ ] Antivirus/EDR installiert und aktiv
[ ] Windows-Aktivierung erfolgreich (slmgr /xpr)
[ ] Lokales Admin-Konto deaktiviert (ausser Notfall-Account)
[ ] Übergabe an User, erster Login getestet
Weiterlernen
- Hinzufügen eines Computers zu einer Domäne – Microsoft Learn
- Windows 11 Installationsmedien erstellen – Microsoft Support
- Sysprep (Systemvorbereitung) – Übersicht – Microsoft Learn
- Windows Autopilot – Übersicht – Microsoft Learn
- Active Directory-Domänenbeitrittberechtigungen – Microsoft Learn
- KB5020276 – Netjoin Domain Join Hardening – Microsoft Support
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …