Windows Server 2008 R2 离线加域分析

在测试环境中我准备了3台Windows Servre 2008 R2
1、DC（IP：192.168.1.2）
2、中间机器（SCVMM2008）【用来操作离线加域的机器】
3、目标机器（HypervServer）【离线加域的测试机】

首先，DC可以是Windows 2003或Windows 2008；但中间机器必须是Windows Server 2008R2或Winodws 7;
命令是：djoin，详细命令行解释如下：

我们在中间机器上执行离线加域命令：
 
在离线加域的过程中会生产一个加密的配置文件，它将用于目标机器的离线加域，我们用记事本打开查看如下(那位大侠解个密)：

在中间机器上执行完离线加域命令之后，我们打开域控，可以发现HypervServer 的信息已经在AD用户和计算机MSC中：
 
通过AD编辑器，我们可以发现，加域的过程，已经为HypervServer分配了SID：
 
呵呵，我们在这里核对一下HypervServer离线加域的时间：
 
接下来我们将之前生成的加密文件拷贝到目标机器上，然后把网卡给禁用了：
 
在命令行中执行以下命令：
 
在下面目录我们可以找加域的日志NetSetup.Log:
 
检查日志内容，如下： 
 
加域成功：

重启之后，保持断网的状态，使用域管理员登陆：

 
很明显，那个加密的文件，只是保存了加域过程所需要用的信息，并没有保存任何的账户信息。

 

综述：

离线加域实际上是将加域过程分解成了两段：
1、由域中的一台机器（可以是客户端也可以是域控），来完成机器在域中信息的添加，并将过程信息保存在加密文件中。完成该过程之后，需要离线加域的机器，实际上已经完成了再域中的信息加载
2、需要离线加域的机器，通过加载加域过程信息的加密文件，完成加密过程。不过由于没有域中其他的信息，实际上有很多和域帐户相关的操作是根本没有办法做的。。。。（也就是说，你加域之后还是可以用本地帐户，实在的说，俺暂时没有想到离线加域的实际意义。。。域帐户根本就没法用嘛~）