离线加入域(Offline Join Domain)作为Windows Server 2008 R2新功能之一,它为企业提供以下好处:
1、减少了数据中心的TCO
2、使企业部署更加快捷
一、必要条件
支持Windows Server 2008 R2和Windows 7
二、用户凭据要求
安装的用户必须有增加工作站到域的权限。一般来说,我们可以使用Domain ADMINS组用户即可,也可以委托权限级某一用户。
以下是授权一般用户USER001增加工作站到域的权限的示例。完成这一操作有两种方法
1、使用组策略进行授权
打开组策略管理控制台(GPMC.MSC),选择Default Domain Controler Policy进行编辑。
打开Computer Configuration,选择Polices,Windows Settings,Local Policies,选择Add workstaions to domain,进行如下设置
同时为了进行测试设置是否正确,授予USER001“Allow log on locally”权限。如下图
2、使用LDP.EXE进行授权
运行LDP.EXE,选择Connection,选择BIND,选择View菜单中的 Tree ,BASECN选择DC=HBYCRSJ,DC=COM
选择Add ACE
设置完成后,我们可以以在DC上以USER001用户登录,打开活动目录用户和计算机,在Computers容器随便建立一个计算机,测试能成功。
三、域控制器操作
假设我们要将一台Windows 7的客户端离线加入到域,计算机名为Win200701
在服务器运行如下命令:
DJoin命令帮助
用法: djoin.exe [/OPTIONS]
/PROVISION - 在域中设置计算机帐户
/DOMAIN <Name> - 要加入域的 <Name>
/MACHINE <Name> - 加入域的计算机的 <Name>
/MACHINEOU <OU> - 创建帐户的可选 <OU>
/DCNAME <DC> - 用于创建帐户的可选 <DC>
/REUSE - 重复使用任何现有帐户(将重置密码)
/SAVEFILE <FilePath> - 将设置数据保存到文件,位置是 <FilePath>
/NOSEARCH - 跳过帐户冲突检测,要求有 DCNAME (更快)
/DOWNLEVEL - 支持使用 Windows Server 2008 DC 或更早版本
/PRINTBLOB - 返回答案文件的 base64 编码的元数据 blob
/DEFPWD - 使用默认的计算机帐户密码(不推荐使用)
/REQUESTODJ - 请求在下次启动时脱机加入域
/LOADFILE <FilePath> - 以前通过 /SAVEFILE 指定的 <FilePath>
/WINDOWSPATH <Path> - 指向脱机映像的 Windows 目录的 <Path>
/LOCALOS - 允许 /WINDOWSPATH 指定本地运行的操作系统
必须以本地管理员身份运行此命令。
需要重新启动此选项才能应用更改。
示例:
在域中设置计算机帐户:
djoin.exe /PROVISION /DOMAIN <DomainName> /MACHINE <MachineName>
/SAVEFILE <FilePath>
注意: 其他参数为可选参数
请求本地计算机执行脱机加入域:
djoin.exe /REQUESTODJ /LOADFILE <FilePath> /WINDOWSPATH <Path>
注意: 其他参数为可选参数
将C:\WIN200701.TXT文件通过网络(或移动设备)复制到计算机Win200701上
四、客户端操作
以管理员权限找开命令提示符,运行
djoin.exe /REQUESTODJ /LOADFILE c:\win200701.txt /WINDOWSPATH c:\windows
重启计算机后,计算机将加入到域
五、使用无人职守文件离线加入到域
首先用djoin产生计算机帐号数据元,然后建立无人职守文件unattend.xml,添加如下信息
<Component>
<Component name=Microsoft-Windows-UnattendedJoin>
<Identification>
<Provisioning>
<AccountData>Base64Encoded Blob</AccountData>
</Provisioning>
</Identification>
</Component>
其中<AccountData>Base64Encoded Blob</AccountData>中间包含计算机帐号数据元,即使用djoin产生的数据,即上面的win200701.txt文件的内容。
然后启动计算机到安装模式,或启动到windows pe,运行
setup /unattend:无人职守文件
以下是无人职守文件的示例:
- <component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm=" http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi=" http://www.w3.org/2001/XMLSchema-instance">
- <Identification>
- <Credentials>
<Domain>hbycrsj</Domain>
<Password>3228272</Password>
<Username>bill.xu</Username>
</Credentials>
- <Provisioning>
<AccountData>ARAIAMzMzMyQAwAAAAAAAAAA AgABAAAAAQAAAAQAAgABAAAA AQAAAGgDAAAIAAIAaAMAAAEQ CADMzMzMWAMAAAAAAAAAAAIA BAACAAgAAgAMAAIADgAQABAA AgAWABgAFAACABYAGAAYAAIA CnsCBQeui0WCXKbm8zXHzRwA AgAgAAIAJAACAAEAAAAKewIF B66LRYJcpubzNcfNKAACACwA AgD9MwDgMAACADQAAgAAAAAA CAAAAAAAAAAIAAAASABCAFkA QwBSAFMASgAAAAoAAAAAAAAA CgAAAFcASQBOADIAMAAwADcA MAAxAAAAeQAAAAAAAAB5AAAA bwBOADUAYABgADkAcwBqAFIA YQBYAHkAawBRAE4ANgAoAG4A OQAzAFQASQBvAFcAbgBKADEA IQAvACkAJAB5AEgAIQAiAEYA LgA2AFkAMgAqAGwAawB3AEQA dQBfAGoARgBuAGUAZABoAHoA bABTAFkAVQBUAGUAUQBtAG8A SABEAFYASgBdAEYANQBFAFwA UQA2AFsAIwA/ACQAcgBEAD0AYgAxACwAYQAw ACAAWABNAC4AQABeAFQAdQA3 AC0AIwBjAFIAZwBxACEATQBL AFYAQQBsAGUAcwBfAFYAYQBy AEEALwA/AEoAXQAwADgAAAAAAAgAAAAA AAAABwAAAEgAQgBZAEMAUgBT AEoAAAAMAAAAAAAAAAsAAABI AEIAWQBDAFIAUwBKAC4AQwBP AE0AAAAMAAAAAAAAAAsAAABI AEIAWQBDAFIAUwBKAC4AQwBP AE0AAAAEAAAAAQQAAAAAAAUV AAAANWK0Jw1fQz9y6uGlGgAA AAAAAAAaAAAAXABcAFcASQBO ADIAMAAwADgAUgAyAEUATgAu AEgAQgBZAEMAUgBTAEoALgBD AE8ATQAAAA8AAAAAAAAADwAA AFwAXAAxADkAMgAuADEANgA4 AC4AMQAuADEAMwAAAAAADAAA AAAAAAAMAAAASABCAFkAQwBS AFMASgAuAEMATwBNAAAADAAA AAAAAAAMAAAASABCAFkAQwBS AFMASgAuAEMATwBNAAAAGAAA AAAAAAAYAAAARABlAGYAYQB1 AGwAdAAtAEYAaQByAHMAdAAt AFMAaQB0AGUALQBOAGEAbQBl AAAAGAAAAAAAAAAYAAAARABl AGYAYQB1AGwAdAAtAEYAaQBy AHMAdAAtAFMAaQB0AGUALQBO AGEAbQBlAAAAAAAAAA==</AccountData>
</Provisioning>
<JoinDomain>hbycrsj</JoinDomain>
</Identification>
</component