脱机加入域是一个新进程,该进程将运行 Windows® 7 或 Windows Server 2008 R2 的计算机加入 Active Directory 域服务 (AD DS) 中的某个域,而不需要任何网络连接。此进程包括一个新命令行工具 Djoin.exe,可以使用该工具来实现脱机加入域。
脱机加入域有何功能?
可以使用脱机加入域将计算机加入某个域,而不需要通过网络连接域控制器。安装操作系统之后,可以在计算机首次启动时将其加入域。 不需要另外重新启动,即可实现加入域。 在诸如数据中心之类的场所中完成大规模计算机部署时,此功能有助于节省所需的时间和精力。
例如,组织可能需要在数据中心部署大量虚拟机。脱机加入域使虚拟机能够在安装操作系统之后的初始启动过程中加入域。 不需要另外重新启动,即可实现加入域。 这样可以显著减少大规模部署虚拟机所需的总时间。
加入域会在运行 Windows 操作系统的计算机与 Active Directory 域之间建立信任关系。此操作需要更改 AD DS 和加入域的计算机的状态。 在过去,若要使用以前版本的 Windows 操作系统完成加入域,加入域的计算机必须正在运行,并且拥有网络连接以连接域控制器。 脱机加入域相对于以前的要求提供了以下优势:
- 计算机不需要进行任何网络通信,即可完成 Active Directory 状态更改。
- 与域控制器之间不需要任何网络通信,即可完成计算机状态更改。
- 每个更改集可在不同的时间完成。
以下各部分说明了脱机加入域可以提供的一些优点。
降低数据中心的总拥有成本
脱机加入域能够减少每台服务器所需的启动时间和提高生产环境中的加入域操作的可靠性,从而降低计算机的总拥有成本。如今的数据中心通常拥有配置服务器,用于配置映像,然后将要部署的映像发送至生产计算机。 然后设置生产计算机、加入域并重新启动。 如果出现与加入域相关的任何问题(例如网络连接问题)或与所需服务器脱机相关的问题,则必须立刻诊断和解决这些问题。在这种情况下,脱机加入域通过在生产计算机的设置过程中配置加入域信息,可帮助避免生产计算机与域控制器之间的通信可能引起的问题。 由于去除了完成联机加入域所需的额外重新启动步骤,因此可以减少设置每台服务器的总时间。
改进了使用 RODC 执行加入域的体验
在 Windows Server 2008 中,提供了针对只读域控制器 (RODC) 执行加入域操作的机制。但是,针对 RODC 执行的加入域操作包含以下多个步骤:
- 在目录中预创建计算机帐户,并使用脚本设置一些附加属性。
- 如果需要,修改 RODC 的密码复制策略 (PRP) 以允许 RODC 缓存您要加入域的计算机的密码。
- 强制复制要加入域的计算机的机密。
- 将密码以脱机方式传递给要加入域的计算机。
- 运行指向 RODC 的自定义脚本以完成加入。
使用脱机加入域时,简化了针对 RODC 执行域加入操作的步骤,如下所示:
- 在 AD DS 中预创建帐户。
- 将要加入域的计算机需要使用的相关状态信息发送至文本文件。
- 计算机接受文本文件中的信息,然后在启动时加入域。
快速企业部署
使用部署工具(例如 Windows 系统映像管理器),可以通过在 Unattend.xml 文件中提供与加入域相关的信息,在操作系统安装过程中执行无人参与加入域。使用同一 Unattend.xml 文件,可以为运行 Windows 7 和 Windows Server 2008 R2 的计算机提供执行脱机加入域所需的信息。
否有其他特殊注意事项?
只能在运行 Windows 7 或 Windows Server 2008 R2 的计算机上运行 Djoin.exe。 运行 Djoin.exe 以将计算机帐户数据配置到 AD DS 中的计算机必须运行的是 Windows 7 或 Windows Server 2008 R2。 您希望加入域的计算机也必须运行 Windows 7 或 Windows Server 2008 R2。
默认情况下,Djoin.exe 命令指向运行 Windows Server 2008 R2 的域控制器。但是,如果您希望指向运行早于 Windows Server 2008 R2 版本的 Windows Server 的域控制器,则可以指定可选 /downlevel 参数。
若要执行脱机加入域,您必须拥有将工作站加入域所需的用户权限。默认情况下,Domain Admins 组的成员拥有将工作站加入域的用户权限。 如果您不是 Domain Admins 组的成员,则必须为您授予或委派这些用户权限。 有关如何委派这些用户权限的详细信息,请参阅“脱机加入域循序渐进指南”(http://go.microsoft.com/fwlink/?LinkId=134704)
32 位和 64 位版本中是否提供此功能?
Djoin.exe 包括在 Windows 7 和 Windows Server 2008 R2 中,并且在 32 位和 64 位版本中均可用。 但是,配置命令所产生的 64 位编码的 BLOB 是不依赖于架构的。 因此,可以在 32 位计算机或 64 位计算机上运行 Djoin.exe 以配置 AD DS 中的计算机帐户数据。 您可以在 32 位计算机或 64 位计算机上再次运行 Djoin.exe 以请求脱机加入域。
微软官方离线加入域文档:
http://technet.microsoft.com/en-us/library/dd392267(WS.10).aspx
接下来,我就带着大家先睹为快:
我的实验环境为windows server 2008 R2作为ADDS服务器,离线加入域的计算机也为windows server 2008 R2
离线加入域用户必须有增加工作站到域的权限,我们可以使用Domain ADMINS组用户,也可以委托权限级某一用户。
下面我来授权一般用户hanchunlong增加工作站到域的权限,2钟方法,大家随便选。
一种方法:组策略:
这种方法是大家常用也最简单的,第二种方法是使用LDP.EXE工具
大家在运行中打开ldp.exe之后,连接到本机(dc.conanhan.com),然后绑定选择,接着查看“树”,使用LDAP命名方式输入域名:
接着大家在“cn=computers,dc=conanhan,dc=com”节点中点击右键高级中的"安全描述符"
输入:cn=computers,dc=conanhan,dc=com
选择安全对象:账户组中的创建、删除子对象(用户),然后选择add ACE
接着大家对需要赋予权限的账户进行权限编辑,并进行更新。
以上2种方法是如何对账户进行权限添加。
好了,进入正题,接着让我们来看看如何进行离线加入域。
离线加域包括两个步骤:在第一个步骤中,在Active Directory设置一个计算机账户,并将账户信息保存在文件中;在第二个步骤中,将保存的文件导入到要实现离线加域的计算机中,使用命令模式调用文件,将计算机离线加域。
首先,我们用管理员账户登录AD服务器
打开命令提示符,创建一个Djoin文件(离线加入域文件)
使用的是Djoin命令
这次,我们将Djoin文件存入C盘根目录,以便将此文件发送给客户计算机。
这里大家可以看到下图,Djoin文件是加密的!!
大家同时也可以使用:DJOIN /Provision /Domain conanhan.com /Machine hanchunlong /SaveFile hanchunlong.DJoin来创建Djoin文件,并且通过type hanchunlong.Djoin查看加密文件。
然后我们打开ADUC,查看是否已经通过Djoin命令创建出计算机
接着,我们来到客户机计算机名,此时计算机是工作组环境。
然后我们配置好IP地址及DNS,使客户机能够解析到DC并且成功通信,配置好之后,我们再使用Djoin命令,将客户机离线加入到域中
最后,重启计算机,使之生效。
到此为止,给大家介绍了如果使用Djoin命令使计算机离线加入域,大家可以下来试试,也请大家如果有疑问,下面跟帖。
再次,给大家2个链接,上面有非常详细的资料:
http://technet.microsoft.com/zh-cn/library/dd391977(WS.10).aspx
http://technet.microsoft.com/en-us/library/dd392267(WS.10).aspx
本文出自 “conanhan的微软技术BLOG” 博客,转载请与作者联系!