windows server 2008 R2 活动目录新特性之离线加入域

一 概述

  在之前的Windows Server环境中，计算机需要在有网络连接的情况下才能加入域，并且加入域后还需要重启。在Windows Server 2008 R2中增加了离线加域功能，可以在域中预先准备好计算机帐户，添加帐户的时候不需要网络连接，计算机在最初启动的过程中就会自动加入到域，不需要重启，这样大大减少了将计算机加入到域的步骤和时间。

实现必要条件：DC是windows2008R2或以上，客户端是windows7或以上。

它为企业提供以下好处：

1、减少了数据中心的TCO

2、使企业部署更加快捷

  离线加入域或脱机加入域是Windows Server 2008 R2和Windows 7带来的新特性，它将允许Windows Server 2008 R2或Windows 7的计算机无需连接域控制器，就可以将计算机加入到域环境中，特别是在部署大规模的域环境时，显得尤为便捷。

步骤：

1. 向活动目录提供一个计算机账号，相关加入域的信息经过加密存储在一个基于base64编码的二进制文件中，这个文件需要在目标计算机中导入。

2. 目标计算机使用生成的配置文件配置本地系统，加入域。

3. 重新启动目标计算机完成加入域的操作，如果需要登录域，此时需要与DC进行通信。

二 用户凭据要求

  安装的用户必须有增加工作站到域的权限。

一般来说，我们可以使用Domain ADMINS组用户即可，也可以委托权限级某一用户。以下是授权一般用户domain users 增加工作站到域的权限的示例。

完成这一操作有两种方法

1、使用组策略进行授权

打开组策略管理控制台，创建一条名为allow domain users join domain的策略，并且编辑它。

依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【本地策略】-【用户权限分配】，选择【将工作站添加到域】，定义该策略，添加授权用户。如图1

2、使用LDP.EXE进行授权

运行LDP.EXE，选择"连接"，输入服务器IP地址，其它保持默认，点确定。如下图：

用登录的账号绑定，"连接”-“绑定”如图：

选择查看菜单中的 树 ,BASECN选择DC=contoso,DC=COM

 

 

 

 

 

点击“add ace”

输入被信任对象：contoso\domain users.完成设置。

三 域控制器上（2008 R2)或WIN7上操作

首先了解DJOIN命令：

DJoin命令帮助

用法: djoin.exe [/OPTIONS]

/PROVISION - 在域中设置计算机帐户

/DOMAIN <Name> - 要加入域的 <Name>

/MACHINE <Name> - 加入域的计算机的 <Name>

/MACHINEOU <OU> - 创建帐户的可选 <OU>

/DCNAME <DC> - 用于创建帐户的可选 <DC>

/REUSE - 重复使用任何现有帐户(将重置密码)

/SAVEFILE <FilePath> - 将设置数据保存到文件，位置是 <FilePath>

/NOSEARCH - 跳过帐户冲突检测，要求有 DCNAME (更快)

/DOWNLEVEL - 支持使用 Windows Server 2008 DC 或更早版本

/PRINTBLOB - 返回答案文件的 base64 编码的元数据 blob

/DEFPWD - 使用默认的计算机帐户密码(不推荐使用)

/REQUESTODJ - 请求在下次启动时脱机加入域

/LOADFILE <FilePath> - 以前通过 /SAVEFILE 指定的 <FilePath>

/WINDOWSPATH <Path> - 指向脱机映像的 Windows 目录的 <Path>

/LOCALOS - 允许 /WINDOWSPATH 指定本地运行的操作系统

必须以本地管理员身份运行此命令。

需要重新启动此选项才能应用更改。

 

示例：加计算机名为WIN701到CONTOSO.COM域。

djoin /provision /domain contoso.com /machine win701 /savefile c:\offline\win701.txt

NOTE：c:\offline文件夹要先建好。否则会出现找不到路径的错误；

如果域内域控制器版本低于Windows Server 2008 R2，需要添加/DOWNLEVEL参数。

其中/MACHINE后面指定的计算机名必须和需要离线加入域的计算机名一致，否则操作将失败。

这时，观察活动目录中，win7这台计算机已经被成功加入，打开属性发现，因为它并没有于域控制器进行通信，所以还无法得知加入计算机的相关信息。如图

 

四 客户端操作

在网络上（或移动设备）复制域控制器上第三步生成的数据文件win701.txt到计算机Win701上，然后使用管理员权限运行命令提示符，根据Djoin的帮助命令，这里要键入：

djoin /requestodj /loadfile c:\win701.txt /windowspath c:\windows /localos

重启计算机，计算机将加入域。到此实验成功。

 

本文出自 “高松的学习和体验历程” 博客，转载请与作者联系！