Главная Windows Автономный ввод в домен Active Directory
  • Автономный ввод в домен Active Directory

    advancedsettings Хотелось бы поделиться новой возможностью появившейся с выходом Windows 7 и Windows Server 2008 R2. В оригинале называется она  – “offline domain join”. Спорить как правильно перевести на родной язык  данный термин можно долго. Я остановился на варианте “автономный ввод в домен”. В чем суть?  Она проста. Если при введении предыдущих версий ОС в домен вам было необходимо иметь сетевое соединение с контроллером домена, то при вводе Windows 7/2008R2  это не обязательно. Сфера применения данной возможности мне пока ясна не до конца, если у вас есть мысли прошу поделиться в комментариях. Будем считать, что вы администрируете два леса Active Directory не связанных между собой. Перед вами стоит задача настроить рабочую станцию, отправить ее в другой филиал и соответственно в другой лес AD. И естественно вы хотите сделать так, чтобы по приезду в место назначения этот компьютер можно было подключить в сеть и начать работать.

    Важно: Для использования “offline domain join” не нужно поднимать режим работы домена или леса. Более того, не нужно иметь контроллеры домена Windows 2008 или 2008R2. Для “Автономного ввода в домен” используется утилита “djoin”, которая присутствует в Windows 7/2008R2. Т.е достаточно хотя бы одного компьютера Windows 7/2008R2 работающего в домене назначения.

    Логика работы “Автономного ввода в домен”

    1. На любом контроллере Windows 2008R2 или клиентском Windows 7 в домене назначения запускаем утилиту “djoin” со следующими ключами:

    djoin /provision /domain itband.ru /machine Win7-PC /dcname DC-SQL2005  /downlevel    /savefile C:\blob.txt

    itband.ru  – имя вашего домена

    Win7-PC  – имя клиентского компьютера который должен автономно войти в домен

    DC-SQL2005 – имя контроллера домена

    /downlevel  – ключ указывается если у вас контроллер домена Windows Server 2003

    C:\blob.txt  – путь к файлу с метаданными

    После ввода данной команды формируется текстовый файл содержащий необходимые данные для того, чтобы компьютер мог войти в домен (информация о имени домена, контроллера домена, SID домена и.т.д). Плюс к этому в Active Directory создается объект компьютер для будущего клиента. Файл в кодировке base64. Подробней о данном файле.

    step1

    Рис.1  Первый шаг, использование Djoin

    2. Вторым шагом необходимо доставить данный файл blob.txt  на компьютер который должен автономно войти в домен. Какими средствами вы это сделаете зависит от вас. Хоть по почте пересылайте.

    3. Доставив данный файл на клиентский компьютер, необходимо запустить командную строку и выполнить “djoin” со следующими ключами:

    djoin /requestODJ /loadfile C:\blob.txt /windowspath %SystemRoot% /localos

    Произойдет импортирование данных из файла в директорию Windows. Теперь при следующей загрузке операционной системы и доступности контроллера у вас будет возможность войти в домен Active Directory.

    step 2

    Рис.2  Третий шаг, использование Djoin

    С одной стороны функционал более чем интересный, с другой появляется  гипотетическая возможность того, что кто то сможет перехватить или завладеть таким файлом “Приглашением” и включить свой компьютер в домен не имея никаких на это прав. Или это просто паранойя.)

    На текущий момент информации по “offline domain join” очень мало. В частности я не смог найти есть ли какой-то срок жизни у такого файла-приглашения. Хотя если рассуждать логически, можно предположить, что он (срок жизни) равен сроку жизни пароля объекта компьютер. Оригинальная информация на английском языке.

     

    MCT Илья Рудь

    • Рубрика: Windows
    • Автор: Илья Рудь
    • Дата: Sunday 07 Jun 2009

Комментарии

  1. Возможно и хорошая вещь, ради развития – Спасибо.
    Но использовать…. нет таких задач.

  2. Я такой функционал называю – “мелочь, а приятно” 🙂

  3. например ПК собирается и установливается ОС и приложения в третьем месте где нет домена, а он нужен уже готовый

  4. Ну вот я тоже вижу только такой вариант.

  5. Мда…в 2003 тоже можно сделать. Включить кэширование акков.И еще какой-то пункт(копайте блин АД)
    В данный момент у меня все пашет и без КД(часто отрубается из-за отрубления эл-ва)

  6. Я думаю, что DirectAccess Offline Domain Join это единственный стоящий вариант. Есть задачка: Необходимо подключить удаленных сотрудников которые имеют ноутбук. Может быть еще если машина потеряла домен где ни-будь за тысячи километров от ближайшего офиса.

    http://technet.microsoft.com/en-us/library/jj574150.aspx

  7. Вот и пригодилось!!!! Ура!!! Компьютер домой забирал переустанавливать винду.