Хотелось бы поделиться новой возможностью появившейся с выходом Windows 7 и Windows Server 2008 R2. В оригинале называется она – “offline domain join”. Спорить как правильно перевести на родной язык данный термин можно долго. Я остановился на варианте “автономный ввод в домен”. В чем суть? Она проста. Если при введении предыдущих версий ОС в домен вам было необходимо иметь сетевое соединение с контроллером домена, то при вводе Windows 7/2008R2 это не обязательно. Сфера применения данной возможности мне пока ясна не до конца, если у вас есть мысли прошу поделиться в комментариях. Будем считать, что вы администрируете два леса Active Directory не связанных между собой. Перед вами стоит задача настроить рабочую станцию, отправить ее в другой филиал и соответственно в другой лес AD. И естественно вы хотите сделать так, чтобы по приезду в место назначения этот компьютер можно было подключить в сеть и начать работать.
Важно: Для использования “offline domain join” не нужно поднимать режим работы домена или леса. Более того, не нужно иметь контроллеры домена Windows 2008 или 2008R2. Для “Автономного ввода в домен” используется утилита “djoin”, которая присутствует в Windows 7/2008R2. Т.е достаточно хотя бы одного компьютера Windows 7/2008R2 работающего в домене назначения.
Логика работы “Автономного ввода в домен”
1. На любом контроллере Windows 2008R2 или клиентском Windows 7 в домене назначения запускаем утилиту “djoin” со следующими ключами:
djoin /provision /domain itband.ru /machine Win7-PC /dcname DC-SQL2005 /downlevel /savefile C:\blob.txt
itband.ru – имя вашего домена
Win7-PC – имя клиентского компьютера который должен автономно войти в домен
DC-SQL2005 – имя контроллера домена
/downlevel – ключ указывается если у вас контроллер домена Windows Server 2003
C:\blob.txt – путь к файлу с метаданными
После ввода данной команды формируется текстовый файл содержащий необходимые данные для того, чтобы компьютер мог войти в домен (информация о имени домена, контроллера домена, SID домена и.т.д). Плюс к этому в Active Directory создается объект компьютер для будущего клиента. Файл в кодировке base64. Подробней о данном файле.
Рис.1 Первый шаг, использование Djoin
2. Вторым шагом необходимо доставить данный файл blob.txt на компьютер который должен автономно войти в домен. Какими средствами вы это сделаете зависит от вас. Хоть по почте пересылайте.
3. Доставив данный файл на клиентский компьютер, необходимо запустить командную строку и выполнить “djoin” со следующими ключами:
djoin /requestODJ /loadfile C:\blob.txt /windowspath %SystemRoot% /localos
Произойдет импортирование данных из файла в директорию Windows. Теперь при следующей загрузке операционной системы и доступности контроллера у вас будет возможность войти в домен Active Directory.
Рис.2 Третий шаг, использование Djoin
С одной стороны функционал более чем интересный, с другой появляется гипотетическая возможность того, что кто то сможет перехватить или завладеть таким файлом “Приглашением” и включить свой компьютер в домен не имея никаких на это прав. Или это просто паранойя.)
На текущий момент информации по “offline domain join” очень мало. В частности я не смог найти есть ли какой-то срок жизни у такого файла-приглашения. Хотя если рассуждать логически, можно предположить, что он (срок жизни) равен сроку жизни пароля объекта компьютер. Оригинальная информация на английском языке.
MCT Илья Рудь
Возможно и хорошая вещь, ради развития – Спасибо.
Но использовать…. нет таких задач.
Я такой функционал называю – “мелочь, а приятно” 🙂
например ПК собирается и установливается ОС и приложения в третьем месте где нет домена, а он нужен уже готовый
Ну вот я тоже вижу только такой вариант.
Мда…в 2003 тоже можно сделать. Включить кэширование акков.И еще какой-то пункт(копайте блин АД)
В данный момент у меня все пашет и без КД(часто отрубается из-за отрубления эл-ва)
Я думаю, что DirectAccess Offline Domain Join это единственный стоящий вариант. Есть задачка: Необходимо подключить удаленных сотрудников которые имеют ноутбук. Может быть еще если машина потеряла домен где ни-будь за тысячи километров от ближайшего офиса.
http://technet.microsoft.com/en-us/library/jj574150.aspx
Вот и пригодилось!!!! Ура!!! Компьютер домой забирал переустанавливать винду.