一 概述

  在之前的Windows Server环境中,计算机需要在有网络连接的情况下才能加入域,并且加入域后还需要重启。在Windows Server 2008 R2中增加了离线加域功能,可以在域中预先准备好计算机帐户,添加帐户的时候不需要网络连接,计算机在最初启动的过程中就会自动加入到域,不需要重启,这样大大减少了将计算机加入到域的步骤和时间。

实现必要条件:DC是windows2008R2或以上,客户端是windows7或以上。

它为企业提供以下好处:

1、减少了数据中心的TCO

2、使企业部署更加快捷

  离线加入域或脱机加入域是Windows Server 2008 R2和Windows 7带来的新特性,它将允许Windows Server 2008 R2或Windows 7的计算机无需连接域控制器,就可以将计算机加入到域环境中,特别是在部署大规模的域环境时,显得尤为便捷。

步骤:

1. 向活动目录提供一个计算机账号,相关加入域的信息经过加密存储在一个基于base64编码的二进制文件中,这个文件需要在目标计算机中导入。

2. 目标计算机使用生成的配置文件配置本地系统,加入域。

3. 重新启动目标计算机完成加入域的操作,如果需要登录域,此时需要与DC进行通信。

二 用户凭据要求

  安装的用户必须有增加工作站到域的权限。

一般来说,我们可以使用Domain ADMINS组用户即可,也可以委托权限级某一用户。以下是授权一般用户domain users 增加工作站到域的权限的示例。

完成这一操作有两种方法

1、使用组策略进行授权

打开组策略管理控制台,创建一条名为allow domain users join domain的策略,并且编辑它。

依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【本地策略】-【用户权限分配】,选择【将工作站添加到域】,定义该策略,添加授权用户。如图1

图1

2、使用LDP.EXE进行授权

运行LDP.EXE,选择"连接",输入服务器IP地址,其它保持默认,点确定。如下图:

a04

用登录的账号绑定,"连接”-“绑定”如图:

a05

选择查看菜单中的 树 ,BASECN选择DC=contoso,DC=COM

a06

a07

 

 

 

 

 

点击“add ace”

输入被信任对象:contoso\domain users.完成设置。

三 域控制器上(2008 R2)或WIN7上操作

首先了解DJOIN命令:

DJoin命令帮助

用法: djoin.exe [/OPTIONS]

/PROVISION - 在域中设置计算机帐户

/DOMAIN <Name> - 要加入域的 <Name>

/MACHINE <Name> - 加入域的计算机的 <Name>

/MACHINEOU <OU> - 创建帐户的可选 <OU>

/DCNAME <DC> - 用于创建帐户的可选 <DC>

/REUSE - 重复使用任何现有帐户(将重置密码)

/SAVEFILE <FilePath> - 将设置数据保存到文件,位置是 <FilePath>

/NOSEARCH - 跳过帐户冲突检测,要求有 DCNAME (更快)

/DOWNLEVEL - 支持使用 Windows Server 2008 DC 或更早版本

/PRINTBLOB - 返回答案文件的 base64 编码的元数据 blob

/DEFPWD - 使用默认的计算机帐户密码(不推荐使用)

/REQUESTODJ - 请求在下次启动时脱机加入域

/LOADFILE <FilePath> - 以前通过 /SAVEFILE 指定的 <FilePath>

/WINDOWSPATH <Path> - 指向脱机映像的 Windows 目录的 <Path>

/LOCALOS - 允许 /WINDOWSPATH 指定本地运行的操作系统

必须以本地管理员身份运行此命令。

需要重新启动此选项才能应用更改。

 

示例:加计算机名为WIN701到CONTOSO.COM域。

djoin /provision /domain contoso.com /machine win701 /savefile c:\offline\win701.txt

NOTE:c:\offline文件夹要先建好。否则会出现找不到路径的错误;

如果域内域控制器版本低于Windows Server 2008 R2,需要添加/DOWNLEVEL参数。

其中/MACHINE后面指定的计算机名必须和需要离线加入域的计算机名一致,否则操作将失败。

这时,观察活动目录中,win7这台计算机已经被成功加入,打开属性发现,因为它并没有于域控制器进行通信,所以还无法得知加入计算机的相关信息。如图

a08

 

四 客户端操作

在网络上(或移动设备)复制域控制器上第三步生成的数据文件win701.txt到计算机Win701上,然后使用管理员权限运行命令提示符,根据Djoin的帮助命令,这里要键入:

djoin /requestodj /loadfile c:\win701.txt /windowspath c:\windows /localos

重启计算机,计算机将加入域。到此实验成功。