自從Contoso公司將基礎架構平臺升級到Windows Server 2008 R2上之後,小趙就被其全新的特性完全吸引住了,正埋頭於電腦前研究呢, 經理路過說道:小趙呀,新到的20臺電腦,你給加到域裏吧,還有一個給陳總的筆記本,他着急要出差,加好域趕緊給他。小趙拍拍胸脯:沒問題。
沒想到小趙剛打開筆記本,準備折騰的時候,陳總的助理跑了過來,說陳總要走了,問筆記本配置好了嗎。小趙趕緊看了一眼計算機名稱,便遞給了助理,助理一愣:你都給弄完了?小趙狡黠的一笑:嘿嘿,我自有辦法。
其實小趙想:筆記本軟件都已經準備好了,就差加到域環境了,既然陳總着急,那就讓他拿走吧,正好可以試試Windows Server 2008 R2的新功能Offline Domain Join,嘿嘿。
一、 離線加入域概述
離線加入域或脫機加入域是Windows Server 2008 R2和Windows 7帶來的新特性,它將允許Windows Server 2008 R2或Windows 7的計算機無需連接域控制器,就可以將計算機加入到域環境中,特別是在部署大規模的域環境時,顯得尤爲便捷。
1. 向活動目錄提供一個計算機賬號,相關加入域的信息經過加密存儲在一個基於base64編碼的二進制文件中,這個文件需要在目標計算機中導入。
2. 目標計算機使用生成的配置文件配置本地系統,加入域。
3. 重新啓動目標計算機完成加入域的操作,如果需要登錄域,此時需要與DC進行通信。
二、 功能需求
" 操作系統需求
離線加入域功能只能在Windows Server 2008 R2或Windows 7上使用,因爲該功能需要使用Djoin.exe命令,並且使用時默認指向Windows Server 2008 R2的域控制器。
注意:如果當前使用的域控制器是Windows Server 2008 R2以下級別的操作系統,可以在一臺安裝有Windows Server 2008 R2或Windows 7的計算機中使用具有Domain Admins權限的賬戶生成計算機賬戶信息。
" 用戶憑據需求
離線加入域同樣需要操作用戶擁有Domain admins權限。不過也可以通過組策略,授予Domain users用戶相應的權限。
通過組策略進行授權:
打開組策略管理控制檯,可以創建一條名爲【允許計算機加域用戶組】的策略,並且編輯它。依次展開【計算機配置】-【策略】-【Windows 設置】-【安全設置】-【本地策略】-【用戶權限分配】,選擇【將工作站添加到域】,定義該策略,添加授權用戶。如圖1
圖1
三、 離線加入域過程
1. 使用Djoin命令生成配置文件
在Windows Server 2008 R2或Windows中,使用具有將計算機加入域權限的用戶登錄,打開命令行。
可以先鍵入Djoin / ?進行命令語法的查詢,如圖2
圖2
參照示例,可以這樣寫:Djoin /PROVISION /DOMAIN Contoso.com /MACHINE WIN7 /SAVEFILE C:\WIN7.TXT
注意:如果域內域控制器版本低於Windows Server 2008 R2,需要添加/DOWNLEVEL參數。
其中/MACHINE後面指定的計算機名必須和需要離線加入域的計算機名一致,否則操作將失敗。圖3爲操作成功內容。
圖3
這時,觀察活動目錄中,win7這臺計算機已經被成功加入,打開屬性發現,因爲它並沒有於域控制器進行通信,所以還無法得知加入計算機的相關信息。如圖4
圖4
2. 在目標計算機上導入配置文件
在目標計算機中,先將之前獲取的配置文件使用存儲介質或其他方法轉移到目標計算機磁盤中。然後使用管理員權限運行命令提示符,根據Djoin的幫助命令,這裏要鍵入:
Djoin /REQUESTODJ /LOADFILE C:\WIN7.TXT /WINDOWSPATH C:\WINDOWS /LOCALOS
圖5爲已經成功導入配置文件信息,但此時該計算機並沒有正式加入到域中,只是修改了計算機全名。
圖5
3. 重啓目標計算機
在將目標計算機重啓後,此時它如果想登陸到域中,需要接入到企業內網中來,並且可以與域控制器進行通信。因爲它只是使用離線加域的方式加入到域,並沒有緩存登陸域賬戶信息,所以無法直接使用域賬戶進行登陸。
在正常使用域賬戶登陸後,可以發現win7這臺計算機已經正式屬於Contoso.com這個域,並且活動目錄中,關於這臺計算機的相關信息也已經補全。如圖6
圖6
經過一番折騰,小趙將離線加域配置文件製作成批處理髮送給陳總後,囑咐陳總運行一下,等到陳總出差回來,就可以直接使用使用域內資源而不用配置了。小趙正樂呢,經理走過來說:還有20個臺式機呢。小趙聽了,靈機一動,想到在Windows Server 2008 R2中無人值守安裝文件裏多了一個組件,叫做:Microsoft-Windows-UnattendJoin/Identification/Provisioning,它可以在安裝操作系統之後的初始啓動過程中加入域,而不需要另外重新啓動,縮短了部署時間。
組件結構如下:
<Component>
<Component name=Microsoft-Windows-UnattendedJoin>
<Identification>
<Provisioning>
<AccountData>Base64二進制代碼</AccountData>
</Provisioning>
</Identification>
</Component>
其中, <AccountData> </AccountData>中間值即爲申請離線加域的二進制加密信息。
下面是無人值守文件的示例:
- <componentname="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <Identification>
- <Credentials>
<Domain>contoso</Domain>
<Password>38277842</Password>
<Username>user1</Username>
</Credentials>
- <Provisioning>
<AccountData>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</AccountData>
</Provisioning>
<JoinDomain>contoso</JoinDomain>
</Identification>
</component>
小趙依葫蘆畫瓢,迅速做好20個需要離線加域的Windows 7無人值守文件,並且使用setup /unattend: unattend.xml將20個臺式機裝好系統,只用了不到一天的時間,小趙就完成了這些往日需要很久才能完成的工作,一種成就感油然而生,不禁對Windows Server 2008 R2系統平臺更加着迷了。
結束語:本文主要針對Windows Server 2008 R2平臺內新提供的離線加入域功能進行了詳細的描述。想必各位已經迫不及待的想去嘗試一下了,不過Windows Server 2008 R2帶來的改變不僅僅如此,還有像Active Directory回收站、Server Core的強化、IIS7.5、HYPER-V 2.0等等,還有和Windows 7配合使用的Direct Access、BranchCache等關鍵技術確實有助於企業IT部門滿足他們的業務創新需求,助力企業快速發展。