我們都知道,部署活動目錄,無非搭建一臺或多臺DC,然後把其它的客戶端計算機或成員服務器全部加入域,但在windows2008SP2以前,客戶端加入域時,DC必須在線,而從2008R2開始我們已經可以做到讓客戶端離線加域了,即客戶加域時DC即使離線,我們照樣可以成功完成。
實現必要條件:DC是windows2008R2或以上,客戶端是windows7或以上。
離線加域包括兩個步驟:
1. 在Active Directory創建一個計算機賬戶,並將賬戶信息保存在文件中。
2. 將保存的文件導入到要實現離線加域的計算機中,使用命令模式調用該文件,實現計算機離線加域。
下面我們具體操作:
實驗環境:兩臺機器,一臺n1,windows2008R2,DC,域名net.com,另一臺是win7,工作組計算機。(圖略)
一、在DC上預創建計算機帳戶:
1. 在這裏我們直接以域管理員administrator的身份登錄到DC,利用命令完成計算機帳號的創建,如下圖所示:
分析:在這裏我們使用的是Djoin 命令,各位可以通過djoin/?來查看幫助,如上圖的兩個示例便是我們操作的兩條命令,其中第一條是DC上用於預創建計算機帳號並生成信息文件,而第二條示例便是在客戶端實現離線加域。
2. 查看新建的計算機帳號和帳號信息文件:
可以看到新建的計算機帳號是啓用狀態,並且生成的帳號信息文件是加密的。
3. 把生成的帳號信息文件拷貝到目標機或網絡上的共享位置。
4. 把DC離線(模擬)
二、在win7上實現離線加域:
1. 登錄到DC(用戶身份無所謂),如下圖所示完成加域操作:
如上圖,要以管理員的身份運行CMD,因爲默認的本地用戶以標準權限運行程序,在這裏進行權限提升。
如上圖,測試和DC聯繫不上,注意上面這條命令格式。
2. 完成後,重新啓用計算機,如下圖所示,可以看到已經成功加入到了域,並嘗試域用戶登錄域,如果此時DC仍未在線,當然無法登錄,只有DC在線,方可以成功登錄。因爲離線加域操作並未把域用戶的憑據信息保存到客戶端。
登錄成功後,如下圖,查看計算機的相關配置,成功完成。
至此實驗成功!
小結:離線加域的兩步操作中第一步其實只是在AD數據庫中預先創建一個計算機帳號,並把該計算機帳號的相關信息保存在一個文件中,第二步便是把該文件信息利用命令灌入客戶機,從而實現離線加域的目的。必須注意兩個問題:
1. 計算機名必須和第一步創建的計算機名同名。
2. 域或林的2008R2功能級別無所謂,只要滿足DC是2008R2,客戶端是windows7即可。