很多企业用户在使用Windows Server 2008 R2的时候都会遇到一些需要离线加域的情况,这是Windows Server 2008 R2基于Windows 7特有的新功能。下面就向大家详细介绍如何才能做到离线或者脱机加域。
一、离线加入域概述
离线加入域或脱机加入域是Windows Server 2008 R2和Windows 7带来的新特性,它将允许Windows Server 2008 R2或Windows 7的计算机无需连接域控制器,就可以将计算机加入到域环境中,特别是在部署大规模的域环境时,显得尤为便捷。
1. 向活动目录提供一个计算机账号,相关加入域的信息经过加密存储在一个基于base64编码的二进制文件中,这个文件需要在目标计算机中导入。
2. 目标计算机使用生成的配置文件配置本地系统,加入域。
3. 重新启动目标计算机完成加入域的操作,如果需要登录域,此时需要与DC进行通信。
二、功能需求
操作系统需求
离线加入域功能只能在Windows Server 2008 R2或Windows 7上使用,因为该功能需要使用Djoin.exe命令,并且使用时默认指向Windows Server 2008 R2的域控制器。
注意:如果当前使用的域控制器是Windows Server 2008 R2以下级别的操作系统,可以在一台安装有Windows Server 2008 R2或Windows 7的计算机中使用具有Domain Admins权限的账户生成计算机账户信息。
用户凭据需求
离线加入域同样需要操作用户拥有Domain admins权限。不过也可以通过组策略,授予Domain users用户相应的权限。
通过组策略进行授权:
打开组策略管理控制台,可以创建一条名为【允许计算机加域用户组】的策略,并且编辑它。依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【本地策略】-【用户权限分配】,选择【将工作站添加到域】,定义该策略,添加授权用户。如图1
三、离线加入域过程
1.使用Djoin命令生成配置文件
在Windows Server 2008 R2或Windows中,使用具有将计算机加入域权限的用户登录,打开命令行。
可以先键入Djoin / ?进行命令语法的查询,如图2
图2
参照示例,可以这样写:Djoin /PROVISION /DOMAIN Contoso.com /MACHINE WIN7 /SAVEFILE C:\WIN7.TXT
注意:如果域内域控制器版本低于Windows Server 2008 R2,需要添加/DOWNLEVEL参数。
其中/MACHINE后面指定的计算机名必须和需要离线加入域的计算机名一致,否则操作将失败。图3为操作成功内容。
图3#p#
这时,观察活动目录中,win7这台计算机已经被成功加入,打开属性发现,因为它并没有于域控制器进行通信,所以还无法得知加入计算机的相关信息。如图4
图4
2. 在目标计算机上导入配置文件
在目标计算机中,先将之前获取的配置文件使用存储介质或其他方法转移到目标计算机磁盘中。然后使用管理员权限运行命令提示符,根据Djoin的帮助命令,这里要键入:
Djoin /REQUESTODJ /LOADFILE C:\WIN7.TXT /WINDOWSPATH C:\WINDOWS /LOCALOS
图5为已经成功导入配置文件信息,但此时该计算机并没有正式加入到域中,只是修改了计算机全名。
3. 重启目标计算机
在将目标计算机重启后,此时它如果想登陆到域中,需要接入到企业内网中来,并且可以与域控制器进行通信。因为它只是使用离线加域的方式加入到域,并没有缓存登陆域账户信息,所以无法直接使用域账户进行登陆。
在正常使用域账户登陆后,可以发现win7这台计算机已经正式属于Contoso.com这个域,并且活动目录中,关于这台计算机的相关信息也已经补全。如图6
图6
经过一番折腾,小赵将离线加域配置文件制作成批处理发送给陈总后,嘱咐陈总运行一下,等到陈总出差回来,就可以直接使用使用域内资源而不用配置了。小赵正乐呢,经理走过来说:还有20个台式机呢。小赵听了,灵机一动,想到在Windows Server 2008 R2中无人值守安装文件里多了一个组件,叫做:Microsoft-Windows-UnattendJoin/Identification/Provisioning,它可以在安装操作系统之后的初始启动过程中加入域,而不需要另外重新启动,缩短了部署时间。
组件结构如下:
- <Component>
- <Component name=Microsoft-Windows-UnattendedJoin>
- <Identification>
- <Provisioning>
- <AccountData>Base64二进制代码</AccountData>
- </Provisioning>
- </Identification>
- </Component>
其中, <AccountData> </AccountData>中间值即为申请离线加域的二进制加密信息。
下面是无人值守文件的示例:
- - <componentnamecomponentname="Microsoft-Windows-UnattendedJoin"
processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
language="neutral" versionScope="nonSxS" xmlns:wcm=
"http://schemas.microsoft.com/WMIConfig/2002/State"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">- - <Identification>
- - <Credentials>
- <Domain>contoso</Domain>
- <Password>38277842</Password>
- <Username>user1</Username>
- </Credentials>
- - <Provisioning>
- <AccountData>
- </AccountData>
- </Provisioning>
- <JoinDomain>contoso</JoinDomain>
- </Identification>
- </component>
结束语:本文主要针对Windows Server 2008 R2平台内新提供的离线加入域功能进行了详细的描述。想必各位已经迫不及待的想去尝试一下了,不过Windows Server 2008 R2带来的改变不仅仅如此,还有像Active Directory回收站、Server Core的强化、IIS7.5、HYPER-V 2.0等等,还有和Windows 7配合使用的Direct Access、BranchCache等关键技术确实有助于企业IT部门满足他们的业务创新需求,助力企业快速发展。
【编辑推荐】
