Windows Server 2008 R2如何進行離線域添加
很多企業用戶在使用Windows Server 2008 R2的時候都會遇到一些需要離線加域的情況,這是Windows Server 2008 R2基于Windows 7特有的新功能。下面就向大家詳細介紹如何才能做到離線或者脫機加域。
一、離線加入域概述
離線加入域或脫機加入域是Windows Server 2008 R2和Windows 7帶來的新特性,它將允許Windows Server 2008 R2或Windows 7的計算機無需連接域控制器,就可以將計算機加入到域環境中,特別是在部署大規模的域環境時,顯得尤為便捷。
1. 向活動目錄提供一個計算機賬號,相關加入域的信息經過加密存儲在一個基于base64編碼的二進制文件中,這個文件需要在目標計算機中導入。
2. 目標計算機使用生成的配置文件配置本地系統,加入域。
3. 重新啟動目標計算機完成加入域的操作,如果需要登錄域,此時需要與DC進行通信。
二、功能需求
操作系統需求
離線加入域功能只能在Windows Server 2008 R2或Windows 7上使用,因為該功能需要使用Djoin.exe命令,并且使用時默認指向Windows Server 2008 R2的域控制器。
注意:如果當前使用的域控制器是Windows Server 2008 R2以下級別的操作系統,可以在一臺安裝有Windows Server 2008 R2或Windows 7的計算機中使用具有Domain Admins權限的賬戶生成計算機賬戶信息。
用戶憑據需求
離線加入域同樣需要操作用戶擁有Domain admins權限。不過也可以通過組策略,授予Domain users用戶相應的權限。
通過組策略進行授權:
打開組策略管理控制臺,可以創建一條名為【允許計算機加域用戶組】的策略,并且編輯它。依次展開【計算機配置】-【策略】-【Windows 設置】-【安全設置】-【本地策略】-【用戶權限分配】,選擇【將工作站添加到域】,定義該策略,添加授權用戶。如圖1
三、離線加入域過程
1.使用Djoin命令生成配置文件
在Windows Server 2008 R2或Windows中,使用具有將計算機加入域權限的用戶登錄,打開命令行。
可以先鍵入Djoin / ?進行命令語法的查詢,如圖2
圖2
參照示例,可以這樣寫:Djoin /PROVISION /DOMAIN Contoso.com /MACHINE WIN7 /SAVEFILE C:\WIN7.TXT
注意:如果域內域控制器版本低于Windows Server 2008 R2,需要添加/DOWNLEVEL參數。
其中/MACHINE后面指定的計算機名必須和需要離線加入域的計算機名一致,否則操作將失敗。圖3為操作成功內容。
圖3#p#
這時,觀察活動目錄中,win7這臺計算機已經被成功加入,打開屬性發現,因為它并沒有于域控制器進行通信,所以還無法得知加入計算機的相關信息。如圖4
圖4
2. 在目標計算機上導入配置文件
在目標計算機中,先將之前獲取的配置文件使用存儲介質或其他方法轉移到目標計算機磁盤中。然后使用管理員權限運行命令提示符,根據Djoin的幫助命令,這里要鍵入:
Djoin /REQUESTODJ /LOADFILE C:\WIN7.TXT /WINDOWSPATH C:\WINDOWS /LOCALOS
圖5為已經成功導入配置文件信息,但此時該計算機并沒有正式加入到域中,只是修改了計算機全名。
3. 重啟目標計算機
在將目標計算機重啟后,此時它如果想登陸到域中,需要接入到企業內網中來,并且可以與域控制器進行通信。因為它只是使用離線加域的方式加入到域,并沒有緩存登陸域賬戶信息,所以無法直接使用域賬戶進行登陸。
在正常使用域賬戶登陸后,可以發現win7這臺計算機已經正式屬于Contoso.com這個域,并且活動目錄中,關于這臺計算機的相關信息也已經補全。如圖6
圖6
經過一番折騰,小趙將離線加域配置文件制作成批處理發送給陳總后,囑咐陳總運行一下,等到陳總出差回來,就可以直接使用使用域內資源而不用配置了。小趙正樂呢,經理走過來說:還有20個臺式機呢。小趙聽了,靈機一動,想到在Windows Server 2008 R2中無人值守安裝文件里多了一個組件,叫做:Microsoft-Windows-UnattendJoin/Identification/Provisioning,它可以在安裝操作系統之后的初始啟動過程中加入域,而不需要另外重新啟動,縮短了部署時間。
組件結構如下:
- <Component>
- <Component name=Microsoft-Windows-UnattendedJoin>
- <Identification>
- <Provisioning>
- <AccountData>Base64二進制代碼</AccountData>
- </Provisioning>
- </Identification>
- </Component>
其中, <AccountData> </AccountData>中間值即為申請離線加域的二進制加密信息。
下面是無人值守文件的示例:
- - <componentnamecomponentname="Microsoft-Windows-UnattendedJoin"
processorArchitecture="x86" publicKeyToken="31bf3856ad364e35"
language="neutral" versionScope="nonSxS" xmlns:wcm=
"http://schemas.microsoft.com/WMIConfig/2002/State"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">- - <Identification>
- - <Credentials>
- <Domain>contoso</Domain>
- <Password>38277842</Password>
- <Username>user1</Username>
- </Credentials>
- - <Provisioning>
- <AccountData>
- </AccountData>
- </Provisioning>
- <JoinDomain>contoso</JoinDomain>
- </Identification>
- </component>
結束語:本文主要針對Windows Server 2008 R2平臺內新提供的離線加入域功能進行了詳細的描述。想必各位已經迫不及待的想去嘗試一下了,不過Windows Server 2008 R2帶來的改變不僅僅如此,還有像Active Directory回收站、Server Core的強化、IIS7.5、HYPER-V 2.0等等,還有和Windows 7配合使用的Direct Access、BranchCache等關鍵技術確實有助于企業IT部門滿足他們的業務創新需求,助力企業快速發展。
【編輯推薦】
