Offline Domain Joins

Pokrótce przybliżę jedno ciekawe usprawnienie jakim przyszło mi się ostatnio posłużyć w celu przyłączania stacji roboczych do usługi katalogowej Active Directory. Mianowicie, zazwyczaj przyłączanie maszyn do AD nie stanowi większych problemów, jednakże sprawa się komplikuje w momencie, gdy nie mamy dostępu do kontrolera domeny.

W takim przypadku na ratunek przychodzi nam djoin. Jest to nic innego jak proste narzędzie dostępne dla systemów Windows 7 czy Windows Server 2008R2 wzwyż. Pozwala ono na utworzenie relacji zaufania pomiędzy stacją roboczą, a kontrolerem domeny bez konieczności zapewnienia łączności pomiędzy tymi dwoma maszynami.

Jak już wspomniałem w ramach przyłączania maszyny do AD występują dwa elementy: kontroler domeny i sama stacja robocza. Dlatego i tutaj całą procedura offlinowego przyłączania składa się z dwóch etapów.

Pierwszym z nich jest zastrzeżenie obiektu komputera w ramach usługi Active Directory. Możemy tego dokonać bezpośrednio na kontrolerze domeny lub na dowolnej maszynie będącej członkiem AD – warunek jaki musi być spełniony to posiadanie uprawnień do przyłączania stacji roboczych. Operacja ta może być wykonana z poziomu linii komend poniższym poleceniem:

djoin /provision /domain contoso.com /machine testowamaszyna /savefile D:\djoin.txt

W ramach niego wykorzystujemy następujące polecenia:
– Provision – czyli wskazanie, iż jest to etap zastrzegania konta komputera,
– Domain – określenie w ramach jakiej domeny,
– Machine – jaka będzie nazwa konta komputera,
– SaveFile – określenie lokalizacji pliku wynikowego
– MachineOU – (opcjonalnie) określenie docelowej jednostki organizacyjnej gdzie ma być utworzony obiekt komputera.

Dodatkowo systemy Windows 8 oraz Windows Server 2012 zostały wzbogacone o kolejne opcjonalne parametry jak np.:
– RootCACerts – w celu zawarcia certyfikatu głównego urzędu certyfikacyjnego
– CertTemplate – w celu zawarcia szablonu certyfikatu urządzenia.
– PolicyNames – w celu zawarcia polityk GPO
– PolicyPath – w celu zawarcia ścieżek do plików registry.pol

Niestety aby skorzystać z w/w dodatkowych parametrów konieczne jest wykorzystanie najnowszych wersji systemu Windows.

Przejdźmy zatem do drugiego etapu. Mianowicie, kopiujemy utworzony plik na docelową maszynę. Uruchamiamy konsolę wiersza poleceń i wywołujemy następującą komendę:

djoin /requestodj /loadfile djoin.txt /windowspath %systemroot% /localos

 

Tym razem w ramach polecenia wykorzystujemy następujące parametry:
– requestodj – żądanie dołączenia domeny przy kolejnym uruchomieniu stacji roboczej
– loadfile – lokalizacja pliku wynikowego utworzonego w pierwszym etapie
– windowspath – lokalizacja katalogu Windows, najprościej wykorzystać %systemroot%
– localos – określenie lokalnie uruchomionego systemu operacyjnego

Ostatecznie po ponownym uruchomieniu stacji roboczej możemy zaobserwować, iż stała się ona członkiem usługi Active Directory. Należy jednak pamiętać, iż rozwiązanie to pozwala tylko i wyłącznie na offlinowe przyłączenie maszyny do usługi katalogowej. Niestety inne ograniczenia związane z brakiem łączności z kontrolerem domeny, jak na przykład brak możliwości aktualizowania polityk GPO czy logowanie na konta użytkowników AD będą nadal występowały.

Źródła:
http://technet.microsoft.com/pl-pl/library/offline-domain-join-djoin-step-by-step(v=ws.10).aspx

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s