Новое в Windows 2008 R2: автономное подключение к домену

Со времен Windows NT4 клиенту, который хотел подключиться к домену, было необходимо прямое подключение к домену по VPN, коммутируемому соединению или по выделенной линии. В Windows 2008 R2 появилась возможность автономного подключения к домену. Как такое возможно и зачем это нужно? И об этом речь в нашей статье.

Программа для такого рода подключений называется djoin.exe. Мы можем ее использовать, чтобы подключиться к домену, не используя фактическое соединение с ним.

Как это работает:

• Авторизуйтесь в системе, которая является членом домена, с учетной записью, которой позволено подключать к домену другие компьютеры
• Запустите программу djoin.exe, чтобы создать текстовый файл с информацией, необходимой для подключения к домену, когда он будет доступен.
• Запустите djoin.exe на новом компьютере для импорта этого текстового файла
• Перезагрузите новый компьютер, когда он подключен к сети.

По умолчанию учетные записи компьютеров создаются в структурной единице (от англ. organizational unit) Computers, однако, при желании можно от этого отказаться. В таком случае создайте новую структурную единицу и убедитесь, что учетная запись, в которой вы запускаете djoin.exe, имеет соответствующие права. В целях добавления нового компьютера используйте следующую команду:

join /provision /domain <domainname> /machine <machinename> /savefile blob.txt

Опционально вы также можете определить структурную единицу, используя параметр /Machineou <OUname>, иначе будет использоваться стандартная Computers.

Если учетная запись компьютера уже создана, вы можете использовать параметр /reuse. Если контроллер домена в вашей корпоративной сети работает не под управлением Windows Server 2008 R2, тогда используйте команду /downlevel.

Скопируйте созданный файл на новый клиентский компьютер и запустите команду импорта. И хотя, по сути, это текстовый файл, он абсолютно не читаемый и он точно не в XML-формате.

Команда импорта выглядит следующим образом:

djoin /requestODJ /loadfile blob.txt /windowspath %systemroot% /localos

Стоит отметить, что теперь команда /localos может привести к неприятным последствиям: если вы случайно дали эту команду на контроллере домена, то это приведет к неработающему AD-контроллеру, так что вернуть предыдущее состояние вы сможете только командой demote/promote.

На нашем компьютере используется базовая установка Windows 7 и в данном случае он переименован в CL2 до ввода новой команды:

Убедитесь, что вы запустили консоль с правами администратора, иначе подключение пройдет неудачно:

После ручной перезагрузки компьютер будет подключен к домену.

Кто-то спросит, а какой смысл в подключении к отключенному домену? Процедура подразумевает использование нечитаемого (для человека) файла и не требует использования паролей. Вы с легкостью можете создать необходимые файлы и, к примеру, передать их поставщику рабочих станций для вашей компании. Вам не придется предоставлять им учетные данные и открывать доступ к вашему окружению.

А вот, что на это счет говорит Microsoft: компания, например, может столкнуться с необходимостью развертывания массы виртуальных машин в центре обработки данных. Автономное подключение позволит виртуальным машинам быть подключенными к домену, когда они в первый раз будут запущены после установки операционной системы. Для подключения к домену не нужно будет совершать дополнительные перезагрузки. Это значительно уменьшит общее время, необходимое для широкомасштабного развертывания виртуальных машин.

Итак, если вы захотите проводить развертывание ваших компьютеров с помощью файла Unattend.xml, настроить автономное подключение вы можете следующим образом:

<Component>

<Component name="Microsoft-Windows-UnattendedJoin">

<Identification>

<Provisioning>

<AccountData>Blob.txt</AccountData>

</Provisioning>

</Identification>

</Component>

Источник: http://blog.avanadeadvisor.com
Перевод: Zloy Kak Pё$