Offline Domain Join pro Windows 7 a Server 2008 R2

Ondřej Výšek
4 minuty, 48 sekundy

Jednou z velice zajímavých vlastností Windows 7 a Windows Server 2008 R2 je připojení operačního systému do domény aniž je doména v době připojení dostupná - tzv. “Offline Domain Join”. Takové offline připojení do domény může být užitečné v některých specifických oblastech, ale jeho masivní využití v rozsáhlých sítích asi není tou správnou volbou. Je nutné si uvědomit, že po vykonání připojení počítače do domény je počítač součástí domény, ale není aplikováno jakékoliv nastavení zabezpečení (členství ve skupinách,…) a nastavení, které se provádí pomocí skupinových politik. Obě tato nastavení jsou aplikována až při prvním startu počítače, kdy je dostupný doménový řadič.

Předpoklady pro připojení počítače offline

Pro využití možnosti připojení operačních systémů Windows 7 a Windows Server 2008 R2 do domény, aniž je doména dostupná, je nutné povýšit funkcionalitu domény Active Directory na úroveň Windows server 2008 R2 (povýšení celého lesa není nezbytně nutné). Je důležité zmínit, že není nutné mít všechny doménové řadiče s Windows Server 2008 R2, funkce připojení do domény funguje i se staršími verzemi. Je však zapotřebí nejméně jednoho serveru Windows Server 2008 R2, aby bylo možné povýšit funkcionalitu a generovat tzv. blob soubory. Veškeré operace, které se týkají připojení do domény v módu offline jsou prováděny pomocí nástroje příkazové řádky djoin.exe, který je součástí operačních systémů Windows 7 a Server 2008 R2. Dalším předpokladem je oprávnění pro vytváření počítačů v doméně. Nástroj djoin.exe vyžaduje administrátorská oprávnění, je tedy nezbytně nutné jej spouštět pod zvýšenými oprávněními.

Dva kroky

Základem připojení počítače do domény, kdy doména není přístupná jsou dva jednoduché kroky. Zaprvé je nutné na serveru vytvořit účet počítače v Active Directory. Tento krok je nazýván “provisioning”. Nejjednodušší je vytvoření účtu a dalších potřebných informací na Windows Server 2008 R2. Nástroj djoin vytvoří base 64-ecoded metadata soubor. Tento soubor se následně použije na počítačích s Windows 7 či Windows Server 2008 R2 pro připojení do domény.

Provisioning

Příkaz na vytvoření účtu počítače a odpovídajícího blob souboru může vypadat například takto: djoin /provision /domain <jméno domény do které se připojuji> /machine <jméno připojovaného počítače> /savefile blob.txt

Pokud nemáte k dispozici doménový řadič s Windows Server 2008 R2, je možné spustit djoin.exe s parametrem /downlevel na počítači s Windows 7, který je již členem domény.

Připojení do domény

Soubor, který vznikl v předchozím bodě, přeneseme na počítač, který budeme připojovat do domény. Následně znovu použijeme nástroj djoin: djoin /requestODJ /loadfile blob.txt /windowspath %SystemRoot% /localos

Parametr localos je velice důležitý, pokud připojujeme do domény počítač, na kterém djoin spouštíme. Je také možné spustit vzdáleně z jiného počítače, zde je nutné zajistit aby použité cesty v příkazu odpovídaly cílovému počítači a ukazovaly do operačního systému. Djoin má několik dalších užitečných parametrů, které si myslím popisují jejich účel. Usage: djoin.exe [/OPTIONS]   /PROVISION  - Provision a computer account in the domain
      /DOMAIN - of the domain to join
      /MACHINE - of the computer joining the domain
      /MACHINEOU - Optional where the account is created
      /DCNAME - Optional to target for account creation
      /REUSE - Reuse any existing account (password will be reset)
      /SAVEFILE - Save provisioning data to a file at
      /NOSEARCH - Skip account conflict detection, requires DCNAME (faster)
      /DOWNLEVEL - Support using a Windows server 2008 DC or earlier
      /PRINTBLOB - Return base64 encoded metadata blob for an answer file
      /DEFPWD - Use default machine account password (not recommended)   /REQUESTODJ  - Request offline domain join at next boot
      /LOADFILE - specified previously via /SAVEFILE
      /WINDOWSPATH - to the Windows directory in an offline image
      /LOCALOS - Allows /WINDOWSPATH to specify the locally running OS.
                 This command must be run as a local Administrator.
                 This option requires a reboot for changes to be applied. Examples: To provision a computer account in the domain:
djoin.exe /PROVISION /DOMAIN /MACHINE
          /SAVEFILE
          Note: Other parameters are optional To request the local machine to perform an offline domain join:
djoin.exe /REQUESTODJ /LOADFILE /WINDOWSPATH
          Note: Other parameters are optional  

Kdy využít offline domain join ?

Myslím si, že využití tohoto nástroje je primárně u serverové infrastruktury, například u virtuální infrastruktury. Ve chvíli příprav prostředí, kdy AD není dostupná připojíme operační systémy do AD a následné zapojení serverů do chodu je již podstatně jednodušší. Další možností může být například při obnově uživatelských počítačů, které nejsou připojeny do LAN a uživatel jej má například doma. V takovém případě může podpora zaslat blob soubor a instruovat uživatele, jak tento soubor zpracovat. Dále se pak uživatel připojí do VPN, DirectAccess,… a může obnovit data, která jsou e firemní síti.

Autor: Ondřej Výšek

Ondřej je Microsoft MVP od roku 2004, v roce 2008 založil komunitní web optimalizovane-it.cz. Za svou IT karieru, jenž započala v roce 1993 prošel celou řadou pozic, od konzultanta, přes architekt, až po vytváření vizí a strategií zákazníků. V prostředích, ve kterých pomáhal byly desítky, ale i stovky tisíc uživatelů a systémů. V posledních letech se zabývá především cloudovými technologiemi Microsoft 365 a Azure ve společnosti KPCS CZ.

Následující článek Předchozí článek