离线加入域(Offline Join Domain)作为Windows Server 2008 R2新功能之一,它为企业提供以下好处:
1、减少了数据中心的TCO
2、使企业部署更加快捷
一、必要条件
支持Windows Server 2008 R2和Windows 7
二、用户凭据要求
安装的用户必须有增加工作站到域的权限。一般来说,我们可以使用Domain ADMINS组用户即可,也可以委托权限级某一用户。
以下是授权一般用户USER001增加工作站到域的权限的示例。完成这一操作有两种方法
1、使用组策略进行授权
打开组策略管理控制台(GPMC.MSC),选择Default Domain Controler Policy进行编辑。
打开Computer Configuration,选择Polices,Windows Settings,Local Policies,选择Add workstaions to domain,进行如下设置
同时为了进行测试设置是否正确,授予USER001“Allow log on locally”权限。如下图
2、使用LDP.EXE进行授权
运行LDP.EXE,选择Connection,选择BIND,选择View菜单中的 Tree ,BASECN选择DC=HBYCRSJ,DC=COM
选择Add ACE
设置完成后,我们可以以在DC上以USER001用户登录,打开活动目录用户和计算机,在Computers容器随便建立一个计算机,测试能成功。
三、域控制器操作
假设我们要将一台Windows 7的客户端离线加入到域,计算机名为Win200701
在服务器运行如下命令:
DJoin命令帮助
用法: djoin.exe [/OPTIONS]
示例:
在域中设置计算机帐户:
djoin.exe /PROVISION /DOMAIN <DomainName> /MACHINE <MachineName>
请求本地计算机执行脱机加入域:
djoin.exe /REQUESTODJ /LOADFILE <FilePath> /WINDOWSPATH <Path>
将C:\WIN200701.TXT文件通过网络(或移动设备)复制到计算机Win200701上
四、客户端操作
以管理员权限找开命令提示符,运行
djoin.exe /REQUESTODJ /LOADFILE c:\win200701.txt /WINDOWSPATH c:\windows
重启计算机后,计算机将加入到域
五、使用无人职守文件离线加入到域
首先用djoin产生计算机帐号数据元,然后建立无人职守文件unattend.xml,添加如下信息
<Component>
<Component name=Microsoft-Windows-UnattendedJoin>
<Identification>
<Provisioning>
<AccountData>Base64Encoded Blob</AccountData>
</Provisioning>
</Identification>
</Component>
<Component name=Microsoft-Windows-UnattendedJoin>
</Component>
其中<AccountData>Base64Encoded Blob</AccountData>中间包含计算机帐号数据元,即使用djoin产生的数据,即上面的win200701.txt文件的内容。
然后启动计算机到安装模式,或启动到windows pe,运行
setup /unattend:无人职守文件
以下是无人职守文件的示例:
- <component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="
http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="
http://www.w3.org/2001/XMLSchema-instance">
- <Identification>
- <Credentials>
<Domain>hbycrsj</Domain>
<Password>3228272</Password>
<Username>bill.xu</Username>
</Credentials>
- <Provisioning>
<AccountData>ARAIAMzMzMyQAwAAAAAAAAAA
AgABAAAAAQAAAAQAAgABAAAA
AQAAAGgDAAAIAAIAaAMAAAEQ
CADMzMzMWAMAAAAAAAAAAAIA
BAACAAgAAgAMAAIADgAQABAA
AgAWABgAFAACABYAGAAYAAIA
CnsCBQeui0WCXKbm8zXHzRwA
AgAgAAIAJAACAAEAAAAKewIF
B66LRYJcpubzNcfNKAACACwA
AgD9MwDgMAACADQAAgAAAAAA
CAAAAAAAAAAIAAAASABCAFkA
QwBSAFMASgAAAAoAAAAAAAAA
CgAAAFcASQBOADIAMAAwADcA
MAAxAAAAeQAAAAAAAAB5AAAA
bwBOADUAYABgADkAcwBqAFIA
YQBYAHkAawBRAE4ANgAoAG4A
OQAzAFQASQBvAFcAbgBKADEA
IQAvACkAJAB5AEgAIQAiAEYA
LgA2AFkAMgAqAGwAawB3AEQA
dQBfAGoARgBuAGUAZABoAHoA
bABTAFkAVQBUAGUAUQBtAG8A
SABEAFYASgBdAEYANQBFAFwA
UQA2AFsAIwA/ACQAcgBEAD0AYgAxACwAYQAw
ACAAWABNAC4AQABeAFQAdQA3
AC0AIwBjAFIAZwBxACEATQBL
AFYAQQBsAGUAcwBfAFYAYQBy
AEEALwA/AEoAXQAwADgAAAAAAAgAAAAA
AAAABwAAAEgAQgBZAEMAUgBT
AEoAAAAMAAAAAAAAAAsAAABI
AEIAWQBDAFIAUwBKAC4AQwBP
AE0AAAAMAAAAAAAAAAsAAABI
AEIAWQBDAFIAUwBKAC4AQwBP
AE0AAAAEAAAAAQQAAAAAAAUV
AAAANWK0Jw1fQz9y6uGlGgAA
AAAAAAAaAAAAXABcAFcASQBO
ADIAMAAwADgAUgAyAEUATgAu
AEgAQgBZAEMAUgBTAEoALgBD
AE8ATQAAAA8AAAAAAAAADwAA
AFwAXAAxADkAMgAuADEANgA4
AC4AMQAuADEAMwAAAAAADAAA
AAAAAAAMAAAASABCAFkAQwBS
AFMASgAuAEMATwBNAAAADAAA
AAAAAAAMAAAASABCAFkAQwBS
AFMASgAuAEMATwBNAAAAGAAA
AAAAAAAYAAAARABlAGYAYQB1
AGwAdAAtAEYAaQByAHMAdAAt
AFMAaQB0AGUALQBOAGEAbQBl
AAAAGAAAAAAAAAAYAAAARABl
AGYAYQB1AGwAdAAtAEYAaQBy
AHMAdAAtAFMAaQB0AGUALQBO
AGEAbQBlAAAAAAAAAA==</AccountData>
</Provisioning>
<JoinDomain>hbycrsj</JoinDomain>
</Identification>
</component
- <Identification>
- <Credentials>
- <Provisioning>
本文转自ycrsjxy51CTO博客,原文链接:http://blog.51cto.com/ycrsjxy/203126
,如需转载请自行联系原作者
