我们都知道,部署活动目录,无非搭建一台或多台DC,然后把其它的客户端计算机或成员服务器全部加入域,但在windows2008SP2以前,客户端加入域时,DC必须在线,而从2008R2开始我们已经可以做到让客户端离线加域了,即客户加域时DC即使离线,我们照样可以成功完成。
实现必要条件:DC是windows2008R2或以上,客户端是windows7或以上。
离线加域包括两个步骤:
1. 在Active Directory创建一个计算机账户,并将账户信息保存在文件中。
2. 将保存的文件导入到要实现离线加域的计算机中,使用命令模式调用该文件,实现计算机离线加域。
下面我们具体操作:
实验环境:两台机器,一台n1,windows2008R2,DC,域名net.com,另一台是win7,工作组计算机。(图略)
一、在DC上预创建计算机帐户:
1. 在这里我们直接以域管理员administrator的身份登录到DC,利用命令完成计算机帐号的创建,如下图所示:
分析:在这里我们使用的是Djoin 命令,各位可以通过djoin/?来查看帮助,如上图的两个示例便是我们操作的两条命令,其中第一条是DC上用于预创建计算机帐号并生成信息文件,而第二条示例便是在客户端实现离线加域。
2. 查看新建的计算机帐号和帐号信息文件:
可以看到新建的计算机帐号是启用状态,并且生成的帐号信息文件是加密的。
3. 把生成的帐号信息文件拷贝到目标机或网络上的共享位置。
4. 把DC离线(模拟)
二、在win7上实现离线加域:
1. 登录到DC(用户身份无所谓),如下图所示完成加域操作:
如上图,要以管理员的身份运行CMD,因为默认的本地用户以标准权限运行程序,在这里进行权限提升。
如上图,测试和DC联系不上,注意上面这条命令格式。
2. 完成后,重新启用计算机,如下图所示,可以看到已经成功加入到了域,并尝试域用户登录域,如果此时DC仍未在线,当然无法登录,只有DC在线,方可以成功登录。因为离线加域操作并未把域用户的凭据信息保存到客户端。
登录成功后,如下图,查看计算机的相关配置,成功完成。
至此实验成功!
小结:离线加域的两步操作中第一步其实只是在AD数据库中预先创建一个计算机帐号,并把该计算机帐号的相关信息保存在一个文件中,第二步便是把该文件信息利用命令灌入客户机,从而实现离线加域的目的。必须注意两个问题:
1. 计算机名必须和第一步创建的计算机名同名。
2. 域或林的2008R2功能级别无所谓,只要满足DC是2008R2,客户端是windows7即可。
本文转自 jary3000 51CTO博客,原文链接:http://blog.51cto.com/jary3000/245450,如需转载请自行联系原作者
