Илья Рудь

Хотелось бы поделиться новой возможностью появившейся с выходом Windows 7 и Windows Server 2008 R2. В оригинале называется она – «offline domain join». Спорить о том, как правильно перевести на родной язык данный термин можно долго. Я остановился на варианте «автономный ввод в домен». В чем суть? Она проста. Если при введении предыдущих версий ОС в домен вам было необходимо иметь сетевое соединение с контроллером домена, то при вводе Windows 7/2008 R2 это не обязательно. Сфера применения данной возможности мне пока ясна не до конца, если у вас есть мысли, прошу поделиться в комментариях. Будем считать, что вы администрируете два леса Active Directory, не связанных между собой. Перед вами стоит задача настроить рабочую станцию, отправить ее в другой филиал и соответственно в другой лес AD. И естественно вы хотите сделать так, чтобы по приезду в место назначения этот компьютер можно было подключить в сеть и начать работать.

Важно: Для
использования «offline domain join» не нужно поднимать режим работы домена
или леса. Более того, не нужно иметь контроллеры домена Windows 2008 или 2008
R2. Для «Автономного
ввода в домен» используется утилита «djoin»,
которая присутствует в Windows 7/2008 R2. Т.е достаточно хотя бы одного
компьютера Windows 7/2008 R2, работающего в домене назначения.

Логика работы «Автономного ввода в домен»

1. На любом контроллере Windows 2008 R2 или клиентском
Windows 7 в домене назначения запускаем утилиту «djoin» со следующими ключами:

djoin /provision
/domain itband.ru /machine Win7-PC /dcname DC-SQL2005 /downlevel /savefile C:\blob.txt

itband.ru
– имя вашего домена

Win7-PC
– имя клиентского компьютера, который должен автономно
войти в домен

DC-SQL2005
– имя контроллера домена

/downlevel – ключ указывается, если у вас контроллер домена
Windows Server 2003

C:\blob.txt –
путь к файлу с метаданными

После ввода данной команды формируется текстовый файл
содержащий необходимые данные для того, чтобы компьютер мог войти в домен
(информация об имени домена, контроллера домена, SID домена и т.д.) Плюс к
этому, в Active Directory создается объект «компьютер» для будущего клиента. Файл в
кодировке base64. Подробней
о данном файле.

Рис. 1. Первый шаг,
использование Djoin

2. Вторым шагом необходимо доставить данный файл blob.txt на компьютер, который должен
автономно войти в домен. Какими средствами вы это сделаете, зависит от вас.
Хоть по почте пересылайте.

3. Доставив данный файл на клиентский компьютер, необходимо
запустить командную строку и выполнить «djoin» со следующими ключами:

djoin /requestODJ
/loadfile C:\blob.txt /windowspath
%SystemRoot% /localos

Произойдет импортирование данных из файла в каталог Windows.
Теперь при следующей загрузке операционной системы и доступности контроллера у
вас будет возможность войти в домен Active Directory.

Рис. 2. Третий шаг,
использование Djoin

С одной стороны функционал более чем интересный, с другой
появляется гипотетическая возможность того, что кто-то сможет перехватить или
завладеть таким файлом «Приглашением» и включить свой компьютер в домен, не
имея никаких на это прав. Или это просто паранойя?

На текущий момент информации по «offline domain join» очень
мало. В частности я не смог найти, есть ли какой-то срок жизни у такого
файла-приглашения. Хотя если рассуждать логически, можно предположить, что он
(срок жизни) равен сроку жизни пароля объекта «компьютер». Оригинальная
информация на английском языке.

оригинал статьи