Offline připojení počítače do domény - INFORMAČNÍ STRASTI

Active Directory Logo
1 1 1 1 1 1 1 1 1 1 Hodnocení 100% (2 Hlasů)

Málo kdo ví, že lze provést připojení počítače k doméně i bez dostupného doménového řadiče. Operační systém můžeme připojit do domény i bez připojení k síti a to díky funkcionalitě, která se nazývá "Offline Domain Join".strong> Tato funkcionalita je součástí serverových a klientských operačních systémů rodiny Windows od verze Windows Server 2008 R2 / Windows 7 a vyšší.

K čemu je přesně "Offline Domain Join"?

Když jsem se poprvé s touto funkcionalitou setkal, sám jsem přemýšlel k čemu je to vlastně dobré (užitečné) a nakonec se samo po nějakém čase ukázalo i to rozumné praktické využití. Níže uvádím pár situačních příkladů ve, kterých jsem Offline Domain Join. využil a ve finále byl rád, že existuje.

  • Příprava serveru pro pobočku na hotelovém pokoji
  • Omylem došlo ke smazání účtu počítače uživatele na služební cestě (nebyl zapnutý doménový koš) a uživateli nebyla možnost se připojit přes alternativní nástroj správy (TeamViewer) a řešit problém pomocí interakce
  • Uživatel ze spřátelené společnosti (jiné IT, jiná doména) měl na delší čas pracovat na naší pobočce. IT se to dozvědělo pozdě a nebyl možný výjezd na pobopočku včas, tak připojení k doméně mohlo zajistit IT dané společnosti a tím počítač připravit do finální podoby. (zbytek se již nakonfiguroval sám při prvním spuštění)

V malých organizacích (provozech) nebo v "servisním prostředí" je velká pravděpodobnost, že v praxi Offline Domain Join. díky jeho "specifickému" využití nikdy nepoužijete.

Technické požadavky pro "Offline" připojení k doméně

Pro použití Djoin.exe. není potřeba žádných složitých příprav, ale je za potřebí splnit pár náležitostí, viz. níže:

  • Není nutné mít doménové prostředí vystavené na Windows 2008 R2 a vyšších systémech, ale úroveň domény Active Directory musí být povýšena na "Windows Server 2008 R2" a vyšší. (aby to bylo licenčně správně musíte licenci Windows 2008 R2 vlastnit)
  • Je potřeba mít k dispozici operační systém minimálně Windows Server 2008 R2 nebo Windows 7 (musí být členem domény) , aby bylo možné generovat soubory ".blob"
  • Veškeré operace týkající se offline připojení do domény vyžadují oprávnění správce na obou stránách (serverové i klientské)

Pozor: Pokud připojíme počítač do domény pomocí nástroje Djoin.exe je velmi důležité vědět (si uvědomit), že při "offline" připojení nejsou aplikovány zádady skupiny, ani žádná jiná bezpečnostní nastavení. Tato nastavení se synchronizují z doménového řadiče a budou tedy aplikovány, až při jeho dostupnosti.

Postup offline připojení k doméně

Připrava "base 64-eccoded" souboru

Prvním krokem k připojení počítače do domény bez dostupného řadiče je vytvoření účtu v Active Directory pomocí nástroje "Djoin.exe", který generuje base 64-ecoded metadata. Soubor s těmito daty je potřebný na koncovém počítači / serveru, který chceme připojit "offline".

  1. Na splňujícím počítači pro vygenerová blob souboru spustíme "command prompt" se zvýšeným oprávněním
  2. Spustíme příkaz Djoin.exe. s níže uvedenou syntaxí
djoin /provision /domain "<nazev_domeny>" /machine "<nazev_pocitace>" /savefile <cesta_a_nazev_souboru_blob>

Příklad:

djoin /provision /domain "inf-strasti" /machine "windows10-01" /savefile c:\temp\blob_windows10-01.txt

POZNÁMKA:Při použití příkazu v systému, který není serverovým použijte parametr "/downlevel"

Djoin.exe

Aplikace souboru .blob na koncovém zařízení

  1. Přenesení vytvořeného souboru do klientského počítače
  2. Na připojovaném počítači spustíme "command prompt" se zvýšeným oprávněním
  3. Použijeme opět příkaz Djoin.exe. se syntaxí
djoin /requestODJ /loadfile <cesta_k_souboru_blob> /windowspath %systemroot% /localos

Příklad:

  djoin /requestODJ /loadfile blob_windows10-01.txt /windowspath %systemroot% /localos
  
loadfile blob
  1. Restart počítače

Na obrázku níže vidíme, že po restartu proběhlo vše úspěšně

Computer Settings

Pokud se podíváme na vlastnosti účtu počítače v Active Directory uvidíme zde rozdíl před kontaktováním řadiče domény kdy chybí informace o "Operating System" a po kontaktování řadiče jsou tyto informace doplněny.

ADUC Computers Property
ACTIVE DIRECTORY

ZDROJ

„Žití, to je největší umění na světě, neboť většina lidí pouze existuje.“ Oscar Wilde