Kontynuując cykl przedstawiający nowe rozwiązania Windows Server 2008 R2 dzisiaj przyszła kolej na bezpołączeniowe przyłączenie komputera do domeny (offline domain joining). Jest to nowe rozwiązanie pozwalające na utworzenie konta komputera w Active Directory i przeniesienie informacji o domenie do komputera, który ma stać się członkiem domeny.

Pierwszym etapem jest zarejestrowanie konta w domenie i jednocześnie utworzenie pliku odpowiedzi, za pomocą którego zostaną przekazane informacje do nie podłączonego do sieci komputera (z systemem operacyjnym Windows 7 lub Windows Server 2008 R2). Wykonuje się to poleceniem: DJOIN /PROVISION /DOMAIN skalski.info /MACHINEOU „OU=Test Lab,DC=skalski,DC=info” /MACHINE off-client1 /SAVEFILE c:\off-client1.djoin

off2 300x89

Polecenie djoin pozwala zarówno na utworzenie pliku odpowiedzi jak i jego wykorzystanie do bezpołączeniowego przyłączenia stacji do domeny. Najważniejszymi parametrami są:

  • PROVISION - określa rezerwacje dla konta komputera w domenie według podanych dalej parametrów
  • DOMAIN – wskazuje na domenę do jakiej zostanie przyłączony komputer
  • MACHINEOU – definiuje położenie konta komputera w strukturze jednostek organizacyjnych
  • MACHINE – nadaje nazwę komputerowi, który zostanie podłączony. Uwaga: przyłączany komputer zmieni swoją nazwę na podaną w tym parametrze
  • SAVEFILE – określa ścieżkę w jakiej zostanie utworzony plik odpowiedzi służący dalej do podłączenia komputera docelowego

Kolejnym krokiem jest przeniesienie utworzonego wcześniej pliku odpowiedzi (w tym przypadku off-client1.djoin) do komputera docelowego oraz jego użycie. Wykonuje się to poleceniem: DJOIN /REQUESTODJ /LOADFILE c:\off-client1.djoin /LOCALOS /WINDOWSPATH C:\Windows

off3 300x72

Wynikiem wykonania ww. polecenia jest przekazanie stacji informacji o jej członkostwie w domenie. By zakończyć ten proces należy ponownie uruchomić komputer. Parametry zastosowane w poleceniu oznaczają:

  • REQUESTODJ – wykonuje żądanie bezpołączeniowego przyłączenia do domeny
  • LOADFILE – wskazuje ścieżkę do pliku odpowiedzi
  • LOCALOS - pozwala na wskazanie jako cel obecnie uruchomiony system operacyjny
  • WINDOWSPATH – wskazuje ścieżkę do folderu systemowego podłączanej stacji

Warto zwrócić uwagę na scenariusz przygotowania maszyn wirtualnych z wykorzystaniem tej metody:

  1. Przygotowujemy plik odpowiedzi
  2. Podłączamy dysk wirtualny maszyny, która ma zostać członkiem domeny
  3. Wykonujemy przyłączenie podając jako WINDOWSPATH ścieżkę do folderu systemu zainstalowanego na wirtualnym dysku

Ostatnią kwestią jaką należy poruszyć jest bezpieczeństwo tego rozwiązania. Plik odpowiedzi zwiera w sobie liczne informacje, które powinny być odpowiednio chronione. Matthieu Suiche stworzył narzędzie (dinfo.exe), które dekoduje plik odpowiedzi i ujawnia informacje zawarte w DATA_BLOB.

off4 300x257

Warto zwrócić szczególną uwagę na hasło w polu lpMachinePassword, nazwy domeny i lasu oraz liczne informacje o polisach i identyfikatorach.