Jonction de domaine hors connexion DirectAccessDirectAccess Offline Domain Join

S'applique à : Windows Server (Canal semi-annuel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Ce guide explique les étapes à suivre pour effectuer une jonction de domaine hors connexion avec DirectAccess.This guide explains the steps to perform an offline domain join with DirectAccess. Au cours d’une jonction de domaine hors connexion, un ordinateur est configuré pour joindre un domaine sans connexion physique ou VPN.During an offline domain join, a computer is configured to join a domain without physical or VPN connection.

Ce guide comporte les rubriques suivantes :This guide includes the following sections:

  • Vue d’ensemble de la jonction de domaine hors connexionOffline domain join overview

  • Configuration requise pour la jonction de domaine hors connexionRequirements for offline domain join

  • Processus de jonction de domaine hors connexionOffline domain join process

  • Étapes pour effectuer une jonction de domaine hors connexionSteps for performing an offline domain join

Vue d’ensemble de la jonction de domaine hors connexionOffline domain join overview

Introduite dans Windows Server 2008 R2, les contrôleurs de domaine incluent une fonctionnalité appelée jonction de domaine hors connexion.Introduced in Windows Server 2008 R2, domain controllers include a feature called Offline Domain Join. Un utilitaire de ligne de commande nommé Djoin. exe vous permet de joindre un ordinateur à un domaine sans avoir à contacter physiquement un contrôleur de domaine lors de l’exécution de l’opération de jonction de domaine.A command line utility named Djoin.exe lets you join a computer to a domain without physically contacting a domain controller while completing the domain join operation. Les étapes générales de l’utilisation de Djoin. exe sont les suivantes :The general steps for using Djoin.exe are:

  1. Exécutez Djoin/provision pour créer les métadonnées de compte d’ordinateur.Run djoin /provision to create the computer account metadata. La sortie de cette commande est un fichier. txt qui comprend un objet BLOB encodé en base 64.The output of this command is a .txt file that includes a base-64 encoded blob.

  2. Exécutez Djoin/requestodj pour insérer les métadonnées du compte d’ordinateur à partir du fichier. txt dans le répertoire Windows de l’ordinateur de destination.Run djoin /requestODJ to insert the computer account metadata from the .txt file into the Windows directory of the destination computer.

  3. Redémarrez l’ordinateur de destination et l’ordinateur sera joint au domaine.Reboot the destination computer, and the computer will be joined to the domain.

Vue d’ensemble du scénario de jonction de domaine hors connexion avec des stratégies DirectAccessOffline domain join with DirectAccess policies scenario overview

La jonction de domaine hors connexion DirectAccess est un processus que les ordinateurs exécutant Windows Server 2016, Windows Server 2012, Windows 10 et Windows 8 peuvent utiliser pour joindre un domaine sans être physiquement joint au réseau d’entreprise, ou être connectés via un VPN.DirectAccess offline domain join is a process that computers running Windows Server 2016, Windows Server 2012, Windows 10 and Windows 8 can use to join a domain without being physically joined to the corporate network, or connected through VPN. Cela permet de joindre des ordinateurs à un domaine à partir d’emplacements où il n’existe aucune connectivité à un réseau d’entreprise.This makes it possible to join computers to a domain from locations where there is no connectivity to a corporate network. La jonction de domaine hors connexion pour DirectAccess fournit des stratégies DirectAccess aux clients pour permettre l’approvisionnement à distance.Offline domain join for DirectAccess provides DirectAccess policies to clients to allow remote provisioning.

Une jonction de domaine crée un compte d’ordinateur et établit une relation d’approbation entre un ordinateur exécutant un système d’exploitation Windows et un domaine de Active Directory.A domain join creates a computer account and establishes a trust relationship between a computer running a Windows operating system and an Active Directory domain.

Préparer la jonction de domaine hors connexionPrepare for offline domain join

  1. Créez le compte d’ordinateur.Create the machine account.

  2. Inventoriez l’appartenance de tous les groupes de sécurité auxquels appartient le compte d’ordinateur.Inventory the membership of all security groups to which the machine account belongs.

  3. Collectez les certificats d’ordinateur, les stratégies de groupe et les objets de stratégie de groupe requis à appliquer aux nouveaux clients.Gather the required computer certificates, group policies, and group policy objects to be applied to the new client(s).

.. Les sections suivantes décrivent la configuration requise pour le système d’exploitation et les informations d’identification requises pour effectuer une jonction de domaine hors connexion DirectAccess à l’aide de Djoin. exe.The following sections explain operating system requirements and credential requirements for performing a DirectAccess offline domain join using Djoin.exe.

Configuration requise pour le système d'exploitationOperating system requirements

Vous pouvez exécuter Djoin. exe pour DirectAccess uniquement sur les ordinateurs qui exécutent Windows Server 2016, Windows Server 2012 ou Windows 8.You can run Djoin.exe for DirectAccess only on computers that run Windows Server 2016, Windows Server 2012 or Windows 8. L’ordinateur sur lequel vous exécutez Djoin. exe pour approvisionner des données de compte d’ordinateur dans AD DS doit exécuter Windows Server 2016, Windows 10, Windows Server 2012 ou Windows 8.The computer on which you run Djoin.exe to provision computer account data into AD DS must be running Windows Server 2016, Windows 10, Windows Server 2012 or Windows 8. L’ordinateur que vous souhaitez joindre au domaine doit également exécuter Windows Server 2016, Windows 10, Windows Server 2012 ou Windows 8.The computer that you want to join to the domain must also be running Windows Server 2016, Windows 10, Windows Server 2012 , or Windows 8.

Informations d’identification requisesCredential requirements

Pour effectuer une jonction de domaine hors connexion, vous devez disposer des droits nécessaires pour joindre les stations de travail au domaine.To perform an offline domain join, you must have the rights that are necessary to join workstations to the domain. Les membres du groupe Admins du domaine disposent de ces droits par défaut.Members of the Domain Admins group have these rights by default. Si vous n’êtes pas membre du groupe Admins du domaine, un membre du groupe Admins du domaine doit effectuer l’une des actions suivantes pour vous permettre de joindre des stations de travail au domaine :If you are not a member of the Domain Admins group, a member of the Domain Admins group must complete one of the following actions to enable you to join workstations to the domain:

  • Utilisez stratégie de groupe pour accorder les droits d’utilisateur requis.Use Group Policy to grant the required user rights. Cette méthode vous permet de créer des ordinateurs dans le conteneur ordinateurs par défaut et dans toute unité d’organisation créée ultérieurement (si aucune entrée de contrôle d’accès (ACE) n’est ajoutée).This method allows you to create computers in the default Computers container and in any organizational unit (OU) that is created later (if no Deny access control entries (ACEs) are added).

  • Modifiez la liste de contrôle d’accès (ACL) du conteneur ordinateurs par défaut pour le domaine afin de déléguer les autorisations appropriées.Edit the access control list (ACL) of the default Computers container for the domain to delegate the correct permissions to you.

  • Créez une unité d’organisation et modifiez la liste de contrôle d’accès sur cette UO pour vous accorder l’autorisation créer un enfant-autoriser .Create an OU and edit the ACL on that OU to grant you the Create child - Allow permission. Transmettez le paramètre /machineOU à la commande Djoin/provision .Pass the /machineOU parameter to the djoin /provision command.

Les procédures suivantes montrent comment accorder les droits d’utilisateur avec stratégie de groupe et comment déléguer les autorisations appropriées.The following procedures show how to grant the user rights with Group Policy and how to delegate the correct permissions.

Octroi de droits d’utilisateur pour joindre des stations de travail au domaineGranting user rights to join workstations to the domain

Vous pouvez utiliser la Console de gestion des stratégies de groupe (GPMC) pour modifier la stratégie de domaine ou créer une stratégie qui possède des paramètres qui permettent aux utilisateurs d’ajouter des stations de travail à un domaine.You can use the Group Policy Management Console (GPMC) to modify the domain policy or create a new policy that has settings that grant the user rights to add workstations to a domain.

Pour accorder des droits d’utilisateur, il est nécessaire d’appartenir au minimum au groupe Admins du domaineou à un groupe équivalent.Membership in Domain Admins, or equivalent, is the minimum required to grant user rights. Passez en revue les détails sur l’utilisation des comptes et des appartenances aux groupes appropriés dans les groupes locaux et de domaine par défaut (https://go.microsoft.com/fwlink/?LinkId=83477).Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups (https://go.microsoft.com/fwlink/?LinkId=83477).

Pour accorder des droits pour joindre des stations de travail à un domaineTo grant rights to join workstations to a domain
  1. Cliquez sur Démarrer, sur Outils d'administration, puis sur Gestion des stratégies de groupe.Click Start, click Administrative Tools, and then click Group Policy Management.

  2. Double-cliquez sur le nom de la forêt, double-cliquez sur domaines, double-cliquez sur le nom du domaine dans lequel vous souhaitez joindre un ordinateur, cliquez avec le bouton droit sur stratégie de domaine par défaut, puis cliquez sur modifier.Double-click the name of the forest, double-click Domains, double-click the name of the domain in which you want to join a computer, right-click Default Domain Policy, and then click Edit.

  3. Dans l’arborescence de la console, double-cliquez sur Configuration ordinateur, sur stratégies, sur Paramètres Windows, sur paramètres de sécurité, sur stratégies locales, puis sur Attribution des droits utilisateur.In the console tree, double-click Computer Configuration, double-click Policies, double-click Windows Settings, double-click Security Settings, double-click Local Policies, and then double-click User Rights Assignment.

  4. Dans le volet d’informations, double-cliquez sur Ajouter des stations de travail au domaine.In the details pane, double-click Add workstations to domain.

  5. Activez la case à cocher définir ces paramètres de stratégie , puis cliquez sur Ajouter un utilisateur ou un groupe.Select the Define these policy settings check box, and then click Add User or Group.

  6. Tapez le nom du compte auquel vous souhaitez accorder les droits d’utilisateur, puis cliquez deux fois sur OK .Type the name of the account that you want to grant the user rights to, and then click OK twice.

Processus de jonction de domaine hors connexionOffline domain join process

Exécutez Djoin. exe à partir d’une invite de commandes avec élévation de privilèges pour approvisionner les métadonnées du compte d’ordinateur.Run Djoin.exe at an elevated command prompt to provision the computer account metadata. Lorsque vous exécutez la commande d’approvisionnement, les métadonnées de compte d’ordinateur sont créées dans un fichier binaire que vous spécifiez dans le cadre de la commande.When you run the provisioning command, the computer account metadata is created in a binary file that you specify as part of the command.

Pour plus d’informations sur la fonction NetProvisionComputerAccount utilisée pour approvisionner le compte d’ordinateur au cours d’une jonction de domaine hors connexion, consultez fonction NetProvisionComputerAccount (https://go.microsoft.com/fwlink/?LinkId=162426).For more information about the NetProvisionComputerAccount function that is used to provision the computer account during an offline domain join, see NetProvisionComputerAccount Function (https://go.microsoft.com/fwlink/?LinkId=162426). Pour plus d’informations sur la fonction NetRequestOfflineDomainJoin qui s’exécute localement sur l’ordinateur de destination, consultez fonction NetRequestOfflineDomainJoin (https://go.microsoft.com/fwlink/?LinkId=162427).For more information about the NetRequestOfflineDomainJoin function that runs locally on the destination computer, see NetRequestOfflineDomainJoin Function (https://go.microsoft.com/fwlink/?LinkId=162427).

Procédure d’exécution d’une jonction de domaine hors connexion DirectAccessSteps for performing a DirectAccess offline domain join

Le processus de jonction de domaine hors connexion comprend les étapes suivantes :The offline domain join process includes the following steps:

  1. Créez un compte d’ordinateur pour chacun des clients distants et générez un package d’approvisionnement à l’aide de la commande Djoin. exe à partir d’un ordinateur déjà joint au domaine dans le réseau d’entreprise.Create a new computer account for each of the remote clients and generate a provisioning package using the Djoin.exe command from an already domain joined computer in the corporate network.

  2. Ajouter l’ordinateur client au groupe de sécurité DirectAccessClientsAdd the client computer to the DirectAccessClients security group

  3. Transférez le package d’approvisionnement en toute sécurité sur les ordinateurs distants qui vont rejoindre le domaine.Transfer the provisioning package securely to the remote computers(s) that will be joining the domain.

  4. Appliquez le package d’approvisionnement et joignez le client au domaine.Apply the provisioning package and join the client to the domain.

  5. Redémarrez le client pour terminer la jonction de domaine et établir la connectivité.Reboot the client to complete the domain join and establish connectivity.

Il existe deux options à prendre en compte lors de la création du paquet de configuration pour le client.There are two options to consider when creating the provisioning packet for the client. Si vous avez utilisé l’Assistant Prise en main pour installer DirectAccess sans infrastructure à clé publique, vous devez utiliser l’option 1 ci-dessous.If you used the Getting Started Wizard to install DirectAccess without PKI, then you should use option 1 below. Si vous avez utilisé l’Assistant Installation avancée pour installer DirectAccess avec l’infrastructure à clé publique, vous devez utiliser l’option 2 ci-dessous.If you used the Advanced Setup Wizard to install DirectAccess with PKI, then you should use option 2 below.

Pour effectuer la jonction de domaine hors connexion, procédez comme suit :Complete the following steps to perform the offline domain join:

Option 1 : Créer un package d’approvisionnement pour le client sans infrastructure à clé publiqueOption1: Create a provisioning package for the client without PKI
  1. À l’invite de commandes de votre serveur d’accès à distance, tapez la commande suivante pour approvisionner le compte d’ordinateur :At a command prompt of your Remote Access server, type the following command to provision the computer account:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse  
    
Option2 Créer un package d’approvisionnement pour le client avec l’infrastructure à clé publiqueOption2: Create a provisioning package for the client with PKI
  1. À l’invite de commandes de votre serveur d’accès à distance, tapez la commande suivante pour approvisionner le compte d’ordinateur :At a command prompt of your Remote Access server, type the following command to provision the computer account:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse  
    
Ajouter l’ordinateur client au groupe de sécurité DirectAccessClientsAdd the client computer to the DirectAccessClients security group
  1. Sur votre contrôleur de domaine, dans l’écran d' Accueil , tapez Active et sélectionnez Active Directory les utilisateurs et les ordinateurs à partir de l’écran applications .On your Domain Controller, from Start screen, type Active and select Active Directory Users and Computers from Apps screen.

  2. Développez l’arborescence sous votre domaine, puis sélectionnez le conteneur utilisateurs .Expand the tree under your domain, and select the Users container.

  3. Dans le volet d’informations, cliquez avec le bouton droit sur DirectAccessClients, puis cliquez sur Propriétés.In the details pane, right-click DirectAccessClients, and click Properties.

  4. Sous l'onglet Membres , cliquez sur Ajouter.On the Members tab, click Add.

  5. Cliquez sur Types d'objets, sélectionnez Ordinateurs, puis cliquez sur OK.Click Object Types, select Computers, and then click OK.

  6. Tapez le nom du client à ajouter, puis cliquez sur OK.Type the client name to add, and then click OK.

  7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de DirectAccessClients , puis fermez Active Directory utilisateurs et ordinateurs.Click OK to close the DirectAccessClients Properties dialog, and then close Active Directory Users and Computers.

Copier, puis appliquer le package d’approvisionnement à l’ordinateur clientCopy and then apply the provisioning package to the client computer
  1. Copiez le package d’approvisionnement à partir de c:\files\provision.txt sur le serveur d’accès à distance, où il a été enregistré, sur c:\provision\provision.txt sur l’ordinateur client.Copy the provisioning package from c:\files\provision.txt on the Remote Access Server, where it was saved, to c:\provision\provision.txt on the client computer.

  2. Sur l’ordinateur client, ouvrez une invite de commandes avec élévation de privilèges, puis tapez la commande suivante pour demander la jonction de domaine :On the client computer, open an elevated command prompt, and then type the following command to request the domain join:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos  
    
  3. Redémarrez l’ordinateur client.Reboot the client computer. L’ordinateur sera joint au domaine.The computer will be joined to the domain. Après le redémarrage, le client sera joint au domaine et disposer d’une connexion au réseau d’entreprise avec DirectAccess.Following the reboot, the client will be joined to the domain and have connectivity to the corporate network with DirectAccess.

Voir aussiSee Also

NetProvisionComputerAccount fonction)NetProvisionComputerAccount Function
NetRequestOfflineDomainJoin fonction)NetRequestOfflineDomainJoin Function