Автономный ввод в домен Active Directory

  • Статья

Илья Рудь

Хотелось бы поделиться новой возможностью появившейся с выходом Windows 7 и Windows Server 2008 R2. В оригинале называется она – «offline domain join». Спорить о том, как правильно перевести на родной язык данный термин можно долго. Я остановился на варианте «автономный ввод в домен». В чем суть? Она проста. Если при введении предыдущих версий ОС в домен вам было необходимо иметь сетевое соединение с контроллером домена, то при вводе Windows 7/2008 R2 это не обязательно. Сфера применения данной возможности мне пока ясна не до конца, если у вас есть мысли, прошу поделиться в комментариях. Будем считать, что вы администрируете два леса Active Directory, не связанных между собой. Перед вами стоит задача настроить рабочую станцию, отправить ее в другой филиал и соответственно в другой лес AD. И естественно вы хотите сделать так, чтобы по приезду в место назначения этот компьютер можно было подключить в сеть и начать работать.

Важно: Для использования «offline domain join» не нужно поднимать режим работы домена или леса. Более того, не нужно иметь контроллеры домена Windows 2008 или 2008 R2. Для «Автономного ввода в домен» используется утилита «djoin», которая присутствует в Windows 7/2008 R2. Т.е достаточно хотя бы одного компьютера Windows 7/2008 R2, работающего в домене назначения.

Логика работы «Автономного ввода в домен»

1. На любом контроллере Windows 2008 R2 или клиентском Windows 7 в домене назначения запускаем утилиту «djoin» со следующими ключами:

djoin /provision /domain itband.ru /machine Win7-PC /dcname DC-SQL2005 /downlevel /savefile C:\blob.txt

itband.ru – имя вашего домена

Win7-PC – имя клиентского компьютера, который должен автономно войти в домен

DC-SQL2005 – имя контроллера домена

/downlevel – ключ указывается, если у вас контроллер домена Windows Server 2003

C:\blob.txt – путь к файлу с метаданными

После ввода данной команды формируется текстовый файл содержащий необходимые данные для того, чтобы компьютер мог войти в домен (информация об имени домена, контроллера домена, SID домена и т.д.) Плюс к этому, в Active Directory создается объект «компьютер» для будущего клиента. Файл в кодировке base64. Подробней о данном файле.

Рис. 1. Первый шаг, использование Djoin

2. Вторым шагом необходимо доставить данный файл blob.txt на компьютер, который должен автономно войти в домен. Какими средствами вы это сделаете, зависит от вас. Хоть по почте пересылайте.

3. Доставив данный файл на клиентский компьютер, необходимо запустить командную строку и выполнить «djoin» со следующими ключами:

djoin /requestODJ /loadfile C:\blob.txt /windowspath %SystemRoot% /localos

Произойдет импортирование данных из файла в каталог Windows. Теперь при следующей загрузке операционной системы и доступности контроллера у вас будет возможность войти в домен Active Directory.

Рис. 2. Третий шаг, использование Djoin

С одной стороны функционал более чем интересный, с другой появляется гипотетическая возможность того, что кто-то сможет перехватить или завладеть таким файлом «Приглашением» и включить свой компьютер в домен, не имея никаких на это прав. Или это просто паранойя?

На текущий момент информации по «offline domain join» очень мало. В частности я не смог найти, есть ли какой-то срок жизни у такого файла-приглашения. Хотя если рассуждать логически, можно предположить, что он (срок жизни) равен сроку жизни пароля объекта «компьютер». Оригинальная информация на английском языке.