【IT168 特别策划】6000名IT精英齐聚一堂,与来自微软产品核心研发团队及各个领域数百位优异专家面对面交流,Tech.Ed 2009盛典召开在即!IT168带您一起体验丰富多彩的活动和内容安排,更加深入、专注的互动讨论!
据微软官方网站透露的信息,本届Tech.ED主要会展示包括Windows 7、Windows Server 2008 R2等在内的六大新产品及相关技术。虽然相关课程信息还没有公布,但相比以往以开发为主的Tech.ED大会,今年的主题更加贴合实际应用。IT168服务器频道特此推出面向Windows Server 2008 R2的系列短文,从应用技巧到系统结构逐步帮您熟悉和了解R2版Server 2008的神奇之处。
本文详解了离线加入域(Offline Join Domain)这个Windows Server 2008 R2的新功能。它为企业提供以下好处:
1、减少了数据中心的TCO
2、使企业部署更加快捷
一、必要条件
支持Windows Server 2008 R2和Windows 7
二、用户凭据要求
安装的用户必须有增加工作站到域的权限。一般来说,我们可以使用Domain ADMINS组用户即可,也可以委托权限级某一用户。
以下是授权一般用户USER001增加工作站到域的权限的示例。完成这一操作有两种方法
1、使用组策略进行授权
打开组策略管理控制台(GPMC.MSC),选择Default Domain Controler Policy进行编辑。
打开Computer Configuration,选择Polices,Windows Settings,Local Policies,选择Add workstaions to domain,进行如下设置
同时为了进行测试设置是否正确,授予USER001“Allow log on locally”权限。如下图
2、使用LDP.EXE进行授权
运行LDP.EXE,选择Connection,选择BIND,选择View菜单中的 Tree ,BASECN选择DC=HBYCRSJ,DC=COM
选择Add ACE
设置完成后,我们可以以在DC上以USER001用户登录,打开活动目录用户和计算机,在Computers容器随便建立一个计算机,测试能成功。
三、域控制器操作
假设我们要将一台Windows 7的客户端离线加入到域,计算机名为Win200701
在服务器运行如下命令:
DJoin命令帮助
用法: djoin.exe [/OPTIONS]
/PROVISION - 在域中设置计算机帐户
/DOMAIN <Name> - 要加入域的 <Name>
/MACHINE <Name> - 加入域的计算机的 <Name>
/MACHINEOU <OU> - 创建帐户的可选 <OU>
/DCNAME <DC> - 用于创建帐户的可选 <DC>
/REUSE - 重复使用任何现有帐户(将重置密码)
/SAVEFILE <FilePath> - 将设置数据保存到文件,位置是 <FilePath>
/NOSEARCH - 跳过帐户冲突检测,要求有 DCNAME (更快)
/DOWNLEVEL - 支持使用 Windows Server 2008 DC 或更早版本
/PRINTBLOB - 返回答案文件的 base64 编码的元数据 blob
/DEFPWD - 使用默认的计算机帐户密码(不推荐使用)
/REQUESTODJ - 请求在下次启动时脱机加入域
/LOADFILE <FilePath> - 以前通过 /SAVEFILE 指定的 <FilePath>
/WINDOWSPATH <Path> - 指向脱机映像的 Windows 目录的 <Path>
/LOCALOS - 允许 /WINDOWSPATH 指定本地运行的操作系统
必须以本地管理员身份运行此命令。
需要重新启动此选项才能应用更改。
示例:
在域中设置计算机帐户:
djoin.exe /PROVISION /DOMAIN <DomainName> /MACHINE <MachineName>
/SAVEFILE <FilePath>
注意: 其他参数为可选参数
请求本地计算机执行脱机加入域:
djoin.exe /REQUESTODJ /LOADFILE <FilePath> /WINDOWSPATH <Path>
注意: 其他参数为可选参数
将C:\WIN200701.TXT文件通过网络(或移动设备)复制到计算机Win200701上
四、客户端操作
以管理员权限找开命令提示符,运行
djoin.exe /REQUESTODJ /LOADFILE c:\win200701.txt /WINDOWSPATH c:\windows
重启计算机后,计算机将加入到域
五、使用无人职守文件离线加入到域
首先用djoin产生计算机帐号数据元,然后建立无人职守文件unattend.xml,添加如下信息
<Component>
<Component name=Microsoft-Windows-UnattendedJoin>
</Component>
其中<AccountData>Base64Encoded Blob</AccountData>中间包含计算机帐号数据元,即使用djoin产生的数据,即上面的win200701.txt文件的内容。
然后启动计算机到安装模式,或启动到windows pe,运行
setup /unattend:无人职守文件
以下是无人职守文件的示例:
- <component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <Identification>
- <Credentials>
- <Provisioning>
