Parte Um: Ingresso de Domínio Offline
Exigir
[Artigo exclusivo da IT Expert Network] Djoin pode ser encontrado em todos os Windows 7 e Windows Server 2008 R2. Os usuários não precisam atualizar o nível de desempenho de seus domínios do Active Directory para o Windows Server R2 e não precisam usar controladores de domínio R2 porque o djoin é compatível com versões anteriores de controladores de domínio. Como o Djoin requer privilégios de administrador, os usuários precisam usar esta ferramenta em um prompt de comando elevado. Obviamente, os usuários também precisam de uma conta com permissões suficientes para criar uma conta de computador de domínio.
dois passos
A adesão de um computador a um domínio offline consiste principalmente em duas etapas. Primeiro, o usuário cria uma conta de computador no Active Directory. Este processo é chamado de provisionamento de serviço. A coisa mais fácil a fazer é concluir esse processo no controlador de domínio R2. Djoin criará um blob de metadados codificados de 64 bits como um arquivo de texto. Esse blob de dados é usado para associar o computador Windows 7 ao domínio offline.
Prestação de serviços
Este comando prepara uma conta de computador no controlador de domínio R2, assim:
djoin /provision /domain <domínio a ser associado> /machine <nome do computador a ser associado> /savefile blob.txt
Se o usuário não precisar de um controlador de domínio do Windows Server 2008 R2, ele poderá executar o comando djoin.exe com o parâmetro /downlevel em um computador com Windows 7. Este Windows 7 deveria ter se tornado um membro do domínio.
Ingresso de domínio offline
O usuário deve copiar o arquivo bob.txt a ser adicionado ao domínio no computador e emitir o seguinte comando:
djoin /requestODJ /loadfile blob.txt /windowspath %SystemRoot% /localos
É necessário executar o comando djoin nesse computador usando o parâmetro localos. Você também pode executar o comando djoin no computador usado para determinar os parâmetros do caminho do Windows que apontam para o arquivo raiz do sistema do computador de destino. Se o usuário quiser ingressar uma máquina virtual offline no domínio, este método poderá ser usado. Dessa forma, uma vez iniciada a máquina virtual, ela já é membro do domínio e não precisa solicitar reinicialização.
Existem muitos outros recursos sobre os quais não falamos aqui. Abaixo está a lista completa de todos os parâmetros djoin. Posteriormente, discutiremos como funciona a adesão de domínio offline sem uma instalação autônoma e as circunstâncias sob as quais esse recurso pode ser usado.
Descrição do comando:
djoin.exe [/OPÇÕES]
/PROVISION – Prepare uma conta de computador no domínio
/DOMAIN <Nome> – o nome do domínio que está sendo adicionado
/MACHINE <Nome> – o nome do domínio inicial
/MACHINEOU <OU> – O opcional (OU) é onde a conta é criada
/DCNAME <DC> – opcional <DC> bloqueia a criação de conta
/REUSE - Reutilize qualquer conta existente, a senha da conta será redefinida
/SAVEFILE <FilePath> – Prepara dados para salvar arquivos em <FilePath>
/NOSEARCH - Ignora a verificação de conflitos de conta e solicita DCNAME rapidamente
/DOWNLEVEL – suporta o uso do Windows Server 2008 ou controladores de domínio anteriores
/PRINTBLOB – Retorna um blob de metadados codificados de 64 bits como arquivo de resposta
/DEFPWD – Use a senha padrão da conta do computador
/REQUESTODJ – Solicitar uma associação de domínio offline na próxima inicialização
/LOADFILE <FilePath> – Pré-especifique <FilePath> via /SAVEFILE
/WINDOWSPATH <Caminho> – Caminho para o diretório do Windows quando estiver offline
/LOCALOS – Permite que /WINDOWSSPATH especifique o sistema operacional em execução localmente. Este comando deve ser executado como administrador local.
As alterações não serão aplicadas até a reinicialização.
Parte 2: Ingressar em um domínio offline quando não há ninguém por perto
Uma coisa é concluir a primeira parte, outra é implantar um grande número de computadores que já são membros do domínio quando os computadores são inicializados pela primeira vez.
É possível associar um computador a um domínio offline sem que ninguém o instale. Primeiro, o usuário precisa concluir duas etapas na primeira parte, como criar uma conta de computador no domínio e um blob de metadados. Em seguida, adicione a seguinte seção ao unattend.xml:
<Componente>
<Nome do componente=Microsoft-Windows-UnattendedJoin>
<Identificação>
<Provisionamento>
<AccountData>Blob codificado em Base64</AccountData>
</Provisionamento>
</Identificação>
</Component>
"Base64Encoded Blob" deve ser substituído pelo conteúdo do arquivo blob.txt. Confira as capturas de tela abaixo para ter uma ideia do blob de metadados.
Possível uso de adesão de domínio offline
Quando li sobre a função de domínio offline, meu primeiro pensamento foi que seria uma grande melhoria para grandes empresas que adquirissem computadores com o Windows 7 pré-instalado. Os usuários só precisam enviar uma imagem do sistema operacional que já esteja associado ao domínio ao fabricante do computador. Depois que os novos computadores estiverem conectados à rede do fornecedor, eles poderão ser usados sem a necessidade de associar os novos computadores ao domínio do Active Directory do fornecedor.
No entanto, como cada computador requer um blob de metadados diferente, a própria imagem do sistema operacional não pode fazer isso. Os usuários precisam primeiro criar o arquivo blob e, em seguida, o fabricante do computador deve confirmar se cada computador recebeu seu próprio blob de metadados. O problema está no grupo de metadados que deve ser incluído em unattend.xml. Portanto, o processo é um pouco mais complicado do que atribuir nomes automaticamente a vários computadores porque os usuários não podem especificar números consecutivamente ou usar o endereço MAC do computador como nome.
Em vez disso, os usuários precisam de um armazenamento central para armazenar todos os arquivos blob e garantir que cada computador receba o unattend.xml correto. Portanto, os fabricantes de computadores precisam se preparar para esse processo – e isso ainda não parece realista.
No entanto, espero que em breve haja uma solução de terceiros que possa resolver este problema. Obviamente, os usuários também podem escrever uma solução para implementar a adesão de domínio offline para computadores recém-instalados.
É claro que as pequenas empresas realizam operações manuais. A vantagem da adesão ao domínio offline é que não há necessidade de os administradores realizarem operações localmente ao implantar novos computadores, relativamente falando, não há necessidade de scripts netdom com senhas de texto explícitas;
Outro caso de uso para usar o recurso de ingresso em domínio offline é na implantação automática de máquinas virtuais. Conforme mencionado anteriormente, os usuários só precisam montar um disco virtual para associar uma máquina virtual ao domínio. Dessa forma, os usuários podem usar scripts para concluir a implantação de um grande número de máquinas virtuais sem a necessidade de reiniciar constantemente durante o processo de implantação.
Resumir
Esse recurso é tão útil quanto o novo recurso de domínio offline, mas eu teria gostado de uma solução que não exigisse um blob especial por computador. Isto é tecnicamente possível. Os nomes dos computadores podem ser adicionados quando ninguém estiver operando. Além disso, quando o computador for iniciado pela primeira vez, a conta do computador poderá ser criada no Active Directory. Desta forma, a etapa de Provisionamento que mencionamos na primeira parte pode ser descartada.
O autor acredita que tal solução pode melhorar a forma como novos computadores são adicionados ao Active Directory. Considerando que a nova tecnologia de mapeamento levou os usuários a comprar computadores com o Vista pré-instalado no passado, parece que vale a pena tentar essa solução. No entanto, a Microsoft pode não estar interessada em fazer tais melhorias técnicas depois que o Vista recebeu publicidade negativa da mídia.