Offline Domänenbeitritt mit djoin.exe

Seit Windows Server 2008 bietet Microsoft mit dem Kommandozeilenwerkzeug .exe die Möglichkeit ein Computerkonto ohne Verbindung zu einem Domänenkontroller, also offline, einer Domäne beitreten zu lassen. Als ich dieses zum ersten Mal gelesen habe konnte ich mir über Sinn oder Unsinn dieser Möglichkeit noch kein wirkliches Bild machen. Wer will schon einen Computerkonto offline hinzufügen?

Durch meine Arbeit in einem Systemhaus (www.datom.de) erschließt sich jetzt aber der wirkliche Sinn und ich nutze diese Möglichkeit jetzt häufiger als ich es vorab gedacht habe. So ist es möglich ein Image eines PC-Systems im Büro vorzubereiten und an den Endkunden standortunabhängig fertig auszuliefern. Es ist kein Administrator vor Ort notwendig welcher das Konto anschließend noch der Domäne hinzufügen muss. Der normale Benutzer meldet sich einfach mit seinen Nutzerdaten an und kann arbeiten. Diese Möglichkeit ist insbesondere für kleine und mittelständische Unternehmen in Erwägung zu ziehen welche nicht über eine eigene Deployment Infrastruktur verfügen.

besteht dabei weitgehend aus zwei Schritten. Das offline Konto in der Domäne vorzubereiten und eine „sichere Datei“ zu erstellen und im zweiten Schritt das eigentliche Einbinden des Clients. Nachfolgend die einzelnen Schritte:

Auf einem DC mit den entsprechenden Berechtigungen zum erstellen eines Computerobjektes in der Domäne mit djoin.exe das Konto und die sichere Datei vorbereiten:

 

Wenn man sich das erzeugte File ansieht so bekommt man hier nicht wirklich Informationen. Die Datei ist aus Sicherheitsgründen verschlüsselt und kann so auch nicht mehr verändert werden. Wenn man jetzt in das AD schaut sieht man das entsprechende Computerkonto und kann es bei Bedarf auch gleich in die richtige OU verschieben.

 

Das Erzeugte File muss jetzt noch auf den Client übertragen werden. Ich stelle hier in der Praxis gleich immer mehrere DJOIN-Dateien für die spätere Verwendung bereit und speichere diese dann bei mir ab. Für meine kleine Demo für diesen Beitrag trenne ich die Netzverbindung damit man das ganze auch praktisch sieht.

 

Jetzt nur noch auf dem Zielsystem ebenfalls mit djoin.exe das ganze wieder zurückspielen:

 

Jetzt ist das System quasi im Auslieferungszustand. Nach dem nächsten Neustart steht die Option zur Anmeldung in der Domäne zur Verfügung.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.