自從Contoso公司將基礎(chǔ)架構(gòu)平臺(tái)升級(jí)到Windows Server 2008 R2上之后，小趙就被其全新的特性完全吸引住了，正埋頭于電腦前研究呢， 經(jīng)理路過(guò)說(shuō)道：小趙呀，新到的20臺(tái)電腦，你給加到域里吧，還有一個(gè)給陳總的筆記本，他著急要出差，加好域趕緊給他。小趙拍拍胸脯：沒(méi)問(wèn)題。

沒(méi)想到小趙剛打開(kāi)筆記本，準(zhǔn)備折騰的時(shí)候，陳總的助理跑了過(guò)來(lái)，說(shuō)陳總要走了，問(wèn)筆記本配置好了嗎。小趙趕緊看了一眼計(jì)算機(jī)名稱(chēng)，便遞給了助理，助理一愣：你都給弄完了？小趙狡黠的一笑：嘿嘿，我自有辦法。

其實(shí)小趙想：筆記本軟件都已經(jīng)準(zhǔn)備好了，就差加到域環(huán)境了，既然陳總著急，那就讓他拿走吧，正好可以試試Windows Server 2008 R2的新功能Offline Domain Join，嘿嘿。

一、 離線(xiàn)加入域概述

離線(xiàn)加入域或脫機(jī)加入域是Windows Server 2008 R2和Windows 7帶來(lái)的新特性，它將允許Windows Server 2008 R2或Windows 7的計(jì)算機(jī)無(wú)需連接域控制器，就可以將計(jì)算機(jī)加入到域環(huán)境中，特別是在部署大規(guī)模的域環(huán)境時(shí)，顯得尤為便捷。

1. 向活動(dòng)目錄提供一個(gè)計(jì)算機(jī)賬號(hào)，相關(guān)加入域的信息經(jīng)過(guò)加密存儲(chǔ)在一個(gè)基于base64編碼的二進(jìn)制文件中，這個(gè)文件需要在目標(biāo)計(jì)算機(jī)中導(dǎo)入。

2. 目標(biāo)計(jì)算機(jī)使用生成的配置文件配置本地系統(tǒng)，加入域。

3. 重新啟動(dòng)目標(biāo)計(jì)算機(jī)完成加入域的操作，如果需要登錄域，此時(shí)需要與DC進(jìn)行通信。

#p#

二、 功能需求

" 操作系統(tǒng)需求

離線(xiàn)加入域功能只能在Windows Server 2008 R2或Windows 7上使用，因?yàn)樵摴δ苄枰褂肈join.exe命令，并且使用時(shí)默認(rèn)指向Windows Server 2008 R2的域控制器。

注意：如果當(dāng)前使用的域控制器是Windows Server 2008 R2以下級(jí)別的操作系統(tǒng)，可以在一臺(tái)安裝有Windows Server 2008 R2或Windows 7的計(jì)算機(jī)中使用具有Domain Admins權(quán)限的賬戶(hù)生成計(jì)算機(jī)賬戶(hù)信息。

" 用戶(hù)憑據(jù)需求

離線(xiàn)加入域同樣需要操作用戶(hù)擁有Domain admins權(quán)限。不過(guò)也可以通過(guò)組策略，授予Domain users用戶(hù)相應(yīng)的權(quán)限。

通過(guò)組策略進(jìn)行授權(quán)：

打開(kāi)組策略管理控制臺(tái)，可以創(chuàng)建一條名為【允許計(jì)算機(jī)加域用戶(hù)組】的策略，并且編輯它。依次展開(kāi)【計(jì)算機(jī)配置】-【策略】-【W(wǎng)indows 設(shè)置】-【安全設(shè)置】-【本地策略】-【用戶(hù)權(quán)限分配】，選擇【將工作站添加到域】，定義該策略，添加授權(quán)用戶(hù)。如圖1

#p#

三、 離線(xiàn)加入域過(guò)程

1． 使用Djoin命令生成配置文件

在Windows Server 2008 R2或Windows中，使用具有將計(jì)算機(jī)加入域權(quán)限的用戶(hù)登錄，打開(kāi)命令行。

可以先鍵入Djoin / ?進(jìn)行命令語(yǔ)法的查詢(xún)，如圖2

參照示例，可以這樣寫(xiě)：Djoin /PROVISION /DOMAIN Contoso.com /MACHINE WIN7 /SAVEFILE C:\WIN7.TXT

注意：如果域內(nèi)域控制器版本低于Windows Server 2008 R2，需要添加/DOWNLEVEL參數(shù)。

其中/MACHINE后面指定的計(jì)算機(jī)名必須和需要離線(xiàn)加入域的計(jì)算機(jī)名一致，否則操作將失敗。圖3為操作成功內(nèi)容。
 

這時(shí)，觀察活動(dòng)目錄中，win7這臺(tái)計(jì)算機(jī)已經(jīng)被成功加入，打開(kāi)屬性發(fā)現(xiàn)，因?yàn)樗](méi)有于域控制器進(jìn)行通信，所以還無(wú)法得知加入計(jì)算機(jī)的相關(guān)信息。如圖4
 

#p#

2. 在目標(biāo)計(jì)算機(jī)上導(dǎo)入配置文件

在目標(biāo)計(jì)算機(jī)中，先將之前獲取的配置文件使用存儲(chǔ)介質(zhì)或其他方法轉(zhuǎn)移到目標(biāo)計(jì)算機(jī)磁盤(pán)中。然后使用管理員權(quán)限運(yùn)行命令提示符，根據(jù)Djoin的幫助命令，這里要鍵入：

Djoin /REQUESTODJ /LOADFILE C:\WIN7.TXT /WINDOWSPATH C:\WINDOWS /LOCALOS

圖5為已經(jīng)成功導(dǎo)入配置文件信息，但此時(shí)該計(jì)算機(jī)并沒(méi)有正式加入到域中，只是修改了計(jì)算機(jī)全名。

#p#

3. 重啟目標(biāo)計(jì)算機(jī)

在將目標(biāo)計(jì)算機(jī)重啟后，此時(shí)它如果想登陸到域中，需要接入到企業(yè)內(nèi)網(wǎng)中來(lái)，并且可以與域控制器進(jìn)行通信。因?yàn)樗皇鞘褂秒x線(xiàn)加域的方式加入到域，并沒(méi)有緩存登陸域賬戶(hù)信息，所以無(wú)法直接使用域賬戶(hù)進(jìn)行登陸。

在正常使用域賬戶(hù)登陸后，可以發(fā)現(xiàn)win7這臺(tái)計(jì)算機(jī)已經(jīng)正式屬于Contoso.com這個(gè)域，并且活動(dòng)目錄中，關(guān)于這臺(tái)計(jì)算機(jī)的相關(guān)信息也已經(jīng)補(bǔ)全。如圖6

經(jīng)過(guò)一番折騰，小趙將離線(xiàn)加域配置文件制作成批處理發(fā)送給陳總后，囑咐陳總運(yùn)行一下，等到陳總出差回來(lái)，就可以直接使用使用域內(nèi)資源而不用配置了。小趙正樂(lè)呢，經(jīng)理走過(guò)來(lái)說(shuō)：還有20個(gè)臺(tái)式機(jī)呢。小趙聽(tīng)了，靈機(jī)一動(dòng)，想到在Windows Server 2008 R2中無(wú)人值守安裝文件里多了一個(gè)組件，叫做：Microsoft-Windows-UnattendJoin/Identification/Provisioning，它可以在安裝操作系統(tǒng)之后的初始啟動(dòng)過(guò)程中加入域，而不需要另外重新啟動(dòng)，縮短了部署時(shí)間。

組件結(jié)構(gòu)如下：

<Component>
<Component name=Microsoft-Windows-UnattendedJoin>
     <Identification>
          <Provisioning>
               <AccountData>Base64二進(jìn)制代碼</AccountData>
          </Provisioning>
     </Identification>
</Component>

其中，  <AccountData> </AccountData>中間值即為申請(qǐng)離線(xiàn)加域的二進(jìn)制加密信息。

下面是無(wú)人值守文件的示例：

- <componentname="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <Identification>
- <Credentials>
  <Domain>contoso</Domain>
  <Password>38277842</Password>
  <Username>user1</Username>
  </Credentials>
- <Provisioning>
  <AccountData>ARAIAMzMzMw4AwAAAAAAAAAAAgABAAAAAQAAAAQAAgABAAAAAQAAABADAAAIAAIAEAMAAAEQCADMzMzMAAMAAAAAAAAAAAIABAACAAgAAgAMAAIADgAQABAAAgAWABgAFAACABYAGAAYAAIA+4xP3DvobEus/F77Q7E4ZBwAAgAgAAIAJAACAAEAAAD7jE/cO+hsS6z8XvtDsThkKAACACwAAgD9MQDgMAACADQAAgAAAAAADAAAAAAAAAAMAAAAQwBPAE4AVABPAFMATwAuAEMATwBNAAAABQAAAAAAAAAFAAAAVwBJAE4ANwAAAAAAeQAAAAAAAAB5AAAAIwBcAEUAIwB5AHAAdwB3AF0ANwBdACgAcQBbAD8AOgBaAFwAMQAoAC4AKgAyAFIAUQB1ADQAOQByAGkAWwBaAFwAYABMACIAdwBsACgAPwBPAC8AdQBKADoAcwBoAFoAKgBlADgAUQBYADYAOQBUAFUAQgBoAEYAXwBwAF0AUAA0AD8APQBVAGMAZgA6AEUARgBMAC4APwAqAG8AXwB4ACYASAA5AGoASAAvAGAAWABFAGwAPgBFACoAUwBDAG4AYwB4AG8AcABrACAAPwBAAFMAVQAyAFQANQA1AHMAbwA4AEYAOQBEAE0AUgA6AFkAAAAAAAgAAAAAAAAABwAAAEMATwBOAFQATwBTAE8AAAAMAAAAAAAAAAsAAABjAG8AbgB0AG8AcwBvAC4AYwBvAG0AAAAMAAAAAAAAAAsAAABjAG8AbgB0AG8AcwBvAC4AYwBvAG0AAAAEAAAAAQQAAAAAAAUVAAAAmjmcZMCGHgUwequHEgAAAAAAAAASAAAAXABcAEQAQwAyAC4AYwBvAG4AdABvAHMAbwAuAGMAbwBtAAAADgAAAAAAAAAOAAAAXABcADEAOQAyAC4AMQA2ADgALgAxAC4AMgAAAAwAAAAAAAAADAAAAGMAbwBuAHQAbwBzAG8ALgBjAG8AbQAAAAwAAAAAAAAADAAAAGMAbwBuAHQAbwBzAG8ALgBjAG8AbQAAAAUAAAAAAAAABQAAAHcAZQBzAHQAAAAAAAUAAAAAAAAABQAAAHcAZQBzAHQAAAAAAAAAAAAAAAAA</AccountData>
  </Provisioning>
  <JoinDomain>contoso</JoinDomain>
  </Identification>
  </component>

小趙依葫蘆畫(huà)瓢，迅速做好20個(gè)需要離線(xiàn)加域的Windows 7無(wú)人值守文件，并且使用setup /unattend: unattend.xml將20個(gè)臺(tái)式機(jī)裝好系統(tǒng)，只用了不到一天的時(shí)間，小趙就完成了這些往日需要很久才能完成的工作，一種成就感油然而生，不禁對(duì)Windows Server 2008 R2系統(tǒng)平臺(tái)更加著迷了。

結(jié)束語(yǔ)：本文主要針對(duì)Windows Server 2008 R2平臺(tái)內(nèi)新提供的離線(xiàn)加入域功能進(jìn)行了詳細(xì)的描述。想必各位已經(jīng)迫不及待的想去嘗試一下了，不過(guò)Windows Server 2008 R2帶來(lái)的改變不僅僅如此，還有像Active Directory回收站、Server Core的強(qiáng)化、IIS7.5、HYPER-V 2.0等等，還有和Windows 7配合使用的Direct Access、BranchCache等關(guān)鍵技術(shù)確實(shí)有助于企業(yè)IT部門(mén)滿(mǎn)足他們的業(yè)務(wù)創(chuàng)新需求，助力企業(yè)快速發(fā)展。

【編輯推薦】

1. IIS7在Windows Server 2008 R2中的技術(shù)革新
2. 在Windows Server 2008 R2中RemoteApp的服務(wù)器配置
3. Windows Server 2008 R2中如何托管服務(wù)賬號(hào)