Nell'articolo precedente Windows Server 2022: Aggiungere una workstation al dominio (join al dominio) è stato illustrato come eseguire la join al dominio di una workstation Windows 11 tramite GUI. In questi casi la condizione imprescindibile affinché la procedura venga portata correttamente a termine è la comunicazione tra client e Server Domain Controller.
Se il Domain Controller, per qualche motivo, non può essere contattato dalla workstation, la join potrà essere comunque effettuata mediante l'utility djoin.exe. L'utility djoin.exe, introdotta in Windows 7 e Windows Server 2012, consente di eseguire la join del computer al dominio anche in assenza di comunicazione tra il client e il Domain Controller. In pratica djoin verrà prima eseguito su un client o su un server Windows che riesce a comunicare con il Domain Controller in modo da creare l'account computer in Active Directory (AD) con il nome specificato (provisioning dell'account computer nel dominio), dopodiché i dati (chiamati blob) verranno esportati in un file per essere importati, sempre tramite l'utilizzo dell'utility, sul client offline. L'utente che esegue djoin per la creazione del file dovrà disporre dell'abilitazione per aggiungere computer al dominio. Per default gli utenti appartenenti ad un dominio possono aggiungere fino ad un massimo di 10 computer, raggiunto tale limite è necessario procedere con un account abilitato all'inserimento dei computer in AD. Il file generato potrà essere utilizzato anche per un'installazione unattended. L'utilizzo di djoin torna utile in tutti quei casi in cui il Domain Controller è temporaneamente non raggiungibile: si pensi, ad esempio, il caso in cui bisogna configurare delle postazioni prima di trasportarle e installarle fisicamente presso un cliente.
La sintassi del comando djoin.exe è la seguente:
djoin.exe [/OPZIONI]
Opzioni:
/PROVISION - Esegue il provisioning di un account computer nel dominio.
/DOMAIN <Nome> - <Nome> del dominio a cui aggiungere il computer.
/MACHINE <Nome> - <Nome> host del computer da aggiungere al dominio.
/MACHINEOU <OU> - <OU> facoltativa in cui viene creato l'account.
/DCNAME <DC> - <DC> facoltativo di destinazione per la creazione dell'account.
/REUSE - Riutilizza un eventuale account esistente (la password verrà reimpostata).
/SAVEFILE <PercorsoFile> - Salva i dati del provisioning in un file in <PercorsoFile>
/NOSEARCH - Ignora il rilevamento di conflitti relativi agli account. Richiede DCNAME (più veloce)
/DOWNLEVEL - Supporta l'uso di un controller di dominio di Windows Server 2008 o versione precedente.
/PRINTBLOB - Restituisce il BLOB dei metadati con codifica Base64 per un file di risposta.
/DEFPWD - Utilizza la password predefinita dell'account computer (scelta non consigliata).
/ROOTCACERTS - Facoltativo. Include i certificati dell'autorità di certificazione radice.
/CERTTEMPLATE <Nome> - Facoltativo. <Nome> del modello di certificato del computer. Include i certificati dell'autorià di certificazione radice.
/POLICYNAMES <Nome/i> - Facoltativo. Elenco di nomi di criteri separati da punto e virgola. Ciascun nome è il nome visualizzato dell'oggetto Criteri di gruppo in AD.
/POLICYPATHS <Percorso/i> - Facoltativo. Elenco di percorsi di criteri separati da punto e virgola. Ciascun percorso è un percorso a un file di criteri di registro.
/NETBIOS <Nome> - <Nome> nome NetBios facoltativo del computer aggiunto al dominio.
/PSITE <Nome> - <Nome> facoltativo del sito persistente in cui inserire il computer aggiunto al dominio.
/DSITE <Nome> - <Nome> facoltativo del sito dinamico in cui inserire inizialmente il computer aggiunto al dominio.
/PRIMARYDNS <Nome> - <Nome> facoltativo del dominio DNS primario del computer aggiunto al dominio.
/REQUESTODJ - Richiede l'aggiunta al dominio offline all'avvio successivo.
/LOADFILE <PercorsoFile> - <PercorsoFile> specificato in precedenza tramite /SAVEFILE
/WINDOWSPATH <Percorso> - <Percorso> della directory Windows in un'immagine offline
/LOCALOS - Consente di specificare il sistema operativo in esecuzione in locale con /WINDOWSPATH. Questo comando deve essere eseguito da un amministratore locale. Per applicare le modifiche è necessario riavviare il sistema.
Provisioning dell'account computer nel dominio
Posizionarsi su un client o un server Windows appartenente al dominio e connesso al Domain Controller ed eseguire il logon come amministratore del dominio.
All'interno del menu Start digitare cmd quindi cliccare su Esegui come amministratore.
 |
| FIG 1 - Prompt dei comandi come amministratore |
Dal prompt dei comandi eseguire il comando
djoin /provision /domain <dominio> /machine <nome_host> /savefile <PercorsoFile>
Ad es. nel nostro dominio mycompany.local il comando diventa
djoin /provision /domain mycompany.local /machine PCDIR002 /savefile c:\offlinedomainjoin.txt
 |
| FIG 2 - DJOIN, Provisioning account computer |
Verificando in Active Directory noteremo che la workstation specificata nel comando (PCDIR002) è stata aggiunta al container Computers come mostrato in FIG 3. Copiare il file generato (c:\offlinedomainjoin.txt) sulla workstation offline che si intende aggiungere al dominio. Anche se si tratta di un file di testo, aprendolo con un editor di testo il suo contenuto non è leggibile per un essere umano (FIG 4) tuttavia il file contiene dati sensibili come password e informazioni relative al dominio.
 |
| FIG 3 - Active Directory, container Computers |
 |
| FIG 4 - File generato da djoin contenente i dati del provisioning |
Join al dominio della workstation offline
Sulla workstation offline, dopo aver copiato il file generato da djoin, avviare il prompt dei comandi come amministratore ed eseguire il comando
djoin /requestODJ /loadfile c:\offlinedomainjoin.txt /windowspath %systemroot% /localos
dove al posto di c:\offlinedomainjoin.txt va indicato il percorso e il nome del file del provisioning.
 |
| FIG 5 - Windows 11, djoin sulla workstation offline |
Riavviare il sistema. Dopo il riavvio, come visibile in FIG 6, la workstation appartiene al dominio ed è stata rinominata in PCDIR002 (nome specificato nella fase del provisioning).
 |
| FIG 6 - Windows 11, Dominio e nome PC |
Nessun commento:
Posta un commento
I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.