Visualizzazione post con etichetta djoin. Mostra tutti i post
Visualizzazione post con etichetta djoin. Mostra tutti i post

domenica 15 marzo 2020

Windows Server 2019: Aggiungere workstation offline al dominio tramite djoin

Nell'articolo Windows Server 2019: Aggiungere una workstation al dominio (join al dominio) è stato illustrato come eseguire la join al dominio di una workstation Windows 10 tramite GUI. La condizione necessaria per portare a termine l'operazione era che il client e il server riuscissero a comunicare tra loro.
Se il Domain Controller non può essere contattato dalla workstation la join può essere comunque effettuata mediante l'utility djoin.exe; introdotta in Windows 7 e Windows Server 2012, consente di eseguire la join del computer al dominio anche in assenza di comunicazione tra il client e il Domain Controller. In pratica djoin viene prima eseguito su un client o su un server Windows che riesce a comunicare con il Domain Controller in modo da creare l'account computer in Active Directory (AD) con il nome specificato (provisioning dell'account computer nel dominio), dopodiché i dati (chiamati blob) vengono esportati in un file per essere importati, sempre tramite l'utilizzo dell'utility, sul client offline. L'utente che esegue djoin per la creazione del file dovrà disporre dell'abilitazione per aggiungere computer al dominio. Per default gli utenti appartenenti ad un dominio possono aggiungere fino ad un massimo di 10 computer, raggiunto tale limite è necessario procedere con un account abilitato all'inserimento dei computer in AD. Il file generato potrà essere utilizzato anche per un'installazione unattended. L'utilizzo di djoin torna utile in tutti quei casi in cui il Domain Controller è temporaneamente non raggiungibile: si pensi, ad esempio, il caso in cui bisogna configurare delle postazioni prima di trasportarle e installarle fisicamente presso un cliente.

La sintassi del comando djoin.exe è la seguente:

djoin.exe [/OPZIONI]

Opzioni:
/PROVISION - Esegue il provisioning di un account computer nel dominio.

  /DOMAIN <Nome> - <Nome> del dominio a cui aggiungere il computer.

  /MACHINE <Nome> - <Nome> host del computer da aggiungere al dominio.

  /MACHINEOU <OU> - <OU> facoltativa in cui viene creato l'account.

  /DCNAME <DC> - <DC> facoltativo di destinazione per la creazione dell'account.

  /REUSE - Riutilizza un eventuale account esistente (la password verrà reimpostata).

  /SAVEFILE <PercorsoFile> - Salva i dati del provisioning in un file in <PercorsoFile>

  /NOSEARCH - Ignora il rilevamento di conflitti relativi agli account. Richiede DCNAME (più veloce)

  /DOWNLEVEL - Supporta l'uso di un controller di dominio di Windows Server 2008 o versione precedente.

  /PRINTBLOB - Restituisce il BLOB dei metadati con codifica Base64 per un file di risposta.

  /DEFPWD - Utilizza la password predefinita dell'account computer (scelta non consigliata).

  /ROOTCACERTS - Facoltativo. Include i certificati dell'autorità di certificazione radice.

  /CERTTEMPLATE <Nome> - Facoltativo. <Nome> del modello di certificato del computer. Include i certificati dell'autorià di certificazione radice.

  /POLICYNAMES <Nome/i> - Facoltativo. Elenco di nomi di criteri separati da punto e virgola. Ciascun nome è il nome visualizzato dell'oggetto Criteri di gruppo in AD.

  /POLICYPATHS <Percorso/i> - Facoltativo. Elenco di percorsi di criteri separati da punto e virgola. Ciascun percorso è un percorso a un file di criteri di registro.

  /NETBIOS <Nome> - <Nome> nome NetBios facoltativo del computer aggiunto al dominio.

  /PSITE <Nome> - <Nome> facoltativo del sito persistente in cui inserire il computer aggiunto al dominio.

  /DSITE <Nome> - <Nome> facoltativo del sito dinamico in cui inserire inizialmente il computer aggiunto al dominio.

  /PRIMARYDNS <Nome> - <Nome> facoltativo del dominio DNS primario del computer aggiunto al dominio.

/REQUESTODJ - Richiede l'aggiunta al dominio offline all'avvio successivo.

  /LOADFILE <PercorsoFile> - <PercorsoFile> specificato in precedenza tramite /SAVEFILE

  /WINDOWSPATH <Percorso> - <Percorso> della directory Windows in un'immagine offline

  /LOCALOS - Consente di specificare il sistema operativo in esecuzione in locale con /WINDOWSPATH. Questo comando deve essere eseguito da un amministratore locale. Per applicare le modifiche è necessario riavviare il sistema.


  

Provisioning dell'account computer nel dominio

  • Posizionarsi su un client o un server Windows appartenente al dominio e connesso al Domain Controller ed eseguire il logon come amministratore del dominio.
  • All'interno del menu Start digitare cmd. Cliccare con il tasto destro su Prompt dei comandi e selezionare Esegui come amministratore.
    FIG 1 - Prompt dei comandi come amministratore
  • Dal prompt dei comandi eseguire il comando
    djoin /provision /domain <dominio> /machine <nome_host> /savefile <PercorsoFile>
    Ad es. nel nostro dominio mycompany.local il comando diventa
    djoin /provision /domain mycompany.local /machine PCDIR002 /savefile c:\offlinedomainjoin.txt
    DJOIN, Provisioning account computer
    FIG 2 - DJOIN, Provisioning account computer
  • Verificando in Active Directory noteremo che la workstation specificata nel comando (PCDIR002) è stata aggiunta al container Computers come mostrato in FIG 3. Copiare il file generato (c:\offlinedomainjoin.txt) sulla workstation offline che si intende aggiungere al dominio. Anche se si tratta di un file di testo, aprendolo con un editor di testo il suo contenuto non è leggibile per un essere umano (FIG 4) tuttavia il file contiene dati sensibili come password e informazioni relative al dominio.
    Active Directory, container Computers
    FIG 3 - Active Directory, container Computers
    File generato da djoin contenente i dati del provisioning
    FIG 4 - File generato da djoin contenente i dati del provisioning



Join al dominio della workstation offline

  • Sulla workstation offline, dopo aver copiato il file generato da djoin, avviare il prompt dei comandi come amministratore ed eseguire il comando
    djoin /requestODJ /loadfile c:\offlinedomainjoin.txt /windowspath %systemroot% /localos 
    dove al posto di c:\offlinedomainjoin.txt va indicato il percorso e il nome del file del provisioning.
    Windows 10, djoin sulla workstation offline
    FIG 5 - Windows 10, djoin sulla workstation offline
  • Riavviare il sistema. Dopo il riavvio, come visibile in FIG 6, la workstation appartiene al dominio ed è stata rinominata in PCDIR002 (nome specificato nella fase del provisioning).
    Windows 10, Dominio e nome PC
    FIG 6 - Windows 10, Dominio e nome PC