In Windows Server 2008 R2 lassen sich mit dem Tool Djoin Computerkonten von Windows 7-Computern auch dann einer Domäne hinzufügen, wenn diese aktuell keine Verbindung mit dem Domänencontroller haben. Sobald der Client eine Verbindung aufbaut, wendet er die notwendigen Einstellungen und Berechtigungen an, die für eine Domänenaufnahme notwendig sind.So ist es zum Beispiel möglich, Clients von Niederlassungen in Domänen aufzunehmen, wenn aktuell keine Verbindung zur Domäne besteht.

Dieser Workshop zeigt die Offline-Domänenaufnahme mit und ohne Antwortdatei. Wollen Sie zum Beispiel viele virtuelle Computer auf einmal in die Domäne aufnehmen, beispielsweise in einem Virtual Desktop Infrastructure-Szenario, können Sie das Active Directory so vorbereiten, dass sich die Computer schnell und problemlos anbinden lassen. Sobald ein solcher Client das erste Mal startet, führt er die notwendigen Änderungen durch – ein erneuter Start des Rechners ist daher nicht notwendig.

Das beschleunigt auch das Bereitstellen von Windows 7-Computern im Netzwerk. Djoin funktioniert auch zusammen mit schreibgeschützten Domänencontrollern (RODC). Dazu nehmen Sie mit Djoin die Computer auf und lassen die Konten zum RODC replizieren. Sobald sich die Computer in der Niederlassung mit dem Netzwerk verbinden, authentifizieren sie sich am schreibgeschützten Domänencontroller und sind im Active Directory verfügbar. Ein weiterer Vorteil ist die automatisierte Domänenaufnahme von neuen Computern beim Deployment von Windows 7 im Unternehmen, indem Sie die notwendigen Befehle für die Domänenaufnahme in die Antwortdatei der automatischen Installation aufnehmen.

Voraussetzungen für die Verwendung
Damit Sie die Offline-Domänenaufnahme verwenden können, müssen Sie Windows 7 oder Windows Server 2008 R2 als Betriebssystem einsetzen. Sie können diese Betriebssysteme aber auch in Domänen aufnehmen, die noch keine Domänencontroller unter Windows Server 2008 R2 betreiben. In diesem Fall verwenden Sie die Option "/downlevel". Standardmäßig geht Djoin davon aus, dass eine Verbindung zu einem Domänencontroller unter Windows Server 2008 R2 besteht. Zusammenfassend heißt das, dass Sie nur Computer, auf denen Windows 7 oder Windows Server 2008 R2 installiert ist, per Djoin zu einer Domäne aufnehmen können. Bei der Domäne kann es sich auch um ein Active Directory unter Windows Server 2008 handeln.

Nur Benutzer, die über die Rechte verfügen, Computer einer Domäne hinzuzufügen, können Djoin nutzen. Dazu müssen Sie entweder über Domänen-Adminrechte verfügen oder ein Administrator muss die entsprechenden Rechte delegieren. Die Rechte, Computer in eine Domäne aufzunehmen, setzen Sie über Gruppenrichtlinien. Bearbeiten Sie dazu den Wert "Hinzufügen von Arbeitsstationen zur Domäne" unter "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten". Nehmen Sie hier die Benutzerkonten auf, die über die entsprechenden Rechte verfügen sollen.

Durchführen der Offline-Domänenaufnahme
Die Offline-Domänenaufnahme erfolgt über Djoin in der Befehlszeile auf einem Computer unter Windows 7 oder Windows Server 2008 R2, der bereits Mitglied der Domäne ist. Sie müssen für die Verwendung über das Kontextmenü eine Eingabeaufforderung mit Administratorrechten starten und über Rechte verfügen, Computerkonten zur Domäne hinzuzufügen. Die Ausgabe in die Datei oder auf dem Bildschirm enthält die Metadaten für die Domänenaufnahme. Microsoft bezeichnet diese auch als "Blob".

Bei der Ausführung können Sie entweder eine verschlüsselte Datei erstellen, die Sie auf dem Clientrechner dann verwenden müssen oder Sie speichern die Daten in einer Datei unattend.xml, um Antwortdateien vollkommen zu automatisieren. Das Tool Djoin.exe hat verschiedene Optionen, die wir im Kasten am Ende des Artikels genauer auflisten.

Generell ist der Ablauf bei einer Domänenaufnahme recht einfach: Zunächst erstellen Sie mit djoin /provision Metadaten für die Domänenaufnahme des Zielcomputers. Als Option geben Sie die Domäne an. Achten Sie darauf, dass Sie die Eingabeaufforderung im Administratormodus öffnen. Ein Beispiel für die Datei wäre

djoin /provision /domain contoso.com
/machine client134 /savefile
c:\client134.txt.

Inhalt der Datei sind das Kennwort der Maschine, Name der Domäne und des Domänencontrollers, sowie die SID der Domäne. Kopieren Sie die Datei auf den Rechner. Der Inhalt ist verschlüsselt und von Außenstehenden nicht lesbar. Auf dem Zielcomputer verwenden Sie

djoin /requestODJ /loadfile
c:\client134.txt /windowspath
{SystemRoot} /localos

um den Rechner zur Domäne aufzunehmen. Starten Sie den Zielcomputer, wird der Computer automatisch in die Domäne aufgenommen, sobald eine Verbindung zu einem Domänencontroller besteht.

Offline-Domänenaufnahme bei einer unbeaufsichtigten Installation über Antwortdatei
Wollen Sie eine Offline-Domänenaufnahme während der Installation, zum Beispiel im unbeaufsichtigten Modus durchführen, ist das ebenfalls möglich. Dazu müssen Sie beim Erstellen des Computerkontos auf der Domäne den Inhalt der Metadaten statt in einer verschlüsselten Datei in eine Antwortdatei integrieren. Antwortdateien unter Windows Server 2008 R2 und Windows 7 tragen normalerweise die Bezeichnung Unattend.xml. Sie müssen in der Antwortdatei dazu eine neue Sektion erstellen. Diese trägt die Bezeichnung "Microsoft-Windows-UnattendJoin / Identification / Provisioning". Diese Sektion enthält darüber hinaus eine Unterstruktur, die folgendermaßen aussieht:

<Component>
 <Component name=Microsoft-Windows-UnattendedJoin>
 <Identification>
 <Provisioning>
 <AccountData>Base64Encoded Blob>
 </Provisioning>
 </Identification>
</Component>

Sie müssen die Metadaten, die Sie beim Erstellen der Datei erhalten, zwischen die Tags "<AccountData>" und "</AccountData>" einfügen. Nachdem Sie die Datei erstellt haben, können Sie den Computer unbeaufsichtigt installieren. Die Syntax bei Antwortdateien ist setup /unattend:{Antwortdatei}.
 

Thomas Joos/jp/ln