Mit Windows 10 oder Server 2016 offline einer Domäne beitreten

    Offline Domain JoinMicrosoft führte mit Windows 7 und Server 2008 R2 die Mög­lich­keit ein, mit PCs einer Domäne beizu­treten, ohne dass diese eine Verbin­dung zu einem Domänen-Controller haben müssen. Diesem Zweck dient nur das Kom­mando­zeilen-Tool djoin.exe, ein GUI- oder Power­Shell-Äqui­valent dazu gibt es nicht.

    Windows bietet mehrere Verfahren, um mit einem Rechner online einer Domäne beizutreten. Die verschie­denen Wege führen über die System­steuerung, die App Einstellungen oder über PowerShell. Unter bestimmten Bedin­gungen kann es aber praktisch sein, den Domain Join in zwei zeitlich getrennten Schritten zu vollziehen.

    Vorbereitung auf Admin-PC

    Das gilt für alle Szenarien, bei denen keine Netzver­bindung mit dem Domain-Controller besteht. Das kann etwa der Fall bei Mitarbeitern sein, die mit ihrem Notebook nur von unterwegs arbeiten und über DirectAccess auf das Firmen­netz zugreifen. Eine weitere Anwendung ist der nach­trägliche Domänen­beitritt mit Nano Server, weil dieser keine andere Methode unterstützt.

    Ein weiterer Vorteil bei diesem Vorgang besteht darin, dass man ihn auf einem beliebigen Admin-PC ausführen kann und bis zum letzten Schritt keinen Zugriff auf den Rechner benötigt, der einer Domäne beitreten soll.

    Die Workstation, auf der die Vorbereitungen erfolgen sollen, muss selbst Mitglied der Domäne sein und Verbindung zu einem DC haben. Zudem muss der User die Berechtigung haben, einen PC zur Domäne hinzuzufügen.

    Computer-Konto im AD anlegen

    Der Prozess gliedert sich in zwei Abschnitte: Zuerst legt man das Computer-Konto im AD an und speichert das Beitrittser­gebnis in einer Datei, danach folgt der Import des Blobs am Zielrechner.

    Für den ersten Teil ruft man djoin.exe nach folgendem Muster auf:

    djoin /provision /domain contoso.de /machine Win10pro-vm2 /savefile Win10pro-vm2.odj

    Der Schalter provision legt das Computerkonto im AD nach den Vorgaben der weiteren Parameter an, die den Namen des Rechners und die Domäne festlegen. Mit savefile spezifiziert man die Datei, in der die Daten für den Offline-Beitritt gespeichert werden.

    Zuerst legt man das Computer-Konto im AD an und speichert die Daten für den Beitritt in einer Datei.

    Auf Wunsch kann man mit machineou noch angeben, in welcher OU das Konto erstellt werden soll. Falls das Konto schon existiert, kann man es mit reuse wieder­verwenden, wobei dann das Kenn­wort in diesem Fall zurück­gesetzt wird.

    ODJ-Datei importieren

    Die Datei mit den Beitrittsdaten transferiert man anschließend auf den PC, den man der Domäne anschließen möchte und ruft dort djoin.exe so auf:

    djoin /requestodj /loadfile .\Win10pro-vm2.odj /windowspath c:\windows /localos

    Der Schalter requestodj ist der Gegenspieler von provision und erwartet, dass man bei diesem Aufruf den Pfad zur Datei für den Offline-Domänen­beitritt und zum Windows-Verzeichnis angibt.

    Import der Daten für den Offline Domain Join mit djoin.exe

    Zusätzlich teilt man dem Dienst­programm über localos mit, dass man das aktuell ausgeführte Windows der Domäne anschließen möchte.

    2 Kommentare

    Bild von Fischer, Robert
    Fischer, Robert sagt:
    11. Oktober 2017 - 10:22

    In der Überschrift zu diesem Artikel ist ein Fehler. Es sollte sicherlich Server 2016 heißen.

    Gruß
    Robert Fischer

    Bild von Wolfgang Sommergut
    11. Oktober 2017 - 22:29

    Danke! Habe den Zahlendreher beseitigt.