Tags: Active Directory, Windows 10, Kommandozeile
Microsoft führte mit Windows 7 und Server 2008 R2 die Möglichkeit ein, mit PCs einer Domäne beizutreten, ohne dass diese eine Verbindung zu einem Domänen-Controller haben müssen. Diesem Zweck dient nur das Kommandozeilen-Tool djoin.exe, ein GUI- oder PowerShell-Äquivalent dazu gibt es nicht.
Windows bietet mehrere Verfahren, um mit einem Rechner online einer Domäne beizutreten. Die verschiedenen Wege führen über die Systemsteuerung, die App Einstellungen oder über PowerShell. Unter bestimmten Bedingungen kann es aber praktisch sein, den Domain Join in zwei zeitlich getrennten Schritten zu vollziehen.
Vorbereitung auf Admin-PC
Das gilt für alle Szenarien, bei denen keine Netzverbindung mit dem Domain-Controller besteht. Das kann etwa der Fall bei Mitarbeitern sein, die mit ihrem Notebook nur von unterwegs arbeiten und über DirectAccess auf das Firmennetz zugreifen. Eine weitere Anwendung ist der nachträgliche Domänenbeitritt mit Nano Server, weil dieser keine andere Methode unterstützt.
Ein weiterer Vorteil bei diesem Vorgang besteht darin, dass man ihn auf einem beliebigen Admin-PC ausführen kann und bis zum letzten Schritt keinen Zugriff auf den Rechner benötigt, der einer Domäne beitreten soll.
Die Workstation, auf der die Vorbereitungen erfolgen sollen, muss selbst Mitglied der Domäne sein und Verbindung zu einem DC haben. Zudem muss der User die Berechtigung haben, einen PC zur Domäne hinzuzufügen.
Computer-Konto im AD anlegen
Der Prozess gliedert sich in zwei Abschnitte: Zuerst legt man das Computer-Konto im AD an und speichert das Beitrittsergebnis in einer Datei, danach folgt der Import des Blobs am Zielrechner.
Für den ersten Teil ruft man djoin.exe nach folgendem Muster auf:
djoin /provision /domain contoso.de /machine Win10pro-vm2 /savefile Win10pro-vm2.odj
Der Schalter provision legt das Computerkonto im AD nach den Vorgaben der weiteren Parameter an, die den Namen des Rechners und die Domäne festlegen. Mit savefile spezifiziert man die Datei, in der die Daten für den Offline-Beitritt gespeichert werden.
Auf Wunsch kann man mit machineou noch angeben, in welcher OU das Konto erstellt werden soll. Falls das Konto schon existiert, kann man es mit reuse wiederverwenden, wobei dann das Kennwort in diesem Fall zurückgesetzt wird.
ODJ-Datei importieren
Die Datei mit den Beitrittsdaten transferiert man anschließend auf den PC, den man der Domäne anschließen möchte und ruft dort djoin.exe so auf:
djoin /requestodj /loadfile .\Win10pro-vm2.odj /windowspath c:\windows /localos
Der Schalter requestodj ist der Gegenspieler von provision und erwartet, dass man bei diesem Aufruf den Pfad zur Datei für den Offline-Domänenbeitritt und zum Windows-Verzeichnis angibt.
Zusätzlich teilt man dem Dienstprogramm über localos mit, dass man das aktuell ausgeführte Windows der Domäne anschließen möchte.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows Terminal 1.9: Standardkonsole für Windows 10, weitere Einstellungen über die GUI
- Konsole für alle Shells: Windows Terminal ist als Version 1.0 verfügbar
- Windows Terminal: teilbare Fenster, Integration mit WSL, Release im April 2020
- Windows Terminal: Microsofts Konsole für alle Kommandozeilen
- Windows 10 einer Domäne anschließen mit Provisioning Packages (PPKG)
Weitere Links
2 Kommentare
In der Überschrift zu diesem Artikel ist ein Fehler. Es sollte sicherlich Server 2016 heißen.
Gruß
Robert Fischer
Danke! Habe den Zahlendreher beseitigt.