Sdílet prostřednictvím

Offline připojení k doméně pomocí DirectAccess

Tato příručka vysvětluje kroky pro provedení offline připojení k doméně pomocí Technologie DirectAccess. Během offline připojení k doméně je počítač nakonfigurovaný tak, aby se připojil k doméně bez fyzického připojení nebo připojení VPN.

Tato příručka obsahuje následující části:

  • Přehled připojení k offline doméně

  • Požadavky na připojení k offline doméně

  • Proces připojení k offline doméně

  • Postup provedení offline připojení k doméně

Přehled připojení k offline doméně

Řadiče domény představené v systému Windows Server 2008 R2 obsahují funkci s názvem Připojení k offline doméně. Nástroj příkazového řádku s názvem Djoin.exe umožňuje připojit počítač k doméně bez fyzického kontaktování řadiče domény při dokončení operace připojení k doméně. Obecné kroky pro použití Djoin.exe jsou:

  1. Spuštěním příkazu djoin /provision vytvořte metadata účtu počítače. Výstupem tohoto příkazu je .txt soubor, který obsahuje objekt blob s kódováním base-64.

  2. Spuštěním příkazu djoin /requestODJ vložte metadata účtu počítače ze souboru .txt do adresáře systému Windows cílového počítače.

  3. Restartujte cílový počítač a počítač se připojí k doméně.

Přehled scénáře připojení k offline doméně pomocí zásad DirectAccess

Připojení k offline doméně DirectAccess je proces, který umožňuje připojení počítačů s Windows Serverem 2016, Windows Serverem 2012, Windows 10 a Windows 8 k připojení k doméně bez fyzického připojení k podnikové síti nebo připojení prostřednictvím sítě VPN. To umožňuje připojit počítače k doméně z umístění, kde není připojení k podnikové síti. Offline připojení k doméně pro DirectAccess poskytuje klientům zásady DirectAccess, které umožňují vzdálené zřizování.

Připojení k doméně vytvoří účet počítače a vytvoří vztah důvěryhodnosti mezi počítačem s operačním systémem Windows a doménou služby Active Directory.

Příprava na připojení k offline doméně

  1. Vytvořte účet počítače.

  2. Inventarizace členství ve všech skupinách zabezpečení, ke kterým patří účet počítače.

  3. Shromážděte požadované certifikáty počítače, zásady skupiny a objekty zásad skupiny, které se použijí u nových klientů.

Následující části popisují požadavky na operační systém a požadavky na přihlašovací údaje pro provádění offline připojení k doméně DirectAccess pomocí Djoin.exe.

Požadavky na operační systém

Djoin.exe pro DirectAccess můžete spustit jenom na počítačích se systémem Windows Server 2016, Windows Server 2012 nebo Windows 8. Na počítači, na kterém spouštíte Djoin.exe pro zřízení dat účtu počítače do služby AD DS, musí běžet Windows Server 2016, Windows 10, Windows Server 2012 nebo Windows 8. Na počítači, ke kterému se chcete připojit k doméně, musí běžet také Windows Server 2016, Windows 10, Windows Server 2012 nebo Windows 8.

Požadavky na přihlašovací údaje

Pokud chcete provést offline připojení k doméně, musíte mít práva nezbytná pro připojení pracovních stanic k doméně. Členové skupiny Domain Admins mají tato práva ve výchozím nastavení. Pokud nejste členem skupiny Domain Admins, musí člen skupiny Domain Admins dokončit jednu z následujících akcí, abyste mohli připojit pracovní stanice k doméně:

  • Pomocí zásad skupiny udělte požadovaná uživatelská práva. Tato metoda umožňuje vytvářet počítače ve výchozím kontejneru s názvem Počítače a v jakékoli organizační jednotce (OU), která je vytvořena později, pokud nejsou přidány žádné položky odepření v řízení přístupu (ACEs).

  • Upravte seznam řízení přístupu (ACL) výchozího kontejneru 'Počítače' pro doménu, aby vám byla umožněna delegace správných oprávnění.

  • Vytvořte organizační jednotky a upravte seznam ACL u dané organizační jednotky, abyste udělili oprávnění Vytvořit podřízenou položku – Povolit oprávnění. Předejte parametr /machineOU příkazu djoin /provision.

Následující postupy ukazují, jak udělit uživatelská práva pomocí zásad skupiny a jak delegovat správná oprávnění.

Udělení uživatelských práv pro připojení pracovních stanic k doméně

Konzolu pro správu zásad skupiny (GPMC) můžete použít k úpravě zásad domény nebo k vytvoření nové zásady s nastavením, které uživatelům udělují práva pro přidání pracovních stanic do domény.

Členství ve službě Domain Adminsnebo ekvivalentní je minimální potřeba k udělení uživatelských práv. Přečtěte si podrobnosti o tom, jak používat příslušné účty a členství ve skupinách v místních a doménových výchozích skupinách (https://go.microsoft.com/fwlink/?LinkId=83477).

Udělení oprávnění pro připojení pracovních stanic k doméně

  1. Klepněte na tlačítko Start, klepněte na nástroje pro správua potom klepněte na tlačítko správa zásad skupiny.

  2. Dvojklikněte na název doménové struktury, dvojklikněte na Domény, dvojklikněte na název domény, ve kterých chcete připojit počítač, klikněte pravým tlačítkem myši na Výchozí zásady domény, a potom klikněte na Upravit.

  3. Ve stromu konzoly poklikejte na Konfigurace počítače, poklikejte na Zásady, poklikejte na Nastavení systému Windows, poklikejte na Nastavení zabezpečení, poklikejte na Místní zásadya potom poklikejte na přiřazení uživatelských práv.

  4. V podokně podrobností poklikejte na Přidat pracovní stanice do domény.

  5. Zaškrtněte políčko Definovat tato nastavení zásad a potom klepněte na tlačítko Přidat uživatele nebo skupinu.

  6. Zadejte název účtu, kterému chcete udělit uživatelská práva, a klikněte na OK dvakrát.

Proces připojení k offline doméně

Spuštěním Djoin.exe na příkazovém řádku se zvýšenými oprávněními zřiďte metadata účtu počítače. Při spuštění příkazu zřizování se metadata účtu počítače vytvoří v binárním souboru, který zadáte jako součást příkazu.

Další informace o funkci NetProvisionComputerAccount, která se používá ke zřízení účtu počítače během offline připojení k doméně, naleznete v tématu NetProvisionComputerAccount Function (https://go.microsoft.com/fwlink/?LinkId=162426). Další informace o funkci NetRequestOfflineDomainJoin, která běží místně na cílovém počítači, naleznete v tématu NetRequestOfflineDomainJoin Function (https://go.microsoft.com/fwlink/?LinkId=162427).

Kroky pro provedení offline připojení k doméně DirectAccess

Proces připojení k offline doméně zahrnuje následující kroky:

  1. Vytvořte pro každého vzdáleného klienta nový účet počítače a pomocí příkazu Djoin.exe z počítače připojeného k doméně v podnikové síti vygenerujte zřizovací balíček.

  2. Přidání klientského počítače do skupiny zabezpečení DirectAccessClients

  3. Bezpečně přeneste zřizovací balíček do vzdálených počítačů, které se budou připojovat k doméně.

  4. Použijte zřizovací balíček a připojte klienta k doméně.

  5. Restartujte klienta, aby se dokončilo připojení k doméně a navázalo připojení.

Při vytváření zřizovacího paketu pro klienta existují dvě možnosti. Pokud jste k instalaci DirectAccess bez infrastruktury veřejných klíčů použili Průvodce pro nastavení, měli byste použít možnost 1 níže. Pokud jste k instalaci Technologie DirectAccess s PKI použili Průvodce pokročilým nastavením, měli byste použít možnost 2 níže.

Provedením následujících kroků proveďte offline připojení k doméně:

Možnost1: Vytvoření zřizovacího balíčku pro klienta bez infrastruktury veřejných klíčů

  1. V příkazovém řádku serveru vzdáleného přístupu zadejte následující příkaz pro vytvoření účtu počítače.

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Možnost2: Vytvoření zřizovacího balíčku pro klienta s PKI

  1. V příkazovém řádku serveru vzdáleného přístupu zadejte následující příkaz pro vytvoření účtu počítače.

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
Přidání klientského počítače do skupiny zabezpečení DirectAccessClients

  1. Na řadiči domény na obrazovce Start zadejte Active a na obrazovce Aplikace vyberte Active Directory Uživatelé a počítače.

  2. Rozbalte strom pod vaší doménou a vyberte kontejner Uživatelé.

  3. V podokně podrobností klikněte pravým tlačítkem na DirectAccessClientsa klikněte na Vlastnosti.

  4. Na záložce Členové klikněte na Přidat.

  5. Klepněte na tlačítko Typy objektů, vyberte Počítačea klepněte na tlačítko OK.

  6. Zadejte název klienta, který chcete přidat, a klepněte na tlačítko OK.

  7. Kliknutím na tlačítko OK zavřete dialogové okno vlastností DirectAccessClients a potom zavřete Active Directory Users and Computers.

Zkopírujte a potom použijte zřizovací balíček na klientský počítač.

  1. Zkopírujte zřizovací balíček z c:\files\provision.txt na serveru vzdáleného přístupu, kde byl uložen, do c:\provision\provision.txt v klientském počítači.

  2. V klientském počítači otevřete příkazový řádek se zvýšenými oprávněními a zadáním následujícího příkazu požádejte o připojení k doméně:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. Restartujte klientský počítač. Počítač se připojí k doméně. Po restartování se klient připojí k doméně a bude mít připojení k podnikové síti pomocí technologie DirectAccess.

Viz také

Funkce NetProvisionComputerAccountFunkce NetRequestOfflineDomainJoin