Unión a dominio sin conexión de DirectAccess

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En esta guía se explican los pasos para realizar una unión a un dominio sin conexión con DirectAccess. Durante una unión a un dominio sin conexión, un equipo se configura para unirse a un dominio sin conexión física o VPN.

Esta guía incluye las siguientes secciones:

  • Introducción a la unión a un dominio sin conexión

  • Requisitos para la unión a un dominio sin conexión

  • Proceso de unión a un dominio sin conexión

  • Pasos para realizar una unión a un dominio sin conexión

Introducción a la unión a un dominio sin conexión

Introducidos en Windows Server 2008 R2, los controladores de dominio incluyen una característica denominada Unión a un dominio sin conexión. Una utilidad de línea de comandos denominada Djoin.exe le permite unir un equipo a un dominio sin ponerse en contacto físicamente con un controlador de dominio mientras completa la operación de unión a un dominio. Los pasos generales para usar Djoin.exe son:

  1. Ejecute djoin /provision para crear los metadatos de la cuenta de equipo. La salida de este comando es un archivo .txt que incluye un blob codificado en base 64.

  2. Ejecute djoin /requestODJ para insertar los metadatos de la cuenta de equipo del archivo .txt en el directorio Windows del equipo de destino.

  3. Reinicie el equipo de destino y el equipo se unirá al dominio.

Introducción al escenario de unión a un dominio sin conexión con directivas de DirectAccess

La unión a un dominio sin conexión de DirectAccess es un proceso que los equipos que ejecutan Windows Server 2016, Windows Server 2012, Windows 10 y Windows 8 pueden usar para unirse a un dominio sin unirse físicamente a la red corporativa o conectarse a través de VPN. Esto permite unir equipos a un dominio desde ubicaciones donde no hay conectividad con una red corporativa. La unión a un dominio sin conexión para DirectAccess proporciona directivas de DirectAccess a los clientes para permitir el aprovisionamiento remoto.

Una unión a un dominio crea una cuenta de equipo y establece una relación de confianza entre un equipo que ejecuta un sistema operativo Windows y un dominio de Active Directory.

Preparación para la unión a un dominio sin conexión

  1. Cree la cuenta de la máquina.

  2. Realice un inventario de la pertenencia de todos los grupos de seguridad a los que pertenece la cuenta de la máquina.

  3. Recopile los certificados de equipo necesarios, las directivas de grupo y los objetos de directiva de grupo que se aplicarán a los nuevos clientes.

. En las secciones siguientes se explican los requisitos del sistema operativo y los requisitos de credenciales para realizar una unión a un dominio sin conexión de DirectAccess mediante Djoin.exe.

Requisitos de sistema operativo

Solo puedes ejecutar Djoin.exe para DirectAccess en equipos que ejecuten Windows Server 2016, Windows Server 2012 o Windows 8. El equipo en el que se ejecuta Djoin.exe para aprovisionar datos de cuentas de equipo en AD DS debe ejecutar Windows Server 2016, Windows 10, Windows Server 2012 o Windows 8. El equipo que desea unir al dominio también debe ejecutar Windows Server 2016, Windows 10, Windows Server 2012 o Windows 8.

Requisitos de credenciales

Para realizar una unión a un dominio sin conexión, debe tener los derechos necesarios para unir estaciones de trabajo al dominio. Los miembros del grupo Admins. del dominio tienen estos derechos de manera predeterminada. Si no es miembro del grupo Administradores de dominio, un miembro de este grupo debe completar una de las siguientes acciones para permitirle unir estaciones de trabajo al dominio:

  • Use directiva de grupo para conceder los derechos de usuario necesarios. Este método le permite crear equipos en el contenedor predeterminado Equipos y en cualquier unidad organizativa (OU) que se cree más adelante (si no se agregan entradas de Denegación de control de acceso (ACE)).

  • Edite la lista de control de acceso (ACL) del contenedor predeterminado Equipos para que el dominio delegue los permisos correctos en usted.

  • Cree una unidad organizativa y edite la ACL en esa unidad organizativa para concederle el permiso Crear secundaria: Permitir. Pase el parámetro /machineOU al comando djoin /provision.

Los procedimientos siguientes muestran cómo conceder los derechos de usuario con directiva de grupo y cómo delegar los permisos correctos.

Concesión de derechos de usuario para unir estaciones de trabajo al dominio

Puede usar la consola de administración de directivas de grupo (GPMC) para modificar la directiva de dominio o crear una nueva directiva que tenga configuraciones que concedan derechos de usuario para agregar estaciones de trabajo a un dominio.

El requisito mínimo para conceder derechos de usuario consiste en pertenecer a Administradores de dominio o grupo equivalente. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados locales y de dominio (https://go.microsoft.com/fwlink/?LinkId=83477).

Para conceder derechos para unir estaciones de trabajo a un dominio

  1. Haga clic en Inicio, en Herramientas administrativas y, a continuación, en Administración de directivas de grupo.

  2. Haga doble clic en el nombre del bosque, haga doble clic en Dominios, haga doble clic en el nombre del dominio en el que desea unirse a un equipo, haga clic con el botón derecho en Directiva de dominio predeterminada y, a continuación, haga clic en Editar.

  3. En el árbol de consola, haga doble clic en Configuración del equipo, doble clic en Directivas, doble clic en Configuración de Windows, doble clic en Configuración de seguridad, doble clic en Directivas locales y, finalmente, doble clic en Asignación de derechos de usuario.

  4. En el panel de detalles, haga doble clic en Agregar estaciones de trabajo al dominio.

  5. Active la casilla Definir esta configuración de directiva y, a continuación, haga clic en Agregar usuario o grupo.

  6. Escriba el nombre de la cuenta a la que desea conceder derechos de usuario y, a continuación, haga clic en Aceptar dos veces.

Proceso de unión a un dominio sin conexión

Ejecute Djoin.exe en un símbolo del sistema con privilegios elevados para aprovisionar los metadatos de la cuenta de equipo. Al ejecutar el comando de aprovisionamiento, los metadatos de la cuenta de equipo se crean en un archivo binario que se especifica como parte del comando.

Para más información sobre la función NetProvisionComputerAccount que se usa para aprovisionar la cuenta de equipo durante una unión a un dominio sin conexión, consulte Función NetProvisionComputerAccount (https://go.microsoft.com/fwlink/?LinkId=162426). Para más información sobre la función NetRequestOfflineDomainJoin que se ejecuta localmente en el equipo de destino, consulte Función NetRequestOfflineDomainJoin (https://go.microsoft.com/fwlink/?LinkId=162427).

Pasos para realizar una unión a un dominio sin conexión con DirectAccess

El proceso de unión a un dominio sin conexión incluye los pasos siguientes:

  1. Cree una nueva cuenta de equipo para cada uno de los clientes remotos y genere un paquete de aprovisionamiento mediante el comando Djoin.exe desde un equipo ya unido a un dominio de la red corporativa.

  2. Agregue el equipo cliente al grupo de seguridad DirectAccessClients.

  3. Transfiera el paquete de aprovisionamiento de forma segura a los equipos remotos que se unirán al dominio.

  4. Aplique el paquete de aprovisionamiento y únase al cliente al dominio.

  5. Reinicie el cliente para completar la unión al dominio y establecer la conectividad.

Hay dos opciones que se deben tener en cuenta al crear el paquete de aprovisionamiento para el cliente. Si usó el Asistente para introducción para instalar DirectAccess sin PKI, debe usar la opción 1 a continuación. Si usó el Asistente para introducción para instalar DirectAccess con PKI, debe usar la opción 2 a continuación.

Complete los pasos siguientes para realizar la unión a un dominio sin conexión:

Opción 1: Crear un paquete de aprovisionamiento para el cliente sin PKI

  1. En un símbolo del sistema del servidor de acceso remoto, escriba el siguiente comando para aprovisionar la cuenta de equipo:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Opción 2: Crear un paquete de aprovisionamiento para el cliente con PKI

  1. En un símbolo del sistema del servidor de acceso remoto, escriba el siguiente comando para aprovisionar la cuenta de equipo:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
Agregue el equipo cliente al grupo de seguridad DirectAccessClients.

  1. En la pantalla Inicio del controlador de dominio, escriba Activo y seleccione Usuarios y equipos de Active Directory en la pantalla Aplicaciones.

  2. Expanda el árbol en el dominio y seleccione el contenedor Usuarios.

  3. En el panel de detalles, haga clic con el botón derecho en DirectAccessClients y, a continuación, haga clic en Propiedades.

  4. En la pestaña Miembros, haga clic en Agregar.

  5. Haga clic en Tipos de objeto, seleccione Equipos y, a continuación, haga clic en Aceptar.

  6. Escriba el nombre de cliente que desea agregar y, a continuación, haga clic en Aceptar.

  7. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de DirectAccessClients y, a continuación, cierre Usuarios y equipos de Active Directory.

Copie y aplique el paquete de aprovisionamiento al equipo cliente.

  1. Copie el paquete de aprovisionamiento de c:\files\provision.txt en el servidor de acceso remoto, donde se guardó, en c:\provision\provision.txt en el equipo cliente.

  2. En el equipo cliente, abra un símbolo del sistema con privilegios elevados y escriba el siguiente comando para solicitar la unión al dominio:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. Reinicie el equipo cliente. El equipo se unirá al dominio. Después del reinicio, el cliente se unirá al dominio y tendrá conectividad a la red corporativa con DirectAccess.

Vea también

Función NetProvisionComputerAccountFunción NetRequestOfflineDomainJoin