Jonction de domaine hors connexion DirectAccess

  • Article
  • 7 minutes de lecture

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Ce guide explique les étapes à suivre pour effectuer une jointure de domaine hors connexion avec DirectAccess. Pendant une jointure de domaine hors connexion, un ordinateur est configuré pour rejoindre un domaine sans connexion physique ou VPN.

Ce guide comporte les rubriques suivantes :

  • Vue d’ensemble de la jointure de domaine hors connexion

  • Configuration requise pour la jonction de domaine hors connexion

  • Processus de jointure de domaine hors connexion

  • Étapes d’exécution d’une jointure de domaine hors connexion

Vue d’ensemble de la jointure de domaine hors connexion

Introduits dans Windows Server 2008 R2, les contrôleurs de domaine incluent une fonctionnalité appelée jointure de domaine hors connexion. Un utilitaire de ligne de commande nommé Djoin.exe vous permet de joindre un ordinateur à un domaine sans contacter physiquement un contrôleur de domaine lors de l’opération de jointure de domaine. Les étapes générales d’utilisation de Djoin.exe sont les suivantes :

  1. Exécutez djoin /provision pour créer les métadonnées du compte d’ordinateur. La sortie de cette commande est un fichier .txt qui inclut un objet blob encodé en base 64.

  2. Exécutez djoin /requestODJ pour insérer les métadonnées du compte d’ordinateur à partir du fichier .txt dans le répertoire Windows de l’ordinateur de destination.

  3. Redémarrez l’ordinateur de destination et l’ordinateur sera joint au domaine.

Vue d’ensemble du scénario de jonction de domaine hors connexion avec des stratégies DirectAccess

La jonction de domaine hors connexion DirectAccess est un processus que les ordinateurs exécutant Windows Server 2016, Windows Server 2012, Windows 10 et Windows 8 peuvent utiliser pour joindre un domaine sans être physiquement joints au réseau d’entreprise ou connectés via un VPN. Cela permet de joindre des ordinateurs à un domaine à partir d’emplacements où il n’existe aucune connectivité à un réseau d’entreprise. La jonction de domaine hors connexion pour DirectAccess fournit des stratégies DirectAccess aux clients pour autoriser l’approvisionnement à distance.

Une jointure de domaine crée un compte d’ordinateur et établit une relation d’approbation entre un ordinateur exécutant un système d’exploitation Windows et un domaine Active Directory.

Préparer la jointure de domaine hors connexion

  1. Créez le compte d’ordinateur.

  2. Inventaire de l’appartenance de tous les groupes de sécurité auxquels appartient le compte d’ordinateur.

  3. Rassemblez les certificats d’ordinateur, les stratégies de groupe et les objets de stratégie de groupe requis à appliquer aux nouveaux clients.

. Les sections suivantes décrivent la configuration requise pour le système d’exploitation et les informations d’identification requises pour effectuer une jointure de domaine hors connexion DirectAccess à l’aide de Djoin.exe.

Système d'exploitation requis

Vous pouvez exécuter Djoin.exe pour DirectAccess uniquement sur les ordinateurs qui exécutent Windows Server 2016, Windows Server 2012 ou Windows 8. L’ordinateur sur lequel vous exécutez Djoin.exe pour approvisionner des données de compte d’ordinateur dans AD DS doit exécuter Windows Server 2016, Windows 10, Windows Server 2012 ou Windows 8. L’ordinateur que vous souhaitez joindre au domaine doit également exécuter Windows Server 2016, Windows 10, Windows Server 2012 ou Windows 8.

Informations d’identification requises

Pour effectuer une jointure de domaine hors connexion, vous devez disposer des droits nécessaires pour joindre des stations de travail au domaine. Les membres du groupe Administrateurs du domaine disposent de ces droits par défaut. Si vous n’êtes pas membre du groupe Administrateurs de domaine, un membre du groupe Administrateurs du domaine doit effectuer l’une des actions suivantes pour vous permettre de joindre des stations de travail au domaine :

  • Utilisez stratégie de groupe pour accorder les droits d’utilisateur requis. Cette méthode vous permet de créer des ordinateurs dans le conteneur Ordinateurs par défaut et dans n’importe quelle unité d’organisation créée ultérieurement (si aucune entrée de contrôle d’accès refus (ACÉ) n’est ajoutée).

  • Modifiez la liste de contrôle d’accès (ACL) du conteneur Ordinateurs par défaut pour le domaine afin de vous déléguer les autorisations appropriées.

  • Créez une unité d’organisation et modifiez la liste de contrôle d’accès sur cette unité d’organisation pour vous accorder l’autorisation Créer un enfant - Autoriser . Passez le paramètre /machineOU à la commande djoin /provision .

Les procédures suivantes montrent comment accorder des droits à l’utilisateur avec stratégie de groupe et comment déléguer les autorisations appropriées.

Octroi de droits d’utilisateur pour joindre des stations de travail au domaine

Vous pouvez utiliser la console de gestion stratégie de groupe (GPMC) pour modifier la stratégie de domaine ou créer une stratégie qui a des paramètres qui accordent à l’utilisateur des droits d’ajouter des stations de travail à un domaine.

L’appartenance aux administrateurs de domaine, ou équivalent, est le minimum requis pour accorder des droits d’utilisateur. Passez en revue les détails de l’utilisation des comptes et des appartenances de groupe appropriés dans Groupes par défaut locaux et de domaine (https://go.microsoft.com/fwlink/?LinkId=83477).

Pour accorder des droits de jonction de stations de travail à un domaine

  1. Cliquez sur Démarrer, sur Outils d'administration, puis sur Gestion des stratégies de groupe.

  2. Double-cliquez sur le nom de la forêt, double-cliquez sur Domaines, double-cliquez sur le nom du domaine dans lequel vous souhaitez joindre un ordinateur, cliquez avec le bouton droit sur Stratégie de domaine par défaut, puis cliquez sur Modifier.

  3. Dans l’arborescence de la console, double-cliquez sur Configuration de l’ordinateur, double-cliquez sur Stratégies, double-cliquez sur Paramètres Windows, double-cliquez sur Paramètres de sécurité, double-cliquez sur Stratégies locales, puis double-cliquez sur Attribution des droits utilisateur.

  4. Dans le volet d’informations, double-cliquez sur Ajouter des stations de travail au domaine.

  5. Activez la case à cocher Définir ces paramètres de stratégie , puis cliquez sur Ajouter un utilisateur ou un groupe.

  6. Tapez le nom du compte auquel vous souhaitez accorder des droits d’utilisateur, puis cliquez deux fois sur OK .

Processus de jointure de domaine hors connexion

Exécutez Djoin.exe à une invite de commandes avec élévation de privilèges pour approvisionner les métadonnées du compte d’ordinateur. Lorsque vous exécutez la commande d’approvisionnement, les métadonnées du compte d’ordinateur sont créées dans un fichier binaire que vous spécifiez dans le cadre de la commande.

Pour plus d’informations sur la fonction NetProvisionComputerAccount utilisée pour approvisionner le compte d’ordinateur lors d’une jointure de domaine hors connexion, consultez NetProvisionComputerAccount Function (https://go.microsoft.com/fwlink/?LinkId=162426). Pour plus d’informations sur la fonction NetRequestOfflineDomainJoin qui s’exécute localement sur l’ordinateur de destination, consultez NetRequestOfflineDomainJoin, fonction (https://go.microsoft.com/fwlink/?LinkId=162427).

Étapes d’exécution d’une jointure de domaine hors connexion DirectAccess

Le processus de jointure de domaine hors connexion comprend les étapes suivantes :

  1. Créez un compte d’ordinateur pour chacun des clients distants et générez un package d’approvisionnement à l’aide de la commande Djoin.exe à partir d’un ordinateur déjà joint à un domaine dans le réseau d’entreprise.

  2. Ajouter l’ordinateur client au groupe de sécurité DirectAccessClients

  3. Transférez le package d’approvisionnement de manière sécurisée vers les ordinateurs distants qui rejoindront le domaine.

  4. Appliquez le package d’approvisionnement et joignez le client au domaine.

  5. Redémarrez le client pour terminer la jonction de domaine et établir la connectivité.

Il existe deux options à prendre en compte lors de la création du paquet d’approvisionnement pour le client. Si vous avez utilisé l’Assistant Prise en main pour installer DirectAccess sans clé publique, vous devez utiliser l’option 1 ci-dessous. Si vous avez utilisé l’Assistant Configuration avancée pour installer DirectAccess avec PKI, vous devez utiliser l’option 2 ci-dessous.

Effectuez les étapes suivantes pour effectuer la jonction de domaine hors connexion :

Option1 : Créer un package d’approvisionnement pour le client sans clé publique

  1. À l’invite de commandes de votre serveur d’accès à distance, tapez la commande suivante pour approvisionner le compte d’ordinateur :

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Option2 : Créer un package d’approvisionnement pour le client avec PKI

  1. À l’invite de commandes de votre serveur d’accès à distance, tapez la commande suivante pour approvisionner le compte d’ordinateur :

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
Ajouter l’ordinateur client au groupe de sécurité DirectAccessClients

  1. Sur votre contrôleur de domaine, dans l’écran d’accueil, tapez Actif et sélectionnez Utilisateurs et ordinateurs Active Directory dans l’écranApplications.

  2. Développez l’arborescence sous votre domaine, puis sélectionnez le conteneur Utilisateurs .

  3. Dans le volet d’informations, cliquez avec le bouton droit sur DirectAccessClients, puis cliquez sur Propriétés.

  4. Sous l'onglet Membres, cliquez sur Ajouter.

  5. Cliquez sur Types d'objets, sélectionnez Ordinateurs, puis cliquez sur OK.

  6. Tapez le nom du client à ajouter, puis cliquez sur OK.

  7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés DirectAccessClients, puis fermez Utilisateurs et ordinateurs Active Directory.

Copiez puis appliquez le package d’approvisionnement sur l’ordinateur client

  1. Copiez le package d’approvisionnement de c:\files\provision.txt sur le serveur d’accès à distance, où il a été enregistré, vers c:\provision\provision.txt sur l’ordinateur client.

  2. Sur l’ordinateur client, ouvrez une invite de commandes avec élévation de privilèges, puis tapez la commande suivante pour demander la jointure de domaine :

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. Redémarrez l’ordinateur client. L’ordinateur sera joint au domaine. Après le redémarrage, le client est joint au domaine et dispose d’une connectivité au réseau d’entreprise avec DirectAccess.

Voir aussi

NetProvisionComputerAccount, fonctionNetRequestOfflineDomainJoin, fonction