Jonction de domaine hors connexion DirectAccess

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Ce guide explique les étapes à suivre pour effectuer une jonction de domaine hors connexion avec DirectAccess. Durant une jonction de domaine hors connexion, un ordinateur est configuré pour être joint à un domaine sans être connecté physiquement ou via un VPN.

Ce guide comporte les rubriques suivantes :

  • Vue d’ensemble de la jonction de domaine hors connexion

  • Configuration requise pour la jonction de domaine hors connexion

  • Processus de la jonction de domaine hors connexion

  • Étapes de la jonction de domaine hors connexion

Vue d’ensemble de la jonction de domaine hors connexion

Introduits dans Windows Server 2008 R2, les contrôleurs de domaine incluent une fonctionnalité appelée jonction de domaine hors connexion. L’outil en ligne de commande nommé Djoin.exe vous permet de joindre un ordinateur à un domaine sans avoir à joindre physiquement un contrôleur de domaine lors de l’opération de jonction du domaine. Les étapes générales pour utiliser Djoin.exe sont les suivantes :

  1. Exécutez djoin /provision pour créer les métadonnées du compte d’ordinateur. La sortie de cette commande est un fichier .txt qui inclut un objet blob encodé en base 64.

  2. Exécutez djoin /requestODJ pour insérer les métadonnées du compte d’ordinateur à partir du fichier .txt dans le répertoire Windows de l’ordinateur de destination.

  3. Redémarrez l’ordinateur de destination, après quoi l’ordinateur sera joint au domaine.

Vue d’ensemble du scénario de jonction de domaine hors connexion avec des stratégies DirectAccess

La jonction de domaine hors connexion avec DirectAccess est un processus que les ordinateurs exécutant Windows Server 2016, Windows Server 2012, Windows 10 et Windows 8 peuvent utiliser pour joindre un domaine sans être physiquement joints au réseau d’entreprise ni connectés via un VPN. Avec ce processus, il est possible de joindre des ordinateurs à un domaine à partir d’emplacements dépourvus de connectivité à un réseau d’entreprise. La jonction de domaine hors connexion pour DirectAccess fournit aux clients des stratégies DirectAccess qui permettent le provisionnement à distance.

Une jonction de domaine crée un compte d’ordinateur, et établit une relation d’approbation entre un ordinateur exécutant un système d’exploitation Windows et un domaine Active Directory.

Préparer la jonction de domaine hors connexion

  1. Créez le compte d’ordinateur.

  2. Faites l’inventaire de tous les groupes de sécurité auxquels appartient le compte d’ordinateur.

  3. Rassemblez les certificats d’ordinateur, les stratégies de groupe et les objets de stratégie de groupe qui doivent être appliqués à chaque nouveau client.

. Les sections suivantes décrivent la configuration requise pour le système d’exploitation et les informations d’identification nécessaires pour effectuer une jonction de domaine hors connexion DirectAccess en utilisant Djoin.exe.

Système d'exploitation requis

Vous pouvez exécuter Djoin.exe pour DirectAccess uniquement sur les ordinateurs qui exécutent Windows Server 2016, Windows Server 2012 ou Windows 8. L’ordinateur sur lequel vous exécutez Djoin.exe pour provisionner les données du compte d’ordinateur dans AD DS doit exécuter Windows Server 2016, Windows 10, Windows Server 2012 ou Windows 8. L’ordinateur que vous souhaitez joindre au domaine doit également exécuter Windows Server 2016, Windows 10, Windows Server 2012 ou Windows 8.

Informations d’identification requises

Pour effectuer une jonction de domaine hors connexion, vous devez disposer des droits nécessaires pour joindre des stations de travail au domaine. Les membres du groupe Administrateurs du domaine disposent de ces droits par défaut. Si vous n’êtes pas membre du groupe Administrateurs de domaine, demandez à un membre de ce groupe d’effectuer l’une des actions suivantes pour vous autoriser à joindre des stations de travail au domaine :

  • Utilisez une stratégie de groupe pour accorder les droits d’utilisateur requis. Cette méthode vous permet de créer des ordinateurs dans le conteneur Ordinateurs par défaut, mais aussi dans chaque unité d’organisation (UO) créée ultérieurement, si aucune entrée de contrôle d’accès (ACE) Refuser n’est ajoutée.

  • Modifiez la liste de contrôle d’accès (ACL) du conteneur Ordinateurs par défaut pour le domaine afin de vous déléguer les autorisations appropriées.

  • Créez une unité d’organisation, puis modifiez la liste de contrôle d’accès sur cette unité d’organisation pour vous accorder l’autorisation Créer un enfant - Autoriser. Passez le paramètre /machineOU à la commande djoin /provision.

Les procédures suivantes montrent comment accorder les droits d’utilisateur avec une stratégie de groupe et comment déléguer les autorisations appropriées.

Octroi de droits d’utilisateur pour joindre des stations de travail au domaine

Vous pouvez utiliser la console de gestion des stratégies de groupe (GPMC) pour modifier la stratégie de domaine ou bien créer une stratégie avec des paramètres qui accordent les droits d’utilisateur requis pour ajouter des stations de travail à un domaine.

Pour accorder des droits d’utilisateur, il faut au minimum appartenir au groupe Administrateurs de domaine ou à un groupe équivalent. Passez en revue les informations relatives à l’utilisation des comptes et des appartenances au groupe appropriés dans la rubrique Groupes locaux et de domaine par défaut (https://go.microsoft.com/fwlink/?LinkId=83477).

Pour accorder les droits de jonction de stations de travail à un domaine

  1. Cliquez sur Démarrer, sur Outils d'administration, puis sur Gestion des stratégies de groupe.

  2. Double-cliquez sur le nom de la forêt, double-cliquez sur Domaines, double-cliquez sur le nom du domaine auquel vous souhaitez joindre un ordinateur, cliquez avec le bouton droit sur Stratégie de domaine par défaut, puis cliquez sur Modifier.

  3. Dans l’arborescence de la console, double-cliquez sur Configuration de l’ordinateur, double-cliquez sur Stratégies, double-cliquez sur Paramètres Windows, double-cliquez sur Paramètres de sécurité, double-cliquez sur Stratégies locales, puis double-cliquez sur Attribution des droits utilisateur.

  4. Dans le volet des détails, double-cliquez sur Ajouter des stations de travail au domaine.

  5. Cochez la case Définir ces paramètres de stratégie, puis cliquez sur Ajouter un utilisateur ou un groupe.

  6. Tapez le nom du compte auquel vous souhaitez accorder les droits d’utilisateur, puis cliquez deux fois sur OK.

Processus de la jonction de domaine hors connexion

Exécutez Djoin.exe à partir d’une invite de commandes avec élévation de privilèges pour provisionner les métadonnées du compte d’ordinateur. Lorsque vous exécutez la commande de provisionnement, les métadonnées du compte d’ordinateur sont créées dans le fichier binaire que vous avez spécifié dans la commande.

Pour plus d’informations sur la fonction NetProvisionComputerAccount utilisée pour provisionner le compte d’ordinateur lors d’une jonction de domaine hors connexion, consultez NetProvisionComputerAccount, fonction (https://go.microsoft.com/fwlink/?LinkId=162426). Pour plus d’informations sur la fonction NetRequestOfflineDomainJoin qui s’exécute localement sur l’ordinateur de destination, consultez NetRequestOfflineDomainJoin, fonction (https://go.microsoft.com/fwlink/?LinkId=162427).

Étapes de la jonction de domaine hors connexion pour DirectAccess

Le processus de jonction de domaine hors connexion comprend les étapes suivantes :

  1. Créez un compte d’ordinateur pour chacun des clients distants, puis générez un package de provisionnement en exécutant la commande Djoin.exe sur un ordinateur déjà joint au domaine dans le réseau d’entreprise.

  2. Ajouter l’ordinateur client au groupe de sécurité DirectAccessClients

  3. Transférez le package de provisionnement de manière sécurisée vers chaque ordinateur distant à joindre au domaine.

  4. Appliquez le package de provisionnement et joignez le client au domaine.

  5. Redémarrez le client pour terminer la jonction de domaine et établir la connexion.

Deux options sont possibles quand vous créez le paquet de provisionnement pour le client. Si vous avez utilisé l’Assistant Bien démarrer pour installer DirectAccess sans infrastructure PKI, vous devez utiliser l’option 1 ci-dessous. Si vous avez utilisé l’Assistant Installation avancée pour installer DirectAccess avec une infrastructure PKI, vous devez utiliser l’option 2 ci-dessous.

Procédez comme suit pour effectuer la jonction de domaine hors connexion :

Option 1 : Créer un package de provisionnement pour le client sans infrastructure PKI

  1. À une invite de commandes sur votre serveur d’accès à distance, tapez la commande suivante pour provisionner le compte d’ordinateur :

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Option 2 : Créer un package de provisionnement pour le client avec une infrastructure PKI

  1. À une invite de commandes sur votre serveur d’accès à distance, tapez la commande suivante pour provisionner le compte d’ordinateur :

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
Ajouter l’ordinateur client au groupe de sécurité DirectAccessClients

  1. Sur votre contrôleur de domaine, dans l’écran Démarrer, tapez Active, puis sélectionnez Utilisateurs et ordinateurs Active Directory dans l’écran Applications.

  2. Développez l’arborescence sous votre domaine, puis sélectionnez le conteneur Utilisateurs.

  3. Dans le volet des détails, cliquez avec le bouton droit sur DirectAccessClients, puis cliquez sur Propriétés.

  4. Sous l'onglet Membres, cliquez sur Ajouter.

  5. Cliquez sur Types d'objets, sélectionnez Ordinateurs, puis cliquez sur OK.

  6. Tapez le nom du client à ajouter, puis cliquez sur OK.

  7. Cliquez sur OK pour fermer la boîte de dialogue des propriétés DirectAccessClients, puis fermez Utilisateurs et ordinateurs Active Directory.

Copier et appliquer le package de provisionnement sur l’ordinateur client

  1. Copiez le package de provisionnement de l’emplacement c:\files\provision.txt sur le serveur d’accès à distance, où il avait été enregistré, vers l’emplacement c:\provision\provision.txt sur l’ordinateur client.

  2. Sur l’ordinateur client, ouvrez une invite de commandes avec élévation de privilèges, puis tapez la commande suivante pour demander la jonction de domaine :

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. Redémarrez l’ordinateur client. L’ordinateur sera joint au domaine. Après le redémarrage, le client est joint au domaine et peut se connecter au réseau d’entreprise avec DirectAccess.

Voir aussi

NetProvisionComputerAccount, fonctionNetRequestOfflineDomainJoin, fonction