Associação offline de domínio DirectAccess
Este guia explica as etapas para executar um ingresso no domínio offline com o DirectAccess. Durante um ingresso no domínio offline, um computador é configurado para ingressar em um domínio sem conexão física ou VPN.
Este guia inclui as seguintes seções:
Visão geral do ingresso no domínio offline
Requisitos para ingresso no domínio offline
Processo de ingresso no domínio offline
Etapas para executar uma junção de domínio offline
Visão geral do ingresso no domínio offline
Apresentados no Windows Server 2008 R2, os controladores de domínio incluem um recurso chamado Ingresso no Domínio Offline. Um utilitário de linha de comando chamado Djoin.exe permite que você ingresse um computador em um domínio sem contatar fisicamente um controlador de domínio ao concluir a operação de ingresso no domínio. As etapas gerais para usar Djoin.exe são:
Execute djoin /provision para criar os metadados da conta de computador. A saída desse comando é um arquivo .txt que inclui um blob codificado em base 64.
Execute djoin /requestODJ para inserir os metadados da conta de computador do arquivo .txt no diretório do Windows do computador de destino.
Reinicie o computador de destino e o computador será ingressado no domínio.
Visão geral do cenário de ingresso no domínio offline com políticas do DirectAccess
O ingresso no domínio offline do DirectAccess é um processo que os computadores que executam Windows Server 2016, Windows Server 2012, Windows 10 e Windows 8 podem usar para ingressar em um domínio sem ingressar fisicamente na rede corporativa ou estarem conectados por meio de VPN. Isso possibilita ingressar computadores em um domínio de locais em que não há conectividade com uma rede corporativa. O ingresso no domínio offline para DirectAccess fornece políticas do DirectAccess aos clientes para permitir o provisionamento remoto.
Um ingresso no domínio cria uma conta de computador e estabelece uma relação de confiança entre um computador que executa um sistema operacional Windows e um domínio do Active Directory.
Preparação para o ingresso no domínio offline
Criar a conta do computador.
Fazer o inventário da associação de todos os grupos de segurança aos quais a conta do computador pertence.
Reunir os certificados de computador, as políticas de grupo e os objetos de política de grupo necessários a serem aplicados aos novos clientes.
. As seções a seguir explicam os requisitos do sistema operacional e os requisitos de credencial para executar um ingresso no domínio offline do DirectAccess usando Djoin.exe.
Requisitos do sistema operacional
Você pode executar Djoin.exe para DirectAccess somente em computadores que executam Windows Server 2016, Windows Server 2012 ou Windows 8. O computador no qual você executa Djoin.exe para provisionar dados de conta de computador no AD DS deve estar executando o Windows Server 2016, Windows 10, Windows Server 2012 ou Windows 8. O computador que você deseja ingressar no domínio também deve estar executando o Windows Server 2016, Windows 10, Windows Server 2012 ou Windows 8.
Requisitos de credenciais
Para executar um ingresso no domínio offline, você deve ter os direitos necessários para ingressar estações de trabalho no domínio. Os membros do grupo Administradores de Domínio têm esses direitos por padrão. Se você não for membro do grupo Administradores de Domínio, um membro do grupo Administradores de Domínio deve concluir uma das seguintes ações para permitir que você ingresse estações de trabalho ao domínio:
Use a Política de Grupo para conceder os direitos de usuário necessários. Esse método permite que você crie computadores no contêiner Computadores padrão e em toda UO (unidade organizacional) criada posteriormente (se nenhuma ACEs (entradas de controle de acesso) de negação forem adicionadas).
Edite a ACL (lista de controle de acesso) do contêiner Computadores padrão para que o domínio delegue as permissões corretas a você.
Crie uma UO e edite a ACL nessa UO para conceder a permissão Criar filho – Permitir. Passe o parâmetro /machineOU para o comando djoin /provision.
Os procedimentos a seguir mostram como conceder os direitos de usuário com a Política de Grupo e como delegar as permissões corretas.
Conceder direitos de usuário para ingressar estações de trabalho no domínio
Você pode usar o GPMC (Console de Gerenciamento de Política de Grupo) para modificar a política de domínio ou criar uma nova política que tenha configurações que concedam aos usuários direitos para adicionar estações de trabalho a um domínio.
A associação em Administradores de Domínio, ou equivalente, é o requisito mínimo para conceder direitos de uso. Revise os detalhes sobre como usar as contas e as associações de grupo apropriadas em Grupos padrão locais e de domínio (https://go.microsoft.com/fwlink/?LinkId=83477).
Para conceder direitos para ingressar estações de trabalho em um domínio
Clique em Iniciar, em Ferramentas Administrativas e em Gerenciamento de Diretiva de Grupo.
Clique duas vezes no nome da floresta, clique duas vezes em Domínios, clique duas vezes no nome do domínio no qual você deseja ingressar em um computador, clique com o botão direito do mouse em Política de domínio padrão e clique em Editar.
Na árvore de console, clique duas vezes em Configuração do computador, clique duas vezes em Políticas, clique duas vezes em Configurações do Windows, clique duas vezes em Configurações de segurança, clique duas vezes em Políticas locais e clique duas vezes em Atribuição de direitos de usuário.
No painel de detalhes, clique duas vezes em Adicionar estações de trabalho ao domínio.
Marque a caixa de seleção Definir essas configurações de política e clique em Adicionar usuário ou grupo.
Digite o nome da conta à qual você deseja conceder os direitos de usuário e clique duas vezes em OK.
Processo de ingresso no domínio offline
Execute Djoin.exe em um prompt de comandos com privilégios elevados para provisionar os metadados da conta do computador. Ao executar o comando de provisionamento, os metadados da conta de computador são criados em um arquivo binário especificado por você como parte do comando.
Para obter mais informações sobre a função NetProvisionComputerAccount usada para provisionar a conta do computador durante um ingresso no domínio offline, consulte Função NetProvisionComputerAccount (https://go.microsoft.com/fwlink/?LinkId=162426). Para obter mais informações sobre a função NetRequestOfflineDomainJoin que é executada localmente no computador de destino, consulte Função NetRequestOfflineDomainJoin (https://go.microsoft.com/fwlink/?LinkId=162427).
Etapas para executar um ingresso no domínio offline do DirectAccess
O processo de ingresso no domínio offline inclui as seguintes etapas:
Criar uma nova conta de computador para cada um dos clientes remotos e gerar um pacote de provisionamento usando o comando Djoin.exe de um computador já ingressado no domínio na rede corporativa.
Adicionar do computador cliente ao grupo de segurança DirectAccessClients
Transferir o pacote de provisionamento com segurança para os computadores remotos que ingressarão no domínio.
Aplicar o pacote de provisionamento e ingressar o cliente no domínio.
Reinicializar o cliente para concluir o ingresso no domínio e estabelecer a conectividade.
Devem-se considerar duas opções ao criar o pacote de provisionamento para o cliente. Caso tenha usado o Assistente de Introdução para instalar o DirectAccess sem PKI, você deve usar a opção 1 abaixo. Caso tenha usado o Assistente de Instalação Avançada para instalar o DirectAccess com PKI, você deve usar a opção 2 abaixo.
Conclua as seguintes etapas para executar o ingresso no domínio offline:
Option1: criar um pacote de provisionamento para o cliente sem PKI
Em um prompt de comando do servidor de Acesso Remoto, digite o seguinte comando para provisionar a conta do computador:
Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Option2: criar um pacote de provisionamento para o cliente com PKI
Em um prompt de comando do servidor de Acesso Remoto, digite o seguinte comando para provisionar a conta do computador:
Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
Adicionar do computador cliente ao grupo de segurança DirectAccessClients
No Controlador de Domínio, na tela Inicial, digite Ativo e selecione Usuários e computadores do Active Directory na tela Aplicativos.
Expanda a árvore em seu domínio e selecione o contêiner Usuários.
No painel de detalhes, clique com o botão direito do mouse em DirectAccessClients e clique em Propriedades.
Na guia Membros, clique em Adicionar.
Clique em Tipos de Objeto, selecione Computadores e clique em OK.
Digite o nome do cliente a ser adicionado e clique em OK.
Clique em OK para fechar a caixa de diálogo Propriedades do DirectAccessClients e feche Usuários e computadores do Active Directory.
Copie e aplique o pacote de provisionamento ao computador cliente
Copie o pacote de provisionamento do c:\files\provision.txt no Servidor de Acesso Remoto, onde ele foi salvo, para c:\provision\provision.txt no computador cliente.
No computador cliente, abra um prompt de comando com privilégios elevados e digite o seguinte comando para solicitar o ingresso no domínio:
Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos
Reiniciar o computador cliente. O computador será ingressado no domínio. Após a reinicialização, o cliente será ingressado no domínio e terá conectividade com a rede corporativa com o DirectAccess.
Consulte Também
NetProvisionComputerAccount FunctionNetRequestOfflineDomainJoin Function