Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Associação Offline de domínio de DirectAccess

Este guia explica as etapas para realizar uma associação offline de domínio com o DirectAccess. Durante uma associação offline de domínio, um computador é configurado para ingressar em um domínio sem a física ou a conexão VPN.

Este guia inclui as seguintes seções:

  • Visão geral de associação offline de domínio

  • Requisitos para associação offline de domínio

  • Processo de junção de domínio offline

  • Etapas para a realização de uma associação offline de domínio

Introduzido no Windows Server 2008 R2, controladores de domínio incluem um recurso chamado Associação Offline de domínio. Um utilitário de linha de comando chamado Djoin.exe permite que você associar um computador a um domínio sem fisicamente contatar um controlador de domínio ao terminar a operação de junção de domínio. As etapas gerais para o uso de Djoin.exe são:

  1. Execute djoin /Provision. para criar os metadados da conta de computador. A saída deste comando é um arquivo. txt que inclui um blob codificado da base-64.

  2. Execute djoin /requestODJ para inserir os metadados da conta de computador do arquivo. txt no diretório do Windows do computador de destino.

  3. Reinicie o computador de destino e o computador vai ser associado ao domínio.

JJ574150.collapse(pt-br,WS.11).gif Associação offline de domínio com visão geral de cenário de condições do DirectAccess

Associação offline de domínio de DirectAccess é um processo que computadores que executam o Windows Server 2012 e Windows 8can usam para ingressar em um domínio sem ser fisicamente juntou-se à rede corporativa, ou conectados através de VPN. Isto torna possível juntar-se a computadores em um domínio de locais onde não há nenhuma conectividade a uma rede corporativa. Associação offline de domínio para o DirectAccess fornece condições de DirectAccess para clientes para permitir o provisionamento remoto.

Uma junção de domínio cria uma conta de computador e estabelece uma relação de confiança entre um computador executando um sistema operacional Windows e um domínio do Active Directory ®.

  1. Crie a conta de máquina.

  2. A adesão de todos os grupos de segurança à qual pertence a conta de máquina do inventário.

  3. Reunir os certificados de computador necessário, diretivas de grupo e objetos de diretiva de grupo a ser aplicada para o novo cliente (s).

. As seções a seguir explicam os requisitos de sistema operacional e os requisitos de credenciais para realizar uma associação offline de domínio do DirectAccess usando Djoin.exe.

JJ574150.collapse(pt-br,WS.11).gif Requisitos de sistema operacional

Você pode executar Djoin.exe para DIrectAccess somente em computadores que executam Windows Server 2012 ou Windows 8. O computador que executa Djoin.exe para provisionar dados de conta de computador no AD DS deve estar executando Windows Server 2012 ou Windows 8. O computador que você quer se juntar ao domínio também deve estar executando Windows Server 2012 ou Windows 8.

JJ574150.collapse(pt-br,WS.11).gif Requisitos de credencial

Para realizar uma associação offline de domínio, você deve ter os direitos que são necessários para se juntar a estações de trabalho ao domínio. Membros do grupo Administradores de domínio têm esses direitos por padrão. Se você não é um membro do grupo Administradores de domínio, um membro do grupo Administradores do domínio deve completar uma das seguintes ações para que você possa se juntar a estações de trabalho ao domínio:

  • Use diretiva de grupo para conceder os direitos de usuário necessários. Esse método permite que você crie computadores no contêiner computadores padrão e em qualquer unidade organizacional (UO) que é criada mais tarde (se não negar a entradas de controle de acesso (ACEs) são adicionadas).

  • Edite a lista de controle de acesso (ACL) do recipiente computadores padrão para o domínio a delegar as permissões corretas para você.

  • Criar uma UO e editar a ACL em que OU você conceder a permissão criar filho – permitir . Passe o parâmetro /machineOU para o comando djoin /Provision. .

Os procedimentos a seguintes mostram como conceder os direitos de usuário com a diretiva de grupo e como delegar as permissões corretas.

JJ574150.collapse(pt-br,WS.11).gif Concessão de direitos de usuário para se juntar a estações de trabalho ao domínio

Você pode usar o Console de gerenciamento de diretiva de grupo (GPMC) para modificar a diretiva de domínio ou criar uma nova política que possui configurações que concedem os direitos de usuário adicionar estações de trabalho para um domínio.

Associação de Administradores de domínio, ou equivalente, é o mínimo necessário para conceder direitos de usuário. Examine os detalhes sobre como usar as contas apropriadas e associações de grupo no Local e grupos de domínio padrão (http://go.microsoft.com/fwlink/?LinkId=83477).

JJ574150.collapse(pt-br,WS.11).gif Para conceder direitos para se juntar a estações de trabalho para um domínio

  1. Clique em Iniciar, clique em Ferramentas administrativase, em seguida, clique em Gerenciamento de diretiva de grupo.

  2. Clique duas vezes o nome da floresta, clique duas vezes em domínios, clique duas vezes o nome do domínio no qual deseja ingressar em um computador, botão direito do mouse Diretiva de domínio padrãoe clique em Editar.

  3. Na árvore de console, clique duas vezes em Configuração do computador, clique duas vezes em diretivas, clique duas vezes em Configurações do Windows, clique duas vezes em Configurações de segurança, clique duas vezes em Diretivas locaise clique duas vezes em Atribuição de direitos de usuário.

  4. No painel de detalhes, clique duas vezes em Adicionar estações de trabalho ao domínio.

  5. Selecione a caixa de seleção definir estas configurações de diretiva e, em seguida, clique em Adicionar usuário ou grupo.

  6. Digite o nome da conta que você deseja conceder os direitos de usuário e clique em OK duas vezes.

Execute o Djoin.exe em um prompt de comando elevado para provisionar os metadados da conta de computador. Quando você executa o comando de configuração, os metadados da conta de computador é criado em um arquivo binário que você especificar como parte do comando.

Para obter mais informações sobre a função NetProvisionComputerAccount é usada para configurar a conta de computador durante uma associação offline de domínio, consulte Função NetProvisionComputerAccount (http://go.microsoft.com/fwlink/?LinkId=162426). Para obter mais informações sobre a função NetRequestOfflineDomainJoin é executado localmente no computador de destino, consulte Função NetRequestOfflineDomainJoin (http://go.microsoft.com/fwlink/?LinkId=162427).

O processo de associação offline de domínio inclui as seguintes etapas:

  1. Criar uma nova conta de computador para cada um dos clientes remotos e gerar um pacote de configuração usando o comando de Djoin.exe de um já domínio se juntou a computador na rede corporativa.

  2. Adicione o computador do cliente para o grupo de segurança de DirectAccessClients

  3. Transferi o pacote de configuração com segurança para os computadores remotos (s) que irão juntar-se o domínio.

  4. Aplicar o pacote de configuração e associar o cliente ao domínio.

  5. Reinicie o cliente para concluir o ingresso no domínio e estabelecer conectividade.

Existem duas opções a considerar ao criar o pacote de configuração para o cliente. Se você usou o Assistente para introdução instalar DirectAccess sem PKI, em seguida, você deve usar a opção 1 abaixo. Se você usou o Assistente de configuração avançada para instalar o DirectAccess com PKI, em seguida, você deve usar a opção 2 abaixo.

Conclua as etapas a seguir para executar a associação offline de domínio:

JJ574150.collapse(pt-br,WS.11).gif Opção1: Criar um pacote de configuração para o cliente sem PKI

  1. Em um prompt de comando do seu servidor de acesso remoto, digite o seguinte comando para configurar a conta de computador:

    
    
    
    Djoin /Provision. /domain <seu nome de domínio>/computador. <nome da máquina remota>/policynames nome do GPO de cliente DA /rootcacerts /savefile c:\files\provision.txt /reuse
    
    
    

JJ574150.collapse(pt-br,WS.11).gif Opção 2: Criar um pacote de configuração para o cliente com PKI

  1. Em um prompt de comando do seu servidor de acesso remoto, digite o seguinte comando para configurar a conta de computador:

    
    
    
    Djoin /Provision. /computador. <nome da máquina remota>/Domain <nome do seu domínio>/policynames <nome DA cliente GPO>/certtemplate <nome do modelo de certificado de computador do cliente>/SaveFile c:\files\provision.txt /reuse
    
    
    

JJ574150.collapse(pt-br,WS.11).gif Adicione o computador do cliente para o grupo de segurança de DirectAccessClients

  1. No seu controlador de domínio, no ecrã Iniciar , digite ativo e selecione Active Directory Users e computadores tela de Apps .

  2. Expanda a árvore sob seu domínio e selecione o contêiner usuários .

  3. No painel de detalhes, clique com botão direito DirectAccessClientse clique em Propriedades.

  4. Na guia Membros , clique em Adicionar.

  5. Clique em Tipos de objeto..., selecione computadorese, em seguida, clique em OK.

  6. Digite o nome do cliente para adicionar e, em seguida, clique em OK.

  7. Clique em OK para fechar a caixa de diálogo de propriedades de DirectAccessClients e feche o Active Directory Users e computadores.

JJ574150.collapse(pt-br,WS.11).gif Copiar e, em seguida, aplicar o pacote de configuração para o computador cliente

  1. Copie o pacote de configuração do c:\files\provision.txt no servidor de acesso remoto, onde ele foi salvo, c:\provision\provision.txt no computador cliente.

  2. No computador cliente, abra um prompt de comando e digite o comando a seguir para solicitar o ingresso no domínio:

    
    
    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath % windir % /localos
    
    
  3. Reinicie o computador cliente. O computador vai ser associado ao domínio. Após a reinicialização, o cliente vai ser associado ao domínio e tem conectividade com a rede corporativa com DirectAccess.

Ver também

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft