Alguma sugestão? Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Associação offline de domínio DirectAccess

 

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

Este guia explica as etapas para executar uma associação offline de domínio com o DirectAccess. Durante uma associação offline de domínio, um computador é configurado para ingressar em um domínio sem conexão VPN ou física.

Este guia inclui as seguintes seções:

Introduzido no Windows Server 2008 R2, os controladores de domínio incluem um recurso chamado associação Offline de domínio. Um utilitário de linha de comando chamado Djoin.exe permite que você ingressar um computador em um domínio sem fisicamente contatar um controlador de domínio ao concluir a operação de associação de domínio. As etapas gerais para usar Djoin.exe são:

  1. Executardjoin /provisionpara criar os metadados de conta de computador. A saída desse comando é um arquivo. txt que inclua um blob codificado de base 64.

  2. Executardjoin /requestODJpara inserir os metadados de conta de computador do arquivo. txt no diretório do Windows do computador de destino.

  3. Reinicialize o computador de destino e o computador será ingressado no domínio.

Ingresso no domínio offline do DirectAccess é um processo que os computadores executandoWindows Server 2012eWindows 8pode usar para ingressar em um domínio sem que é adicionada fisicamente à rede corporativa, ou conectado por meio de VPN. Isso possibilita adicionar computadores a um domínio em locais onde não há nenhuma conectividade com uma rede corporativa. Associação offline de domínio para o DirectAccess fornece políticas do DirectAccess aos clientes para permitir o provisionamento remoto.

Uma associação de domínio cria uma conta de computador e estabelece uma relação de confiança entre um computador executando um sistema operacional Windows e um domínio do Active Directory ®.

  1. Crie a conta do computador.

  2. A participação de todos os grupos de segurança ao qual pertence a conta da máquina de estoque.

  3. Reúna os certificados de computador necessárias, as diretivas de grupo e objetos de diretiva de grupo a ser aplicado para os novos clientes.

. As seções a seguir explicam os requisitos do sistema operacional e dos requisitos de credencial para executar uma associação de domínio offline do DirectAccess usando Djoin.exe.

Você pode executar Djoin.exe para o DIrectAccess apenas em computadores que executam oWindows Server 2012ouWindows 8. O computador no qual você executa Djoin.exe para provisionar dados da conta de computador no AD DS deve estar executandoWindows Server 2012ouWindows 8. Também deve ser executado no computador que você deseja adicionar ao domínioWindows Server 2012ouWindows 8.

Para executar uma associação offline de domínio, você deve ter os direitos necessários Adicionar estações de trabalho ao domínio. Por padrão, membros do grupo Admins. do domínio têm esses direitos. Se você não for um membro do grupo Admins. do domínio, um membro do grupo Admins. do domínio deve executar uma das seguintes ações para que você possa adicionar estações de trabalho ao domínio:

  • Use a diretiva de grupo para conceder as permissões necessárias. Esse método permite a criação de computadores no contêiner de computadores padrão e em qualquer unidade organizacional (UO) que é criada mais tarde (se não há entradas de controle de acesso (ACEs) Deny são adicionadas).

  • Edite a lista de controle de acesso (ACL) do contêiner de computadores padrão para o domínio delegar as permissões corretas para você.

  • Criar uma unidade Organizacional e editar a ACL no UO que conceda a você ocriar filho – permitirpermissão. Passar o/machineOUparâmetro para odjoin /provisioncomando.

Os procedimentos a seguir mostram como conceder os direitos de usuário com a diretiva de grupo e como delegar as permissões corretas.

Você pode usar o Group Policy Management Console (GPMC) para modificar a diretiva de domínio ou criar uma nova política com configurações que concedem os direitos de usuário Adicionar estações de trabalho a um domínio.

AssociaçãoAdmins. do domínioou equivalente, é o mínimo necessário para conceder direitos de usuário.Examine os detalhes sobre o uso de contas e associações em grupos apropriadas na página Grupos Padrão Local e Domínio (http://go.microsoft.com/fwlink/p/?LinkId=83477).

Para conceder direitos a Adicionar estações de trabalho a um domínio
  1. Clique em Iniciar, em Ferramentas Administrativas e em Gerenciamento de Diretiva de Grupo.

  2. Clique duas vezes no nome da floresta, clique duas vezes emdomíniosduas vezes no nome do domínio no qual você deseja ingressar um computador, clique com botão direitoDefault Domain Policye, em seguida, clique emEditar.

  3. Na árvore de console, clique duas vezes emconfiguração do computadorclique duas vezes empolíticasclique duas vezes emconfigurações do Windowsclique duas vezes emas configurações de segurançaclique duas vezes emdiretivas locaise, em seguida, clique duas vezes ematribuição de direitos de usuário.

  4. No painel de detalhes, clique duas vezes emAdicionar estações de trabalho ao domínio.

  5. Selecione oDefinir estas configurações de diretivacaixa de seleção e, em seguida, clique emAdicionar usuário ou grupo.

  6. Digite o nome da conta que você deseja conceder os direitos de usuário e, em seguida, clique emOKduas vezes.

Execute Djoin.exe em um prompt de comando elevado para provisionar os metadados de conta de computador. Quando você executa o comando de provisionamento, os metadados de conta de computador é criado em um arquivo binário que você especificar como parte do comando.

Para obter mais informações sobre a função NetProvisionComputerAccount que é usada para configurar a conta de computador durante uma associação offline de domínio, consulteNetProvisionComputerAccount função(http://go.microsoft.com/fwlink/?LinkId=162426). Para obter mais informações sobre a função NetRequestOfflineDomainJoin que é executado localmente no computador de destino, consulteNetRequestOfflineDomainJoin função(http://go.microsoft.com/fwlink/?LinkId=162427).

O processo de associação offline de domínio inclui as seguintes etapas:

  1. Criar uma nova conta de computador para cada um dos clientes remotos e gerar um pacote usando o comando Djoin.exe de uma já integrado ao domínio computador na rede corporativa.

  2. Adicione o computador cliente ao grupo de segurança DirectAccessClients

  3. Transferir o pacote de provisionamento com segurança para computadores remotos (s) que farão parte do domínio.

  4. Aplique o pacote de provisionamento e ingressar no domínio do cliente.

  5. Reinicialize o cliente para concluir o ingresso no domínio e estabelecer a conectividade.

Há duas opções a considerar ao criar o pacote de provisionamento para o cliente. Se você usou o Assistente de Introdução para instalar o DirectAccess sem PKI, você deve usar a opção 1 abaixo. Se você usou o Assistente de instalação avançada para instalar o DirectAccess com a PKI, você deve usar a opção 2 abaixo.

Conclua as seguintes etapas para realizar o ingresso no domínio offline:

Opção 1: Criar um pacote de provisionamento para o cliente sem PKI

  1. Em um prompt de comando do servidor de acesso remoto, digite o seguinte comando para configurar a conta de computador:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
    

Opção 2: Criar um pacote de provisionamento do cliente com a PKI

  1. Em um prompt de comando do servidor de acesso remoto, digite o seguinte comando para configurar a conta de computador:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse 
    
    

Adicione o computador cliente ao grupo de segurança DirectAccessClients

  1. No controlador de domínio, deIniciarde tela, digiteativose selecioneActive Directory Users and Computersdeaplicativostela.

  2. Expanda a árvore sob o seu domínio e selecione ousuárioscontêiner.

  3. No painel de detalhes, clique com botão direitoDirectAccessClientse clique empropriedades.

  4. Na guia Membros, clique em Adicionar.

  5. Clique emtipos de objeto...selecionecomputadorese, em seguida, clique emOK.

  6. Digite o nome do cliente para adicionar e, em seguida, clique emOK.

  7. Clique emOKpara fechar oDirectAccessClientscaixa de diálogo Propriedades e então fecheActive Directory Users and Computers.

Copiar e, em seguida, aplicar o pacote de provisionamento para o computador cliente

  1. Copie o pacote de provisionamento de c:\files\provision.txt no servidor de acesso remoto, onde ele foi salvo, c:\provision\provision.txt no computador cliente.

  2. No computador cliente, abra um prompt de comando elevado e digite o comando a seguir para solicitar o ingresso no domínio:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos 
    
    
  3. Reinicialize o computador cliente. O computador será ingressado no domínio. Após a reinicialização, o cliente será adicionado ao domínio e ter conectividade com a rede corporativa com o DirectAccess.

Mostrar:
© 2016 Microsoft