Windows Domäne: Offline-Join mit DirectAccess Policy

Üblicherweise baue ich eine SSTP-Verbindung von einem Windows-Client zu einem Windows-Server auf, um anschließend der Domäne beizutreten. Das ist aber gerade im Bezug auf DirectAccess nicht die schönste Möglichkeit und erfordert weiterhin nach dem Beitritt in die Domäne, dass nach einem Neustart mit dem lokalen Administrator wieder das VPN aufgebaut- und anschließend der Benutzer gewechselt wird, um die erste Anmeldung durchzuführen.
Schöner und eigentlich auch sehr einfach ist es, den Client offline in die Domäne beitreten zu lassen. Ein einfacher Befehl auf dem Domänen-Controller ist hierfür ausreichend. Die Gruppenrichtlinie für DirectAccess unterscheidet sich im Namen je nach Installationssprache des Servers.

Zwei Parameter des Befehls sind zu ändern:
– „domain.local“ muss dem Domänennamen entsprechen
– „computername“ entspricht dem Computernamen des Clients

Der Computername des Clients wird vorab entsprechend der eigenen Richtlinien zur Benennung geändert.

Nun der Befehl, welcher auf dem Windows-Server ausgeführt wird.

Für die englische Windows-Server Installation:

djoin /provision /domain domain.local /machine computername /policynames "DirectAccess Client Settings" /rootcacerts /savefile c:\outjoin.txt /reuse

Für die deutsche Windows-Server Installation:

djoin /provision /domain domain.local /machine computername /policynames "DirectAccess-Clienteinstellungen" /rootcacerts /savefile c:\outjoin.txt /reuse

Wie im Befehl zu sehen, wird eine Datei „c:\outjoin.txt“ erstellt, die nun auf den Windows-Client kopiert wird. Für den Transport der Datei auf den Client, wähle ich die FTP-Übertragung. Jede Übertragung ist denkbar.

Ist die Datei auf dem Client angekommen, gilt folgender Befehl unabhängig von der Sprache der Installation.
Im seltensten Fall wird „C:\Windows“ als Windows-Pfad anzupassen sein.
Auch hier gehe ich davon aus, dass die Datei via „c:\outjoin.txt“ auf dem Client zu finden ist:

djoin /requestodj /loadfile c:\outjoin.txt /windowspath c:\windows /localos
der Befehl wird in einer Konsole („cmd“) als Administrator ausgeführt.

Nach einem Neustart des Clients, erfolgt die Anmeldung als gültiger Benutzer mit Rechten zum DirectAccess-Gebrauch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.