Joindre un domaine hors connexion

Il existe une fonctionnalité que je trouve assez pratique, disponible sur Windows 7 et Server 2008 R2, qui permet de joindre un domaine sans y être connecté. L’utilitaire DJOIN vous permettra de provisionner les métadonnées du compte ordinateur.

La procédure se déroule en deux étape: provision de l’Active Directory, et utilisation des métadonnées précédentes pour configurer la machine locale. Un redémarrage sera requis, et bien entendu, une connexion devra exister si vous désirez vous connecter au domaine. Toute la procédure est loggée dans un fichier NETSETUP.LOG situé dans le dossier %systemroot%\debug.

1ere étape – la provision AD – création des métadonnées

[bash]

djoin.exe /provision /domain DOMAINE.LOCAL /machine MAMACHINE /MACHINOU MONOU /SAVEFILE FICHIER.TXT

[/bash]

La syntaxe /DOWNLEVEL permet le jonction vers un DC Windows 2008 ou antérieur. Il convient d’utiliser /DCNAME en complément pour cibler le DC en question. A  savoir, que par défaut, l’utilitaire va cibler un DC Windows Server 2008 R2.

La commande doit être exécutée sur un serveur du domaine ou un client Windows 7 ou encore un contrôleur de domaine. Le fichier TXT généré servira pour l’étape 2.

Bien entendu, il convient d’avoir les droits adéquats afin de joindre une station au domaine. Le groupe Aministrateur du Domaine dispose de ce droit, mais si vous n’êtes pas membre de ce groupe. Editez les stratégies de groupe selon la capture ci-dessous pour permettre à un groupe/utilisateur d’obtenir ce privilège.

2ème étape – la jonction AD – insertion des métadonnées

[bash]
djoin /requestODJ /loadfile monfichier.txt /windowspath %SystemRoot%
[/bash]

Après le reboot de la machine, celle-ci sera intégrée au domaine !

Quelques conseils

  • Le switch /RESUSE permet de réutiliser un compte existant en réinitialisant le mot de passe (tout comme netdom /reset pwd)
  • Pour les RODC (Contrôleur en lecture seule), les manipulations sont simplifiées: créer un compte ordinateur, synchronisez les mots de passe, et suivez la procédure.

En bref, une fonctionnalité très pratique qui peut être industrialisée, idéal pour les environnements VDI, par exemple !