Автономний введення в домен active directory

Логіка роботи «Автономного введення в домен»

Win7-PC - ім'я комп'ютера клієнта, який повинен автономно увійти в домен

C: \ blob.txt - шлях до файлу з метаданими

Після введення даної команди формується текстовий файл містить необхідні дані для того, щоб комп'ютер міг увійти в домен (інформація про ім'я домену, контролера домену, SID домену і т.д.) Плюс до цього, в Active Directory створюється об'єкт «комп'ютер» для майбутнього клієнта. Файл в кодуванні base64. Детальніше про даний файлі.

Мал. 1. Перший крок, використання Djoin

2. Другим кроком необхідно доставити даний файл blob.txt на комп'ютер, який повинен автономно увійти в домен. Якими засобами ви це зробите, залежить від вас. Хоч поштою надсилайте.

3. Доставивши даний файл на клієнтський комп'ютер, необхідно запустити командний рядок і виконати «djoin» з наступними ключами:

djoin / requestODJ / loadfile C: \ blob.txt / windowspath% SystemRoot% / localos

Відбудеться імпортування даних з файлу в каталог Windows. Тепер при наступному завантаженні операційної системи і доступності контролера у вас буде можливість увійти в домен Active Directory.

Мал. 2. Третій крок, використання Djoin

З одного боку функціонал більш ніж цікавий, з іншого з'являється гіпотетична можливість того, що хтось зможе перехопити або заволодіти таким файлом «Запрошенням» і включити свій комп'ютер в домен, не маючи ніяких на це прав. Або це просто параноя?

На поточний момент інформації по «offline domain join» дуже мало. Зокрема я не зміг знайти, чи є якийсь термін життя у такого файлу-запрошення. Хоча якщо міркувати логічно, можна припустити, що він (термін життя) дорівнює терміну життя пароля об'єкта «комп'ютер». Оригінальна інформація англійською мовою.

Показ: успадкувала Захищений