在MS ActiveDirectory的维护工作中,经常会出现承担多种域权限的主机需要重新刷系统的情况。一般的操作方式是退域、重装、删除域信息、重新加域、再次赋权,这样可以确保安全、可靠的维护域中计算机账号的权限正确。不过,从2008R2开始,MS提供了可以离线加域的方法,来避免这一麻烦的处理过程。简单来说,就是从AD中把计算机账号的属性导出为加密文本,然后再在新建的主机上导入,重启即可使用域账号登录并继承原有域权限。 实现方法就两条命令:

1
2
3
4
# 在可以正常登录AD的主机上导出域中计算机账号信息,然后把文本文件复制到新机上
djoin /provision /domain domian_name /machine machine_name /savefile /reuse
# 在重刷系统的主机上以管理员权限导入域信息
djoin /requestodj /loadfile /windowspath c:\windows /localos

具体的解析在此