批量部署Windows时自动加入域有四种方法:一、用WSIM配置Unattend.xml在specialize阶段执行;二、用djoin.exe离线生成令牌并脚本调用;三、通过MECM任务序列集成域加入;四、利用Intune预配包在OOBE阶段实现混合域加入。
在企业环境中批量部署Windows系统时,若需在安装过程中自动将计算机加入指定域,则需要通过无人值守应答文件(Unattend.xml)配置域加入参数。以下是实现此目标的具体操作方法:
一、使用Windows System Image Manager(WSIM)创建Unattend.xml
该方法通过图形化工具构建符合Windows安装阶段要求的应答文件,确保Domain Join指令在 specialize 阶段执行。需提前准备域控制器可达性、具有计算机对象创建权限的域账户凭证。
1、下载并安装Windows Assessment and Deployment Kit(ADK),勾选“Deployment Tools”和“Windows Preinstallation Environment(Windows PE)”组件。
2、启动Windows System Image Manager,加载目标Windows映像的install.wim文件(通常位于ISO\sources\install.wim)中的对应版本索引。
3、新建应答文件,在“specialize”配置阶段展开“Microsoft-Windows-UnattendedJoin”设置项。
4、启用“Identification”节点下的“JoinDomain”,填入目标域名(如:corp.example.com);在“Credentials”子节点中分别输入具有OU写入权限的域用户名(如:CORP\AdminDeploy)与明文密码(注意:仅限离线安全环境使用)。
5、保存为Unattend.xml,并将其置于U盘根目录或网络启动镜像的/sources/子目录下,确保Windows Setup能自动识别。
二、通过Autounattend.xml结合脚本调用djoin.exe实现离线域加入
该方法适用于无法在安装期间实时连接域控制器的场景,利用脱机域加入(Offline Domain Join)技术生成预配令牌,避免安装过程依赖网络连通性与DC响应。
1、在已加入域的管理机上以管理员身份运行命令提示符,执行:djoin /provision /domain corp.example.com /machine WIN-CLIENT /savefile C:\DJJoin.txt,生成包含SID与密钥的文本文件。
2、将DJJoin.txt复制至部署介质,并编写PowerShell脚本JoinDomain.ps1,内容为:djoin /requestodj /loadfile "X:\DJJoin.txt" /windowspath %SystemRoot% /localos(X为部署介质盘符)。
3、在Autounattend.xml的“oobeSystem”阶段添加“FirstLogonCommands”,调用该脚本并设置RunSynchronously=true确保执行完成后再进入桌面。
4、将Autounattend.xml与脚本一同放入U盘根目录,启动安装时系统将在首次登录前自动完成域加入。
三、利用Microsoft Endpoint Configuration Manager(MECM)任务序列集成域加入步骤
该方法依托企业级MDM平台,在OS部署任务序列中插入标准“Join Domain or Workgroup”操作,由MECM代理统一处理凭据分发与策略绑定,规避本地存储密码风险。
1、在MECM控制台中编辑操作系统部署任务序列,定位至“State Restore”阶段后方。
2、右键空白区域选择“Add → General → Join Domain or Workgroup”,双击新添加的操作项。
3、勾选“Join a domain”,输入完全限定域名(FQDN),例如:corp.example.com;点击“Options”选项卡,启用“Use NetBIOS name for domain join”(如需兼容旧应用)。
4、在“Credentials”中选择“Use account specified in the task sequence”,并关联一个已配置的域服务账户(类型为Domain Account),该账户必须具备在目标OU创建计算机对象的权限。
5、保存任务序列并分配给目标设备集合,启动PXE或媒体部署时系统将自动调用MECM代理执行域加入。
四、通过Intune预配包(Provisioning Package)在OOBE阶段加入域
该方法适用于Azure AD联合环境下的混合域加入(Hybrid Azure AD Join),在Windows 10/11首次开机体验(OOBE)阶段触发,无需本地应答文件或域凭据明文暴露。
1、在Intune门户中进入“Devices → Provisioning packages → Create package”,选择“Windows 10 and later”平台。
2、在“Configuration settings”中启用“Join Azure AD”,随后展开“Hybrid Azure AD join settings”,开启“Enable Hybrid Azure AD join”。
3、填写本地Active Directory林名称(如:corp.example.com)与域控制器IP地址或主机名(用于LDAP通信)。
4、导出.ppkg文件,将其复制至U盘根目录,并在Windows安装完成后、进入OOBE前,将U盘插入设备。
5、在OOBE语言选择界面按Shift+F10打开命令提示符,执行:DISM /Online /Add-ProvisioningPackage /PackagePath:D:\AutoJoin.ppkg,重启后系统将自动完成域发现与加入流程。
