nieudokumentowane przełączniki dsregcmd.exe

nie wiem czemu to polecenie nie ma żadnej wbudowanej pomocy, nie ma też oficjalnej strony. a więc trzeba było trochę się grzebnąć w exe i sprawdzić. kilka rzeczy które udało mi się wyciągnąć:

lista przełączników dla deregcmd.exe :

/Debug
/Pause
/Leave
/Status
/Trigger
/CheckRecovery
/ForceRecovery
/RollbackRecovery

z tego co udało mi się ustalić to:

• status: to jedyny, który pojawia się oficjalnie w wielu artyqłach. pokazuje status dla komputera i użytkownika – AD, AAD, WorplaceJoin
• debug:  polecenie powinno działać w kontekście systemu. czyli np: ’psexec -s -i cmd.exe’ i z tąd odpalić dsregcmd /debug – dostaniemy informacje o precheck, statnie kluczy szyfrujących niezbędnych do operacji itd. może się przydać jeśli maszyna upiera się i nie chce się zarejestrować w AAD. można też debugować od strony samego AAD – ale pod warunkiem, że operacja została już zainicjowana. być może np. komputer nie ma połączenia z DC i w ogóle nie próbuje się podłączyć – wtedy tylko tak można spróbować sprawdzić czemu.
  co prawda niektóre artykuły wskazują polecenie dsregcmd /debug /join [przykładowy link do artu na dole] ale przełącznika join nie znalazłem w samym pliq exe. z moich testów wynika że 'dsregcmd /debug’ pozwala na użycie wraz z którymś ze wskazanych tu przełączników, i działa to dokładnie jak tryb verbose.
• leave: oczywiście wywalenie z AAD
• trigger: wymuszenie rozpoczęcia próby rejestracji
• pause: przed wykonaniem operacji będzie czekał… na enter. chwila zawieszki, bo komunikat brzmi 'press any key’ ale dopiero enter pozwala kontynuować

do dokładnie robią flagi recovery… w sensie co jest odzyskiwane – nie jest jasne. po wykonaniu 'dsregcmd /debug /CheckRecovery’ output standardowo jest taki:

dsregcmd::wmain logging initialized.
DsrCmdRecovery::DetermineIfRecoveryIsNeeded Machine is joined to Azure AD and domain.
DsrCmdRecovery::DetermineIfRecoveryIsNeeded returned 0x00000001 (RECOVERY NOT NEEDED).

po wykonaniu 'dsregcmd /debug /ForceRecovery’ zostałem poproszony o zalogowanie się na swoje konto. na koniec informacja 'możesz teraz używać tego komputera’ – ale nie widzę żadnych dodatkowych informacji w AAD, ani jakiegoś przypisania do konta.

scenariusz

na koniec krótkie 'a po co mi to?’. aby w pełni wykorzystać możliwości zabezpieczania i sterowania stacjami z InTune, urządzenie musi być zarejestrowane w AAD. w przypadq maszyn domenowych mówi się o ’hybrid join’ bo są równocześnie dodane do AD i AAD. całą operacją steruje się prostym ustawieniem w GPO, więc teoretycznie pełny automat. dodam, że dla Windows 1o. dla Windows 7 jest dodatek ’workplace join’ ale ten ma normalną pomoc /? więc jest przyjaźniejszy w użyciu.

kiedy teoria nie działa w praktyce – wtedy warto przypomnieć sobie ten wpis.

refs

link do artów na temat procesu rejestracji urządzeń:

• https://jairocadena.com – świetny blog! poziom 5oo (:
• https://jairocadena.com/2016/01/18/how-domain-join-is-different-in-windows-10-with-azure-ad/
• https://s4erka.wordpress.com/tag/dsregcmd/ – tutaj np. jest '/debug /join’ … ale nie wierzcie w to

eN.