nieudokumentowane przełączniki dsregcmd.exe
nie wiem czemu to polecenie nie ma żadnej wbudowanej pomocy, nie ma też oficjalnej strony. a więc trzeba było trochę się grzebnąć w exe i sprawdzić. kilka rzeczy które udało mi się wyciągnąć:
lista przełączników dla deregcmd.exe :
/Debug
/Pause
/Leave
/Status
/Trigger
/CheckRecovery
/ForceRecovery
/RollbackRecovery
z tego co udało mi się ustalić to:
- status: to jedyny, który pojawia się oficjalnie w wielu artyqłach. pokazuje status dla komputera i użytkownika – AD, AAD, WorplaceJoin
- debug: polecenie powinno działać w kontekście systemu. czyli np: ’psexec -s -i cmd.exe’ i z tąd odpalić dsregcmd /debug – dostaniemy informacje o precheck, statnie kluczy szyfrujących niezbędnych do operacji itd. może się przydać jeśli maszyna upiera się i nie chce się zarejestrować w AAD. można też debugować od strony samego AAD – ale pod warunkiem, że operacja została już zainicjowana. być może np. komputer nie ma połączenia z DC i w ogóle nie próbuje się podłączyć – wtedy tylko tak można spróbować sprawdzić czemu.
co prawda niektóre artykuły wskazują polecenie dsregcmd /debug /join [przykładowy link do artu na dole] ale przełącznika join nie znalazłem w samym pliq exe. z moich testów wynika że 'dsregcmd /debug’ pozwala na użycie wraz z którymś ze wskazanych tu przełączników, i działa to dokładnie jak tryb verbose. - leave: oczywiście wywalenie z AAD
- trigger: wymuszenie rozpoczęcia próby rejestracji
- pause: przed wykonaniem operacji będzie czekał… na enter. chwila zawieszki, bo komunikat brzmi 'press any key’ ale dopiero enter pozwala kontynuować
do dokładnie robią flagi recovery… w sensie co jest odzyskiwane – nie jest jasne. po wykonaniu 'dsregcmd /debug /CheckRecovery’ output standardowo jest taki:
dsregcmd::wmain logging initialized. DsrCmdRecovery::DetermineIfRecoveryIsNeeded Machine is joined to Azure AD and domain. DsrCmdRecovery::DetermineIfRecoveryIsNeeded returned 0x00000001 (RECOVERY NOT NEEDED).
po wykonaniu 'dsregcmd /debug /ForceRecovery’ zostałem poproszony o zalogowanie się na swoje konto. na koniec informacja 'możesz teraz używać tego komputera’ – ale nie widzę żadnych dodatkowych informacji w AAD, ani jakiegoś przypisania do konta.
scenariusz
na koniec krótkie 'a po co mi to?’. aby w pełni wykorzystać możliwości zabezpieczania i sterowania stacjami z InTune, urządzenie musi być zarejestrowane w AAD. w przypadq maszyn domenowych mówi się o ’hybrid join’ bo są równocześnie dodane do AD i AAD. całą operacją steruje się prostym ustawieniem w GPO, więc teoretycznie pełny automat. dodam, że dla Windows 1o. dla Windows 7 jest dodatek ’workplace join’ ale ten ma normalną pomoc /? więc jest przyjaźniejszy w użyciu.
kiedy teoria nie działa w praktyce – wtedy warto przypomnieć sobie ten wpis.
refs
link do artów na temat procesu rejestracji urządzeń:
- https://jairocadena.com – świetny blog! poziom 5oo (:
- https://jairocadena.com/2016/01/18/how-domain-join-is-different-in-windows-10-with-azure-ad/
- https://s4erka.wordpress.com/tag/dsregcmd/ – tutaj np. jest '/debug /join’ … ale nie wierzcie w to
eN.