Как выйти из домена windows server

Понижение контроллера домена и удаление роли AD DS

Обновлено Обновлено:
Опубликовано Опубликовано:

Используемые термины: Active Directory, FSMO.

Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.

Процесс полного удаления разобьем на несколько этапов:

1. Подготовка среды AD
    Перенос ролей контроллера домена
    Проверка состояния AD
2. Понижение уровня контроллера домена до рядового сервера
    Графический интерфейс
    Powershell
3. Удаление роли AD DS
    Графический интерфейс
    Powershell
4. Вывод сервера из домена
    Графический интерфейс
    Powershell
Вопросы и ответы

Подготовка системы

Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.

Перенос ролей контроллера домена

Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:

Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster

Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.

Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:

Move-ADDirectoryServerOperationMasterRole <имя сервера, куда переносим> <название роли>

… передать роль.

Подробнее о передаче и захвате в инструкции Управление FSMO ролями Active Directory с помощью Powershell.

Проверка состояния AD

На любом из контроллеров домена вводим команду:

dcdiag /a /q

Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в УправлениеУдалить роли и компоненты:

Переходим к удалению ролей и компонентов

Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

Пропускаем стартовую страницу

В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:

Выбираем сервер для удаление роли

… и нажимаем Далее.

Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:

Отмечаем для удаления роль Доменные службы Active Directory

Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:

Переходим к понижению уровня контроллера домена

В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:

Знакомимся с предупреждением и идем далее

Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:

Ставим галочку для продолжения удаления

Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:

Вводим пароль для административной учетной записи

Кликаем по Понизить уровень:

Кликаем по Понизить уровень

Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:

Результат понижения уровня AD

Сервер автоматически будет перезагружен.

Powershell

Открываем консоль Powershell от администратора и вводим:

Uninstall-ADDSDomainController

Если в нашей сети это последний контроллер домена, то команда для удаления будет  следующей:

Uninstall-ADDSDomainController -LastDomainControllerInDomain -RemoveApplicationPartitions

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********

Мы получим предупреждение о перезагрузки сервера. Соглашаемся:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y  [A] Да для всех — A  [N] Нет — N  [L] Нет для всех — L  [S] Приостановить — S  [?] Справка
(значением по умолчанию является «Y»): A

Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.

Удаление роли AD DS

После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.

Графика

В диспетчере серверов кликаем снова по УправлениеУдалить роли и компоненты:

Переходим к удалению ролей и компонентов

Среди серверов выбираем тот, на котором будем удалять роль:

Выбираем сервер для удаление роли

* сервер может быть только один. Тогда выбираем его.

Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:

Отмечаем для удаления роль Доменные службы Active Directory

Галочка для доменных служб будет снята:

Галочка на роли AD DS снята

… кликаем по Далее несколько раз.

В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:

Ставим галочку для автоматической перезагрузки сервера

Роль будет удалена, а сервер отправлен в перезагрузку.

Powershell

Запускаем Powershell от администратора и вводим:

Remove-WindowsFeature -Name AD-Domain-Services

Роль контроллера будет удалена. Мы должны увидеть сообщение:

ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.

Перезагружаем сервер:

shutdown -r -t 0

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:

Переходим к изменению имени компьютера и его принадлежности к домену

В открывшемся окне нажимаем на Изменить:

Изменяем имя и домен

И переводим компьютер в рабочую группу:

Переводим сервер в рабочую группу

* в данном примере в группу с названием WORKGROUP.

Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.

Если все сделано верно, мы должны увидеть окно:

Добро пожаловать в рабочую группу

После перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:

Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.

Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
 администратора. Вы хотите продолжить?
[Y] Да — Y  [N] Нет — N  [S] Приостановить — S  [?] Справка (значением по умолчанию является «Y»): Y

Перезагружаем компьютер:

shutdown -r -t 0

… или выключаем:

shutdown -s -t 0

Вопросы и ответы

Дополнительные сведения относительно понижения и удаления AD.

1. Как удалить дочерний домен?

Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.

2. Как понизить режим работы домена?

Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.

3. Что делать, если умер основной контроллер домена?

Рассмотрим несколько вариантов:

  • Если есть резервная копия, восстанавливаемся из нее.
  • Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
  • Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

dcpromo /forceremoval

Обновлено 02.12.2018

AD logo

Добрый день! Уважаемые читатели и гости, одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз я вам показал, все методы ввода Windows 10 в домен, сегодня я хочу показать обратную задачу, и научу вас правильно выводить компьютеры из домена, будь то клиентские версии Windows 7, 8.1 или же серверные Windows Server. Расскажу для чего, это нужно уметь и почему нельзя просто забить на такие компьютеры. Уверен, что данная информация окажется для начинающих системных администраторов полезное, ее кстати любят спрашивать на собеседованиях. Ну приступаем.

Для чего выводить компьютеры из домена?

И так если вы задались этим вопросом, то у вас как минимум есть домен Actvie Directory и вы хотели бы в нем навести порядок (Если не знаете, что такое Active Directory, то читайте об этом по ссылке слева). Наверняка многие пользователи могут спросить, зачем вообще проводить эту процедуру, на это есть ряд причин:

  1. Обычно операцию вывода из домена (Unjoin Windows) производят в ситуациях, когда компьютер может вылетать из домена, пример он не был активен более одного месяца, был банальный ремонт, а потом его решили ввести в эксплуатацию, в таких ситуациях люди ловят ошибку «отсутствуют серверы, которые могли бы обработать запрос».
  2. Просто для правильного соблюдения рекомендаций Microsoft, чтобы у вас не оставались лишние, ненужные объекты в AD, в противном случае, вам придется производить самостоятельный поиск неактивных компьютеров в Active Directory и вычищать все вручную.
  3. Третья причина, это переустановка сервера, например, обновление редакции, и если до этого вы правильно не вывели компьютер из домена, то при попытке ввести в домен Windows Server вы получите ошибку, что такой компьютер уже есть.

Методы исключения компьютера из домена

  1. Первый метод, это классический, через оснастку свойства системы
  2. Второй метод, это применимый для Windows 10 и Windows Server 2016
  3. Второй метод вывода компьютера из домена, это использование PowerShell
  4. Третий метод, это через утилиту netdom, но это для Windows Server платформ, хотя вам никто не мешает ее закачать отдельно, она идет в составе Windows Server 2003 Resource Kit Tools, про него я вам рассказывал в статье про утилиту Robocopy, принцип ее получения такой же.

Меры предосторожности

Перед тем как вы отсоедините нужный вам компьютер от домена Active Directory, убедитесь, что у вас на нем есть учетная запись, с административными правами и вы знаете от нее пароль, в противном случае, вам придется производить сброс пароля администратора на данной рабочей станции

Вывод компьютера из домена классическим методом

Данный метод подойдет абсолютно для любой версии Windows, начиная с Vista. Тут все просто вы открываете всем известное окно выполнить (Сочетанием клавиш WIN и R) и пишите в нем вот такую команду sysdm.cpl и нажмите OK.

открываем sysdm.cpl

У вас откроется окно «Свойства системы — Имя компьютера»

Свойства системы Windows 10

Так же в него можно попасть и другим методом, через свойства значка «Этот компьютер». Щелкните по нему правым кликом и выберите свойства. В открывшемся окне «Система» выберите пункт «Изменить параметры»

Свойства системы Windows 10 через проводник

В окне «Имя компьютера» нажмите кнопку «Изменить», далее в открывшемся окошке «Изменение имени компьютера или домена» деактивируйте поля «Является членом домена» и выставите рабочей группы.

Вывод из домена Windows 10

Заполните поле имени рабочей группы и нажмите кнопку «OK», у вас появится окно:

После отсоединения от этого домена для входа на данный компьютер потребуется пароль локального администратора. Чтобы продолжить, нажмите кнопку «OK»

Изменение домена Windows 10

Вам сообщат, что вы теперь являетесь членом рабочей группы. Будет произведена перезагрузка вашей рабочей станции, в моем примере, это Windows 10.

Членство в рабочей группе

При правильном выводе компьютера из Active Directory, вы увидите, что в оснастке ADUC, данный компьютер будет отключен в контейнере, где он располагался. Об этом будет говорить стрелка вниз на его значке. Напоминаю, что это классический метод исключения из AD, подходит абсолютно для всех систем Windows.

Правильный вывод компьютера из AD

Исключение из домена Windows 10 и Windows Server 2016

Данный метод, будет подходить исключительно для последних версий систем Windows 10 и Windows Server 2016, на момент написания статьи. В случае с десяткой, где интерфейс кардинально меняется от версии к версии, последовательность действий будет разниться.

Метод вывода для Windows 10 версий 1503-1511

Данный метод для Windows 10 Threshold и Threshold 2. Если не знаете, какая у вас версия, то вот вам статья, как определить версию Windows. Вам необходимо открыть параметры системы, делается, это либо через кнопку «Пуск» или же сочетанием клавиш WIN и I одновременно. Находим там пункт «Система».

Параметры Windows 10 1511

В самом низу находим пункт «О Системе» и видим кнопку «Отключиться от организации», нажимаем ее.

Отключиться от организации Windows 10

В окне «Отключение от организации» просто нажмите продолжить.

Отключение от организации AD

У вас просто появится окно с предложением о перезагрузке, соглашаемся.

Перезагрузка после выхода из домена

В оснастке ADUC данный компьютер так же был отключен.

Отключенный компьютер после вывода из домена

Метод вывода для Windows 10 версий 1607 и выше

Данный метод будет рассмотрен для версии Windows 10 1803, так как я писал, что концепция изменилась, функционал перенесли в другое место. Вы все так же открываете «Параметры Windows 10», но уже переходите в пункт «Учетные записи»

Параметры Windows 10 1803

Далее находите пункт «Доступ к учетной записи места работы или учебного заведения» и нажимаете отключиться.

Отключение от домена Windows 10 1803

У вас выскочит окно с уведомлением:

Вы действительно хотите удалить эту четную запись? Ваш доступ к ресурсам, таким как электронная почта, приложения, сеть и всему связанному содержимому также будет удалены. Ваша организация может также удалить некоторые данные, хранящиеся на этом устройстве.

выход из домена Windows 10

После подтверждения, у вас появится еще одно окно, в котором вас еще раз уведомят и захотят удостовериться в ваших действиях.

После отключения вы не сможете войти в систему этого компьютера с помощью учетной записи организации. Если установлен и запущен Bitlocker, обязательно сохраните копию ключа восстановления Bitlocker где-нибудь не на этом компьютере

Нажимаем кнопку «Отключить»

Отключение от организации AD

Перезагружаем систему.

Перезагрузка Windows 10

Открыв оснастку ADUC, я обратил внимание, что учетная запись компьютера, которого я вывел из домена, не отключилась, что очень странно, поэтому сделайте это в ручную.

ADUC Windows 10 после вывода из домена

Исключение из домена через PowerShell

Я вам не перестаю повторять, что PowerShell, просто обязан быть в вашем инструментарии системного администратора, он умеет если не все, то почти все. Открываем оснастку PowerShell от имени администратора и вводим команду:

Remove-Computer -UnjoinDomaincredential имя домена\логин учетной записи -PassThru -Verbose -Restart

У вас откроется форма с вводом пароля учетной записи,что вы указали для вывода рабочей станции из AD, указываем пароль и нажимаем «OK»

Вывод Windows 10 из домена через PowerShell-01

У вас спросят подтверждения на ваши действия, соглашаемся и вводим Y.

Вывод Windows 10 из домена через PowerShell-02

Все ваш Windows 10 с помощью PowerShell был выведен из состава домена Active Directory. В оснастке ADUC, данный компьютер был отключен, в отличии от предыдущего метода.

Вывод Windows 10 из домена через PowerShell-03

Исключение из домена через NETDOM.EXE

Напоминаю, что на клиентских Windows системах этой утилиты нет и ее нужно отдельно скачивать, она идет в составе Windows Server 2003 Resource Kit Tools. Сама команда вывода из домена выглядит вот так и запускается в cmd от имени администратора:

NETDOM.EXE REMOVE machinename /Domain:имя домена

На этом все, надеюсь, что вы почерпнули для себя разное поведение в оснастке ADUC для разных методов вывода операционных систем Windows из домена Active Directory, а с вами был Иван Семин, автор и создатель портала Pyatilistnik.org, всем удачи.

Решаем задачу по выводу компьютера из домена Windows Active Directory с сохранением всех данных пользователя

Для вывода учетных записей из домена Windows (AD) с сохранением данных мы используем утилиту: User Profile Wizard 3.16

Перед выводом учетной записи из домена требуется сделать следующие шаги:

Сохранить пароли из браузеров, закладки. Обязательно предупредить пользователя о необходимости ввести логин и пароль от браузера для синхронизации и последующего восстановления паролей и закладок.

Узнать точное название профиля, который использует пользователь на локальном компьютере.

Создать локального пользователя и зайти в него первый раз.

Проверить, что у вас есть данные по сетевому доступу к нужным папкам, после копирования доменной учетной записи пользователя в локальную, в доменную войти более будет нельзя.

На скриншоте показано следующее: на локальном компьютере есть учетная запись Comp8, локальная.


Запускаем программу от пользователя администратор (доменный или локальный), выбираем учетную запись в домене для копирования в локальную учетную запись.
Обычно она отображается в стиле: corp(домен)/comp8(имя пользователя в домене).

Никакие галочки мы не ставим.

Жмем далее.

Выбираем название пк. Ставим галочку «Set as default logon».

В поле Enter The Account Name вводим название локальной учетной записи, которую вы ранее создали в пункте 2.

Началась процедура копирования профиля из доменной учетной записи в локальную. После завершения копирования, для проверки успешности нашего мероприятия, заходим под локальной учетной записью, проверяем что данные перенеслись и все работает.

Окончательно выводим компьютер из домена путем ввода его в рабочую группу.

Все. На этом вывод рабочей станции, с сохранением профиля и данных пользователя из домена, закончился.

  • Windows 2003 Server, Windows 2008 server, Windows active directory

In this article, we’ll show how to correctly remove (demote) an Active Directory domain controller on Windows Server 2022/2019/2016/2012R2. When removing a domain controller, usually one of the following scenarios is used.

Contents:

  • Removing an Active Directory Domain Controller and ADDS Role (Step-by-Step)
  • How to Remove a Failed Domain Controller in Active Directory?

Removing an Active Directory Domain Controller and ADDS Role (Step-by-Step)

If you are going to decommission one of your AD domain controllers (common DC or read-only domain controller – RODC), you have to take some preparatory steps before demoting your domain controller to a member server and removing the Active Directory Domain Services (ADDS) role.

  1. Check the state of your domain controller, Active Directory, and replication. There is a separate article on how to check a domain controller’s health and replication in AD using dcdiag, repadmin, and PowerShell scripts. Fix the issues if found. To display a list of errors on a specific domain controller, run the following command: dcdiag.exe /s:mun-dc03 /q
  2. Make sure that the AD FSMO roles are not running on the domain controller: netdom query fsmo check fsmo role owners in actove directory If needed, move the FSMO roles to another DC.
  3. Make sure that the DHCP server role is not running on the domain controller. If it is, migrate it to another server;
  4. Change DNS settings for the DHCP scopes that are assigning IP addresses to the clients. Change the configuration of the DHCP scopes so that they assign a different DNS server address (wait for the IP lease time to expire so that all clients get new DNS server settings). You can display a list of DNS servers set for all zones (DNS Servers Option 006) on a server using the following PowerShell command (learn more about how to manage DHCP in Windows Server using PowerShell): Get-DhcpServerv4Scope -ComputerName mun-dhcp.woshub.com| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value
  5. Some clients may be manually set to use a DNS server on the DC (network devices, servers, printers, scanners, etc.). You need to find such devices and reconfigure them to another DNS server. It is easier to find such devices accessing your DNS server by its logs. Here is a detailed article: How to Audit Client DNS Queries in Windows Server;
  6. If a Certificate Authority role is running on the domain controller, migrate it to another server;
  7. If other services (like a KMS server, Radius/NPS, WSUS, etc.) are running on the domain controller, decide whether you want to move them to other hosts;
  8. Use the Test-ADDSDomainControllerUninstallation cmdlet to make sure if there are any dependencies or issues you may come across when removing a DC. If the cmdlet returns Success, you may move on. Test-ADDSDomainControllerUninstallation

You are now ready to demote the domain controller to a member server. Prior to Windows Server 201, the dcpromo command was used for this. In modern Windows Server editions, this tool is deprecated and is not recommended to be used.

You can demote your domain controller using the Server Manager. Open Server Manager -> Remote Roles and Features -> uncheck Active Directory Domain Services in the Server Roles section.

Removing Active Directory Domain Services using Server Manager

Click Demote this domain controller.

Demote this domain controller

The Active Directory Domain Services Configuration Wizard appears. Force the removal of this domain controller option is used to remove the last domain controller in adomain. Do not use it. Later we will delete all DC metadata manually.

In the next screen, check the Proceed with removal option.

Force the removal of the Active Directory domain controller

Then set the local server administrator password.

Set local admin password on a demoted DC

Then you just need to click Demote.

uninstall domain controller role on windows server

Wait till the domain controller demotion is over. The following message will appear: Successfully demoted the Active Directory Domain Controller.

Successfully demoted the Active Directory Domain Controller

Restart your Windows Server host. Open the Server Manager again to remove the Active Directory Domain Services role.

When removing the ADDS role, the following components will be removed by default:

  • Active Directory Module for Windows PowerShell
  • AD DS and AD LDS Tools feature
  • Active Directory Administrative Center
  • AD DS Snap-ins and Command-line Tools
  • DNS Server
  • Group Policy Management Console (gpmc.msc)

Run the Active Directory Users and Computers console (dsa.msc) and make sure that the domain controller computer account has been removed from the Domain Controllers OU.

You can also uninstall a domain controller using the Uninstall-ADDSDomainController PowerShell cmdlet. The command will prompt you to set a local administrator password and confirm the DC demotion.

After the restart, you will just remove the ADDS role using PowerShell:

Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Then open the Active Directory Sites and Services (dssite.msc) console, find the domain controller site, and its account in the Servers section. Expand the DC, right-click the NTDS Settings, and select Delete.

Delete domain controller account in Active Directory Sites and Services snap-in

Confirm the DC removal by checking Delete This Domain controller anyway. It is permanently offline and can no longer be removed using the removal wizard.

Delete This Domain controller anyway. It is permanently offline and can no longer be removed using the removal wizard

Then delete the server account.

Wait till the AD replication is over and check the domain state using dcdiag and repadmin commands (described above).

How to Remove a Failed Domain Controller in Active Directory?

If your domain controller has failed (physical server or virtual DC files on storage) and you are not going to restore the DC from the domain controller backup created earlier, you can force delete it.

Important. A domain controller removed in this way should never be brought online.

In Windows Server 2008 R2 or earlier, the ntdsutil tool was used to remove a failed domain controller and clear its metadata from AD. In the current Windows Server 2022/2019/2016/2012, you can delete the failed DC and clear its metadata correctly using graphic AD management MMC snap-ins.

Open the ADUC console (dsa.msc) and navigate to the Domain Controllers. Find your DC account and delete it.

delete domain controller computer account manually

A window to confirm deleting the domain controller appears. Check Delete this Domain Controller anyway. Click Delete.

confirm domain controller account removal

Active Directory will automatically clear the metadata of the removed DC from the ntds.dit database.

Then delete the domain controller in the AD Sites and Services console as shown above.

And the last step is to remove the domain controller records from the DNS. Open the DNS Manager (dnsmgmt.msc).

Remove the server from the Name Servers list in the zone settings.

Removing domain controller records in DNS

Remove static Name Servers (NS) records related to the deleted DC in your DNS zone and _msdcs, _sites, _tcp, _udp sections, as well as PTR records in the reverse lookup zone.

Delete Name Server (NS) records of a domain controller

Or use PowerShell to find and remove records in DNS.

Here is a step-by-step guide showing how to uninstall a domain controller or delete a failed DC from Active Directory.

  • Remove From My Forums

 locked

Вывод из домена

  • Вопрос

  • Есть рядовой ПК в домене. У него в свойствах «мой компьютер» есть параметр «Изменить параметры». Далее в новом окне во вкладке «имя компьютера» есть кнопка «Изменить…».
    Там мы можем вывести ПК из домена, но сначала появляется окно (см. рис. 1). В этих строчках можно ввести что угодно и нажать «ОК», и пк выйдет из домена. Но правильно, когда вводишь логин и
    пароль доменного админа. В логах ничего нет. Прошу помощи.

                                                 Рис. 1

Ответы

  • Все равно не понимаю тогда для чего это придумано

    скорее всего это очередной баг.

    Нет, не баг. При штатном выводе из домена, с указанием учетных данных, под которыми можно изменить учетную запись компьютера, эта учетная запись, по крайней мере, блокируется.

    Но для самого компьютера в плане вывода из домена ввод этих учетных данных ничего не меняет: для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.


    Слава России!

    • Помечено в качестве ответа

      21 июня 2018 г. 14:03

  • Для чего придумано хз, надо спрашивать у тех, кто придумывал :).

    А вот эффект, примерно такой. Если ввести имя/пароль с админскими реквизитами, эккаунт компьютера в домене будет задизейблен. И «просто так» заново ввести компьютер в домен не получится. Если
    задизейбленный эккаунт прибить, и добавить компьютер в домен, будет создан новый компьютерный эккаунт, и это будет новый объект AD (новый компьютер в домене).

    Если же правильные реквизиты не вводить, при добавлении компьютера он будет «подключен» к той же самой учётке. То есть, в домене появляется «тот же самый компьютер». И если взять другой компьютер, обозвать
    его тем же именем, что «не полностью» убранный из домена, и добавить в домен — после подключения к существующей учётке, это будет «тот же самый» (с тем же доменным SUID) компьютер,
    с точки зрения домена. И если использовалась раздача разрешений/делегирование компьютерной учётке, это всё сохранится для «новой» системы.

    Кстати, для обычного пользователя, когда-то было ограничение на 10 операций «добавления в домен». Если оно сохранилось, развлекаться с добавлением получится недолго :)


    S.A.

    • Предложено в качестве ответа
      Vector BCOModerator
      20 июня 2018 г. 12:21
    • Помечено в качестве ответа
      Vector BCOModerator
      21 июня 2018 г. 14:03

  • Как выйти из безопасного режима windows 10 при включении компьютера
  • Как выйти из аккаунта майкрософт на windows 10 при запуске компьютера
  • Как выйти из аккаунта ноутбука windows 10
  • Как выйти из безопасного режима windows 10 если забыл пароль
  • Как выйти из аккаунта майнкрафт на windows 10