Как вывести компьютер из домена, все методы

На чтение 14 мин. Просмотров 52 Опубликовано

Как вывести Windows 10 из домена, все методы

AD-logo.jpg

Добрый день! Уважаемые читатели и гости, одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз я вам показал, все методы ввода Windows 10 в домен, сегодня я хочу показать обратную задачу, и научу вас правильно выводить компьютеры из домена, будь то клиентские версии Windows 7, 8.1 или же серверные Windows Server. Расскажу для чего, это нужно уметь и почему нельзя просто забить на такие компьютеры. Уверен, что данная информация окажется для начинающих системных администраторов полезное, ее кстати любят спрашивать на собеседованиях. Ну приступаем.

Для чего выводить компьютеры из домена?

И так если вы задались этим вопросом, то у вас как минимум есть домен Actvie Directory и вы хотели бы в нем навести порядок (Если не знаете, что такое Active Directory, то читайте об этом по ссылке слева). Наверняка многие пользователи могут спросить, зачем вообще проводить эту процедуру, на это есть ряд причин:

  1. Обычно операцию вывода из домена (Unjoin Windows) производят в ситуациях, когда компьютер может вылетать из домена, пример он не был активен более одного месяца, был банальный ремонт, а потом его решили ввести в эксплуатацию, в таких ситуациях люди ловят ошибку “отсутствуют серверы, которые могли бы обработать запрос”.
  2. Просто для правильного соблюдения рекомендаций Microsoft, чтобы у вас не оставались лишние, ненужные объекты в AD, в противном случае, вам придется производить самостоятельный поиск неактивных компьютеров в Active Directory и вычищать все вручную.
  3. Третья причина, это переустановка сервера, например, обновление редакции, и если до этого вы правильно не вывели компьютер из домена, то при попытке ввести в домен Windows Server вы получите ошибку, что такой компьютер уже есть.

Методы исключения компьютера из домена

  1. Первый метод, это классический, через оснастку свойства системы
  2. Второй метод, это применимый для Windows 10 и Windows Server 2016
  3. Второй метод вывода компьютера из домена, это использование PowerShell
  4. Третий метод, это через утилиту netdom, но это для Windows Server платформ, хотя вам никто не мешает ее закачать отдельно, она идет в составе Windows Server 2003 Resource Kit Tools, про него я вам рассказывал в статье про утилиту Robocopy, принцип ее получения такой же.

Меры предосторожности

Перед тем как вы отсоедините нужный вам компьютер от домена Active Directory, убедитесь, что у вас на нем есть учетная запись, с административными правами и вы знаете от нее пароль, в противном случае, вам придется производить сброс пароля администратора на данной рабочей станции

Вывод компьютера из домена классическим методом

Данный метод подойдет абсолютно для любой версии Windows, начиная с Vista. Тут все просто вы открываете всем известное окно выполнить (Сочетанием клавиш WIN и R) и пишите в нем вот такую команду sysdm.cpl и нажмите OK.

otkryivaem-sysdm.cpl_.jpg

У вас откроется окно “Свойства системы – Имя компьютера”

Так же в него можно попасть и другим методом, через свойства значка “Этот компьютер”. Щелкните по нему правым кликом и выберите свойства. В открывшемся окне “Система” выберите пункт “Изменить параметры”

В окне “Имя компьютера” нажмите кнопку “Изменить”, далее в открывшемся окошке “Изменение имени компьютера или домена” деактивируйте поля “Является членом домена” и выставите рабочей группы.

Заполните поле имени рабочей группы и нажмите кнопку “OK”, у вас появится окно:

После отсоединения от этого домена для входа на данный компьютер потребуется пароль локального администратора. Чтобы продолжить, нажмите кнопку “OK”

Вам сообщат, что вы теперь являетесь членом рабочей группы. Будет произведена перезагрузка вашей рабочей станции, в моем примере, это Windows 10.

При правильном выводе компьютера из Active Directory, вы увидите, что в оснастке ADUC, данный компьютер будет отключен в контейнере, где он располагался. Об этом будет говорить стрелка вниз на его значке. Напоминаю, что это классический метод исключения из AD, подходит абсолютно для всех систем Windows.

Исключение из домена Windows 10 и Windows Server 2016

Данный метод, будет подходить исключительно для последних версий систем Windows 10 и Windows Server 2016, на момент написания статьи. В случае с десяткой, где интерфейс кардинально меняется от версии к версии, последовательность действий будет разниться.

Метод вывода для Windows 10 версий 1503-1511

Данный метод для Windows 10 Threshold и Threshold 2. Если не знаете, какая у вас версия, то вот вам статья, как определить версию Windows. Вам необходимо открыть параметры системы, делается, это либо через кнопку “Пуск” или же сочетанием клавиш WIN и I одновременно. Находим там пункт “Система”.

В самом низу находим пункт “О Системе” и видим кнопку “Отключиться от организации”, нажимаем ее.

В окне “Отключение от организации” просто нажмите продолжить.

У вас просто появится окно с предложением о перезагрузке, соглашаемся.

В оснастке ADUC данный компьютер так же был отключен.

Метод вывода для Windows 10 версий 1607 и выше

Данный метод будет рассмотрен для версии Windows 10 1803, так как я писал, что концепция изменилась, функционал перенесли в другое место. Вы все так же открываете “Параметры Windows 10”, но уже переходите в пункт “Учетные записи”

Далее находите пункт “Доступ к учетной записи места работы или учебного заведения” и нажимаете отключиться.

У вас выскочит окно с уведомлением:

Вы действительно хотите удалить эту четную запись? Ваш доступ к ресурсам, таким как электронная почта, приложения, сеть и всему связанному содержимому также будет удалены. Ваша организация может также удалить некоторые данные, хранящиеся на этом устройстве.

После подтверждения, у вас появится еще одно окно, в котором вас еще раз уведомят и захотят удостовериться в ваших действиях.

После отключения вы не сможете войти в систему этого компьютера с помощью учетной записи организации. Если установлен и запущен Bitlocker, обязательно сохраните копию ключа восстановления Bitlocker где-нибудь не на этом компьютере

Нажимаем кнопку “Отключить”

Перезагружаем систему.

Открыв оснастку ADUC, я обратил внимание, что учетная запись компьютера, которого я вывел из домена, не отключилась, что очень странно, поэтому сделайте это в ручную.

Исключение из домена через PowerShell

Я вам не перестаю повторять, что PowerShell, просто обязан быть в вашем инструментарии системного администратора, он умеет если не все, то почти все. Открываем оснастку PowerShell от имени администратора и вводим команду:

Remove-Computer -UnjoinDomaincredential имя доменалогин учетной записи -PassThru -Verbose -Restart

У вас откроется форма с вводом пароля учетной записи,что вы указали для вывода рабочей станции из AD, указываем пароль и нажимаем “OK”

У вас спросят подтверждения на ваши действия, соглашаемся и вводим Y.

Все ваш Windows 10 с помощью PowerShell был выведен из состава домена Active Directory. В оснастке ADUC, данный компьютер был отключен, в отличии от предыдущего метода.

Исключение из домена через NETDOM.EXE

Напоминаю, что на клиентских Windows системах этой утилиты нет и ее нужно отдельно скачивать, она идет в составе Windows Server 2003 Resource Kit Tools. Сама команда вывода из домена выглядит вот так и запускается в cmd от имени администратора:

NETDOM.EXE REMOVE machinename /Domain:имя домена

На этом все, надеюсь, что вы почерпнули для себя разное поведение в оснастке ADUC для разных методов вывода операционных систем Windows из домена Active Directory, а с вами был Иван Семин, автор и создатель портала Pyatilistnik.org, всем удачи.

Дек 2, 2018 09:00 Задайте вопрос Быстрый доступ

Серверные ОС Windows > Windows Server 2012 R2/2012

  • Вопрос

  • Есть рядовой ПК в домене. У него в свойствах “мой компьютер” есть параметр “Изменить параметры”. Далее в новом окне во вкладке “имя компьютера” есть кнопка “Изменить…”. Там мы можем вывести ПК из домена, но сначала появляется окно (см. рис. 1). В этих строчках можно ввести что угодно и нажать “ОК”, и пк выйдет из домена. Но правильно, когда вводишь логин и пароль доменного админа. В логах ничего нет. Прошу помощи.

                                                 Рис. 1

    4 июня 2018 г. 13:24 Ответить | Цитировать

Ответы

  • Все равно не понимаю тогда для чего это придумано

    скорее всего это очередной баг.

    Нет, не баг. При штатном выводе из домена, с указанием учетных данных, под которыми можно изменить учетную запись компьютера, эта учетная запись, по крайней мере, блокируется.

    Но для самого компьютера в плане вывода из домена ввод этих учетных данных ничего не меняет: для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.

    Слава России!

    • Помечено в качестве ответа21 июня 2018 г. 14:03

    4 июня 2018 г. 18:10 Ответить | Цитировать

  • Для чего придумано хз, надо спрашивать у тех, кто придумывал :).

    А вот эффект, примерно такой. Если ввести имя/пароль с админскими реквизитами, эккаунт компьютера в домене будет задизейблен. И “просто так” заново ввести компьютер в домен не получится. Если задизейбленный эккаунт прибить, и добавить компьютер в домен, будет создан новый компьютерный эккаунт, и это будет новый объект AD (новый компьютер в домене).

    Если же правильные реквизиты не вводить, при добавлении компьютера он будет “подключен” к той же самой учётке. То есть, в домене появляется “тот же самый компьютер”. И если взять другой компьютер, обозвать его тем же именем, что “не полностью” убранный из домена, и добавить в домен – после подключения к существующей учётке, это будет “тот же самый” (с тем же доменным SUID) компьютер, с точки зрения домена. И если использовалась раздача разрешений/делегирование компьютерной учётке, это всё сохранится для “новой” системы.

    Кстати, для обычного пользователя, когда-то было ограничение на 10 операций “добавления в домен”. Если оно сохранилось, развлекаться с добавлением получится недолго 🙂

    S.A.

    • Предложено в качестве ответа20 июня 2018 г. 12:21
    • Помечено в качестве ответа21 июня 2018 г. 14:03

    4 июня 2018 г. 14:21 Ответить | Цитировать

Все ответы

  • это вполне штатное поведение

    если машина утратила связь с доменом (что бывает частой причиной вывода пк из домена) вожможности проверить креды просто нет.

    The opinion expressed by me is not an official position of Microsoft

    4 июня 2018 г. 13:30 Ответить | Цитировать

  • Но пк в сети, как только я его вывожу, после перезагрузки я его снова ввожу4 июня 2018 г. 13:35 Ответить | Цитировать

  • Но пк в сети, как только я его вывожу, после перезагрузки я его снова ввожу

    я вам привел ситуацию в которой требовать логин/пароль смысла нет. защита от пользователя в таком случае не сработает так как будет всего-то сеть отключить

    The opinion expressed by me is not an official position of Microsoft

    • Изменено4 июня 2018 г. 13:39

    4 июня 2018 г. 13:38 Ответить | Цитировать

  • Все равно не понимаю тогда для чего это придумано4 июня 2018 г. 13:59 Ответить | Цитировать

  • Все равно не понимаю тогда для чего это придумано

    скорее всего это очередной баг.

    • Предложено в качестве ответа9 июня 2018 г. 11:58
    • Отменено предложение в качестве ответа21 июня 2018 г. 14:04

    4 июня 2018 г. 14:06 Ответить | Цитировать

  • Все равно не понимаю тогда для чего это придумано

    скорее всего это очередной баг.

    который тянется уже лет 7 как минимум

    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа9 июня 2018 г. 11:58
    • Отменено предложение в качестве ответа21 июня 2018 г. 14:04

    4 июня 2018 г. 14:08 Ответить | Цитировать

  • Для чего придумано хз, надо спрашивать у тех, кто придумывал :).

    А вот эффект, примерно такой. Если ввести имя/пароль с админскими реквизитами, эккаунт компьютера в домене будет задизейблен. И “просто так” заново ввести компьютер в домен не получится. Если задизейбленный эккаунт прибить, и добавить компьютер в домен, будет создан новый компьютерный эккаунт, и это будет новый объект AD (новый компьютер в домене).

    Если же правильные реквизиты не вводить, при добавлении компьютера он будет “подключен” к той же самой учётке. То есть, в домене появляется “тот же самый компьютер”. И если взять другой компьютер, обозвать его тем же именем, что “не полностью” убранный из домена, и добавить в домен – после подключения к существующей учётке, это будет “тот же самый” (с тем же доменным SUID) компьютер, с точки зрения домена. И если использовалась раздача разрешений/делегирование компьютерной учётке, это всё сохранится для “новой” системы.

    Кстати, для обычного пользователя, когда-то было ограничение на 10 операций “добавления в домен”. Если оно сохранилось, развлекаться с добавлением получится недолго 🙂

    S.A.

    • Предложено в качестве ответа20 июня 2018 г. 12:21
    • Помечено в качестве ответа21 июня 2018 г. 14:03

    4 июня 2018 г. 14:21 Ответить | Цитировать

    • Изменено4 июня 2018 г. 14:31

    4 июня 2018 г. 14:29 Ответить | Цитировать

  • обычные и не могут, нужны необычные права локального админа

    The opinion expressed by me is not an official position of Microsoft

    • Изменено4 июня 2018 г. 14:52

    4 июня 2018 г. 14:51 Ответить | Цитировать

  • Все равно не понимаю тогда для чего это придумано

    скорее всего это очередной баг.

    Нет, не баг. При штатном выводе из домена, с указанием учетных данных, под которыми можно изменить учетную запись компьютера, эта учетная запись, по крайней мере, блокируется.

    Но для самого компьютера в плане вывода из домена ввод этих учетных данных ничего не меняет: для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.

    Слава России!

    • Помечено в качестве ответа21 июня 2018 г. 14:03

    4 июня 2018 г. 18:10 Ответить | Цитировать

  •  для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.

    Слава России!

    я вобще ввёл учётные данные несуществующего пользователя: username: asfstertr password: 34r5546763r2

    и комп спокойно вышел из домена.

    4 июня 2018 г. 18:27 Ответить | Цитировать

  •  для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.

    Слава России!

    я вобще ввёл учётные данные несуществующего пользователя: username: asfstertr password: 34r5546763r2

    и комп спокойно вышел из домена.

    об этом и речь

    выводили пк из домена вы под локальным админом или доменной уз с подобными правами.

    при этом если вы вводите правильные логин/пароль – доменная уз машины выключится (если верить Safronov A. и M.V.V.), а если вводите билеберду как в вашем примере уз машины останется включенной в ад, но сама машинка выйдет из домена в любом случае

    The opinion expressed by me is not an official position of Microsoft

    4 июня 2018 г. 18:38 Ответить | Цитировать

  •  для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.

    Слава России!

    я вобще ввёл учётные данные несуществующего пользователя: username: asfstertr password: 34r5546763r2

    и комп спокойно вышел из домена.

    Очевидно что для вывода ПК из домена доступа к домену не требуется. Ведь всегда можно просто переустановить ОС на ПК что неминуемо выведет ПК из домена. 

    Пароль/логин спрашивают для проверки возможности удаления записи о данном ПК из домена. Если его не ввести или он неверен то ПК будет выведен из домена, но запись о нем останется.

    This posting is provided “AS IS” with no warranties, and confers no rights.

    4 июня 2018 г. 18:41 Ответить | Цитировать

  •  а если вводите билеберду как в вашем примере уз машины останется включенной в ад, но сама машинка выйдет из домена в любом случае

    но запись о нем останется.

    да, это я уже понял. просто никогда не обращал внимания на то, что там в АД после вывода компа из домена. Учётка компа просто потом удалялась скриптами по скроку неиспользования.4 июня 2018 г. 18:57 Ответить | Цитировать

  • Могу дополнить обсуждение ещё одним не очевидным моментом.

    Если компьютер вывели из домена “локально” (без удаления учётки), то при последующем добавлении этого же (или с тем же именем) компьютера в домен, наличие User Rights “Добавление компьютеров к домену” может оказаться недостаточно. Если компьютер был ранее помещён в OU, для которой у добавляющего нет прав на изменение объектов. Получится облом-с… 🙂

    S.A.

    4 июня 2018 г. 19:46 Ответить | Цитировать

Используемые источники:

  • http://pyatilistnik.org/unjoin-windows-pc/
  • https://social.technet.microsoft.com/forums/windows/ru-ru/29464ea6-9c40-4604-a75a-0fe8c83466d1/10421099107410861076-10801079-107610861084107710851072

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий

© 2024