Как вывести из домена компьютер


Как вывести компьютер из домена, все методы

Добрый день! Уважаемые читатели и гости, одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз я вам показал, все методы ввода Windows 10 в домен, сегодня я хочу показать обратную задачу, и научу вас правильно выводить компьютеры из домена, будь то клиентские версии Windows 7, 8.1 или же серверные Windows Server. Расскажу для чего, это нужно уметь и почему нельзя просто забить на такие компьютеры. Уверен, что данная информация окажется для начинающих системных администраторов полезное, ее кстати любят спрашивать на собеседованиях. Ну приступаем.

Для чего выводить компьютеры из домена?

И так если вы задались этим вопросом, то у вас как минимум есть домен Actvie Directory и вы хотели бы в нем навести порядок (Если не знаете, что такое Active Directory, то читайте об этом по ссылке слева). Наверняка многие пользователи могут спросить, зачем вообще проводить эту процедуру, на это есть ряд причин:

  1. Обычно операцию вывода из домена (Unjoin Windows) производят в ситуациях, когда компьютер может вылетать из домена, пример он не был активен более одного месяца, был банальный ремонт, а потом его решили ввести в эксплуатацию, в таких ситуациях люди ловят ошибку "отсутствуют серверы, которые могли бы обработать запрос".
  2. Просто для правильного соблюдения рекомендаций Microsoft, чтобы у вас не оставались лишние, ненужные объекты в AD, в противном случае, вам придется производить самостоятельный поиск неактивных компьютеров в Active Directory и вычищать все вручную.
  3. Третья причина, это переустановка сервера, например, обновление редакции, и если до этого вы правильно не вывели компьютер из домена, то при попытке ввести в домен Windows Server вы получите ошибку, что такой компьютер уже есть.

Методы исключения компьютера из домена

  1. Первый метод, это классический, через оснастку свойства системы
  2. Второй метод, это применимый для Windows 10 и Windows Server 2016
  3. Второй метод вывода компьютера из домена, это использование PowerShell
  4. Третий метод, это через утилиту netdom, но это для Windows Server платформ, хотя вам никто не мешает ее закачать отдельно, она идет в составе Windows Server 2003 Resource Kit Tools, про него я вам рассказывал в статье про утилиту Robocopy, принцип ее получения такой же.

Меры предосторожности

Перед тем как вы отсоедините нужный вам компьютер от домена Active Directory, убедитесь, что у вас на нем есть учетная запись, с административными правами и вы знаете от нее пароль, в противном случае, вам придется производить сброс пароля администратора на данной рабочей станции

Вывод компьютера из домена классическим методом

Данный метод подойдет абсолютно для любой версии Windows, начиная с Vista. Тут все просто вы открываете всем известное окно выполнить (Сочетанием клавиш WIN и R) и пишите в нем вот такую команду sysdm.cpl и нажмите OK.

У вас откроется окно "Свойства системы - Имя компьютера"

Так же в него можно попасть и другим методом, через свойства значка "Этот компьютер". Щелкните по нему правым кликом и выберите свойства. В открывшемся окне "Система" выберите пункт "Изменить параметры"

В окне "Имя компьютера" нажмите кнопку "Изменить", далее в открывшемся окошке "Изменение имени компьютера или домена" деактивируйте поля "Является членом домена" и выставите рабочей группы.

Заполните поле имени рабочей группы и нажмите кнопку "OK", у вас появится окно:

После отсоединения от этого домена для входа на данный компьютер потребуется пароль локального администратора. Чтобы продолжить, нажмите кнопку "OK"

Вам сообщат, что вы теперь являетесь членом рабочей группы. Будет произведена перезагрузка вашей рабочей станции, в моем примере, это Windows 10.

При правильном выводе компьютера из Active Directory, вы увидите, что в оснастке ADUC, данный компьютер будет отключен в контейнере, где он располагался. Об этом будет говорить стрелка вниз на его значке. Напоминаю, что это классический метод исключения из AD, подходит абсолютно для всех систем Windows.

Исключение из домена Windows 10 и Windows Server 2016

Данный метод, будет подходить исключительно для последних версий систем Windows 10 и Windows Server 2016, на момент написания статьи. В случае с десяткой, где интерфейс кардинально меняется от версии к версии, последовательность действий будет разниться.

Метод вывода для Windows 10 версий 1503-1511

Данный метод для Windows 10 Threshold и Threshold 2. Если не знаете, какая у вас версия, то вот вам статья, как определить версию Windows. Вам необходимо открыть параметры системы, делается, это либо через кнопку "Пуск" или же сочетанием клавиш WIN и I одновременно. Находим там пункт "Система".

В самом низу находим пункт "О Системе" и видим кнопку "Отключиться от организации", нажимаем ее.

В окне "Отключение от организации" просто нажмите продолжить.

У вас просто появится окно с предложением о перезагрузке, соглашаемся.

В оснастке ADUC данный компьютер так же был отключен.

Метод вывода для Windows 10 версий 1607 и выше

Данный метод будет рассмотрен для версии Windows 10 1803, так как я писал, что концепция изменилась, функционал перенесли в другое место. Вы все так же открываете "Параметры Windows 10", но уже переходите в пункт "Учетные записи"

Далее находите пункт "Доступ к учетной записи места работы или учебного заведения" и нажимаете отключиться.

У вас выскочит окно с уведомлением:

Вы действительно хотите удалить эту четную запись? Ваш доступ к ресурсам, таким как электронная почта, приложения, сеть и всему связанному содержимому также будет удалены. Ваша организация может также удалить некоторые данные, хранящиеся на этом устройстве.

После подтверждения, у вас появится еще одно окно, в котором вас еще раз уведомят и захотят удостовериться в ваших действиях.

После отключения вы не сможете войти в систему этого компьютера с помощью учетной записи организации. Если установлен и запущен Bitlocker, обязательно сохраните копию ключа восстановления Bitlocker где-нибудь не на этом компьютере

Нажимаем кнопку "Отключить"

Перезагружаем систему.

Открыв оснастку ADUC, я обратил внимание, что учетная запись компьютера, которого я вывел из домена, не отключилась, что очень странно, поэтому сделайте это в ручную.

Исключение из домена через PowerShell

Я вам не перестаю повторять, что PowerShell, просто обязан быть в вашем инструментарии системного администратора, он умеет если не все, то почти все. Открываем оснастку PowerShell от имени администратора и вводим команду:

Remove-Computer -UnjoinDomaincredential имя домена\логин учетной записи -PassThru -Verbose -Restart

У вас откроется форма с вводом пароля учетной записи,что вы указали для вывода рабочей станции из AD, указываем пароль и нажимаем "OK"

У вас спросят подтверждения на ваши действия, соглашаемся и вводим Y.

Все ваш Windows 10 с помощью PowerShell был выведен из состава домена Active Directory. В оснастке ADUC, данный компьютер был отключен, в отличии от предыдущего метода.

Исключение из домена через NETDOM.EXE

Напоминаю, что на клиентских Windows системах этой утилиты нет и ее нужно отдельно скачивать, она идет в составе Windows Server 2003 Resource Kit Tools. Сама команда вывода из домена выглядит вот так и запускается в cmd от имени администратора:

NETDOM.EXE REMOVE machinename /Domain:имя домена

На этом все, надеюсь, что вы почерпнули для себя разное поведение в оснастке ADUC для разных методов вывода операционных систем Windows из домена Active Directory, а с вами был Иван Семин, автор и создатель портала Pyatilistnik.org, всем удачи.

Вывод рабочей станции Windows из домена Active Directory

Вывод рабочей станции Windows из домена

Решаем задачу по выводу компьютера из домена Windows Active Directory с сохранением всех данных пользователя

 

Для вывода учетных записей из домена Windows (AD) с сохранением данных мы используем утилиту: User Profile Wizard 3.16

Перед выводом учетной записи из домена требуется сделать следующие шаги:

Сохранить пароли из браузеров, закладки. Обязательно предупредить пользователя о необходимости ввести логин и пароль от браузера для синхронизации и последующего восстановления паролей и закладок.

Узнать точное название профиля, который использует пользователь на локальном компьютере.

Создать локального пользователя и зайти в него первый раз.

Проверить, что у вас есть данные по сетевому доступу к нужным папкам, после копирования доменной учетной записи пользователя в локальную, в доменную войти более будет нельзя.

На скриншоте показано следующее: на локальном компьютере есть учетная запись Comp8, локальная.


Запускаем программу от пользователя администратор (доменный или локальный), выбираем учетную запись в домене для копирования в локальную учетную запись.
Обычно она отображается в стиле: corp(домен)/comp8(имя пользователя в домене).

Никакие галочки мы не ставим.

Жмем далее.

Выбираем название пк. Ставим галочку «Set as default logon».

В поле Enter The Account Name вводим название локальной учетной записи, которую вы ранее создали в пункте 2.

Началась процедура копирования профиля из доменной учетной записи в локальную. После завершения копирования, для проверки успешности нашего мероприятия, заходим под локальной учетной записью, проверяем что данные перенеслись и все работает.

Окончательно выводим компьютер из домена путем ввода его в рабочую группу.

Все. На этом вывод рабочей станции, с сохранением профиля и данных пользователя из домена, закончился.

Как вывести из домена компьютер

Вследствие вероятности централизованного управления учетными записями пользователей, политиками безопасности и источниками сети, домен Windows крепко упрощает задачи администрирования. Впрочем сетевой вход и работа в домене допустимы только при функционирующем сервере. Следственно изредка бывает необходимо вывести компьютер из домена.

Вам понадобится

  • – компьютер под управлением Windows;
  • – учетная запись с административными правами.

Инструкция

1. Откройте окно папки панели управления Windows. Для этого в меню, отображающемся при клике по кнопке «Пуск», которая расположена в панели задач на рабочем столе, выделите пункт «Настройка». Откроется дочернее меню. Кликните в нем на пункте «Панель управления».

2. В случае, если отображение информации в панели управления производится по категориям, произведите переключение к классическому виду, кликнув по соответствующей ссылке, расположенной в блоке «Панель управления» справа. Либо перейдите к категории «Продуктивность и обслуживание», открыв ярлык либо предпочтя пункт с данным наименованием в разделе «Переход» меню «Вид».

3. Откройте диалог «Свойства системы». Для этого обнаружьте ярлык с наименованием «Система» в панели управления и откройте его двойным щелчком мыши либо при помощи пункта «Открыть» контекстного меню.

4. Откройте диалог «Метаморфоза имени компьютера». В диалоге «Свойства системы» перейдите к вкладке «Имя компьютера». Нажмите кнопку «Изменить».

5. Выведите компьютер из домена. В группе элементов управления «Является членом» диалога «Метаморфоза имени компьютера» активируйте опцию «рабочей группы:». Расположенное ниже текстовое поле станет энергичным. Введите в него значение WORKGROUP. Нажмите кнопку OK для использования изменений. Отобразится диалог с полями, предуготовленными для ввода имени и пароля пользователя. Нажмите кнопку OK в нем, а также в 2-х окнах сообщений, которые появятся следом.

6. Перезагрузите компьютер для того, дабы метаморфозы окончательно вступили в силу, и дозволено было начать работу вне домена Windows. Нажмите кнопку «Пуск» в панели задач на рабочем столе. В отобразившемся меню выберите пункт «Отключить компьютер». Осуществите перезагрузку путем нажатия соответствующей кнопки либо выбора опции в отображенном диалоге. Дождитесь окончания процесса и войдите в систему как локальный пользователь.

Операция итога компьютера из домена является стандартной процедурой в операционной системе Microsoft Windows и может быть исполнена пользователем без привлечения добавочного программного обеспечения при условии наличия администраторского доступа.

Инструкция

1. Удостоверьтесь в том, что являетесь менеджером либо оператором выбранного домена и удостоверитесь в том, что компьютер находится в сети.

2. Вызовите контекстное меню элемента рабочего стола «Мой компьютер» кликом правой кнопки мыши и перейдите в пункт «Свойства» для выполнения операции итога компьютера из домена .

3. Выберите пункт «Имя компьютера» и укажите команду «Изменить».

4. Воспользуйтесь опцией «Является членом» и выберите пункт «Рабочей группы».

5. Введите нужные данные в соответствующие поля и нажмите кнопку OK для подтверждения выполнения команды.

6. Перезагрузите компьютер для использования выбранных изменений и нажмите кнопку «Пуск» для вызова основного меню операционной системы Microsoft Windows.

7. Введите значение cmd в тестовое поле строки поиска дя выполнения альтернативной операции итога компьютера из домена и нажмите кнопку «Обнаружить» для подтверждения выполнения операции.

8. Вызовите контекстное меню обнаруженного инструмента «Командная строка» кликом правой кнопки мыши и укажите команду «Запуск от имени менеджера».

9. Введите значение netdom.exe remove имя_компьютера /Domain: имя_домена в тестовое поле утилиты командной строки и нажмите функциональную клавишу Enter для подтверждения выполнения команды.

10. Перезагрузите компьютер для использования выбранных изменений.

11. Помните, что повторная попытка войти в домен будет выполняться компьютером с применением ветхого имени. Следственно рекомендованным действием является выполнение операции переименования компьютера. Используйте дальнейший синтаксис команды:netdom renamecomputer имя_компьютера /newname: желаемое_имя_компьютера/userd:имя_домена логин_администратора/passwordd:* /usero: локальный_администратор/passwordo:* /reboot: промежуток_времени_между_переименованием_компьютера_и_перезагрузкой.

Верный выбор домена – залог триумфа сайта. Значимо не допустить ошибок при выборе наименования источника, в отвратном случае это может нехорошо сказаться на его движении. Но бывают такие обстановки, когда имя у сайта классное, но его доводится менять.

Инструкция

1. Смена домена осуществляется по различным причинам. Допустимо, из-за смены обладателя, реорганизации, попадания сайта под фильтр поисковых систем. Обыкновенно если источник попадает под АГС (фильтр), то его дозволено вытянуть оттуда. Если по этой причине вы хотите сменить домен, подумайте, стоит ли сразу же менять наименование сайта либо же постараться поправить все ошибки, возникшие в итоге неправильной оптимизации? Продолжайте размещать на источнике уникальные добротные, грамотные статьи. Приобретайте ссылки на других сайтах. Безусловно, может пройти много времени, раньше чем вы добьетесь каких-нибудь итогов. Самое неприятное – это то, что нет ручательства снятия фильтра. Если вы не хотите тратить свое время и деньги и ожидать каких-либо изменений, читайте дальше.

2. Выберите новейший домен, перенесите сайт на него. Для этого пройдите процесс регистрации и пропишите DNS во время ожидания делегирования. На хостинге привяжите наименование к источнику. Потом настройте редирект. Для этого пропишите в файле .htaccess, тот, что находится в корневом каталоге сайта, следующее:RewriteRule (.*) http://домен/$1 [R=301,L]RewriteEngine onOptions +FollowSymLinksСделайте это для того, дабы не утратить своих читателей: они, переходя по ветхому URL, будут механически перенаправляться на новейший.

3. Не позабудьте переписать домен в файле robots.txt. Для того дабы поисковые роботы стремительней проиндексировали сайт, находящий по новому адресу, добавьте его в Гугл.Вебмастер и Яндекс.Вебмастер. Это необходимо для того, дабы поисковики знали и ветхий, и новейший URL. Это дозволит сделать индексацию отсутствующих на ветхом источнике страниц стремительней.

4. На ветхом домене настройте страницу «Оплошность 404». Оповестите гостей сайта о том, что источник переехал на новейший адрес. Позже того как вы исполните все шаги, ждите того, когда поисковые роботы проиндексируют ваш сайт с новым доменом.

Видео по теме

Регистрация доменного имени приводит к тому, что у него возникает обладатель, несущий за данный источник всю полноту ответственности. В том случае если домен огромнее не надобен, обладатель может официально от него отказаться

Вам понадобится

  • – заявление регистратору домена.

Инструкция

1. Надобность официального отказа от домена может быть вызвана желанием заведомо исключить всякие допустимые юридические итоги. Потому что домен может применяться для размещения самых различных материалов, в том числе и таких, которые могут попасть под действие присутствующего права, отказ от доменного имени дозволит иметь полный иммунитет от каких бы то ни было жалоб со дня его осуществления. Но за все, что происходило на источнике с момента регистрации домена и до дня отказа от него, прежний обладатель продолжает нести ответственность.

2. Отказаться от домена труднее, чем его зарегистрировать, потому что отказ относится к так называемым скептическим процедурам. Это значит, что для отказа вам нужно не только написать заявление в компанию, регистрировавшую домен, но и предоставить копии документов, подтверждающие вашу фигура и, соответственно, право владения доменом. Форма для отказа от регистрации, как водится, есть на сайте регистратора доменных имен, вам нужно лишь скачать ее и заполнить.

3. Если домен принадлежит юридическому лицу, заявление об отказе от домена должно быть заверено печатью фирмы и подписью лица, уполномоченного заверять сходственные документы. Копии всех документов могут быть пересланы в электронном виде.

4. Отказ от доменного имени не принимается, если доменное имя было заблокировано, если не получается удостоверить регистрационные данные обладателя домена, если присутствуют исковые судебные требования и в том случае, если не прошло 60 дней со дня принятия прав на домен, переданных менеджеру третьим лицом.

5. Неизменно ли нужно отказываться от домена, тот, что вам теснее не надобен? Нет, регистрация будет механически прекращена в том случае, если вы не станете ее продлевать – то есть не оплатите домен на следующий год. На практике обладателю доменного имени довольно легко удалить сайт с хостинга, позже чего о нем дозволено успешно позабыть. В том случае если сайт, тот, что вам огромнее не надобен, является абсолютно удачным планом и имеет недурное число посетителей, положительнее будет попытаться его продать. Определенная цена источника зависит от яруса его популярности. Изредка дозволено продать и примитивно доменное имя, если оно имеет громкое запоминающееся наименование. Отличное доменное имя в среднем стоит от 1000 баксов и выше.

Видео по теме

Как вывести из домена?

При помощи возможностей управления учетными записями пользователей (в том числе и администраторами), ресурсами сети и т.д. домены Windows ощутимо упрощают практически все нужды администрирования. Но некоторые задачи требуют вывода компьютера из домена.
Инструкция
  • Откройте панель управления Windows. Для этого нажмите на кнопку «Пуск» и в правой части меню кликните на пункт «Панель управления».
  • По-умолчанию все элементы в панели управления отображены по категориям, что не очень удобно (в этом случае отображаются не все элементы). Чтобы это изменить, нажмите на кнопку в левом меню (в Windows XP) «Перейти к классическому виду» либо (в Windows 7) в правом верхнем углу напротив строки «Просмотр» выберите «Мелкие или крупные значки». Или перейдите к категории «Производительность и обслуживание», открыв ярлык или выбрав пункт с данным названием в разделе «Переход» меню «Вид».
  • Откройте окно «Система» (в Windows 7) либо «Свойства системы» (в Windows XP). Для этого найдите соответствующую иконку и нажмите на нее двойным кликом, то же действие: «ПКМ -> Открыть».
  • Откройте диалог «Изменение имени компьютера» (в Windows XP) или «Дополнительные параметры системы» (в Windows 7). В окне «Свойства системы» перейдите во вкладку «Имя компьютера». Нажмите на кнопку «Изменить» (этот шаг одинаков для Windows XP и Windows 7).
  • Выведите свой компьютер из домена. Возле элементов управления «Является членом» окна «Изменение имени компьютера» выберите пункт «Рабочей группы:». Текстовое поле названия группы станет активным для изменения. В это поле введите значение WORKGROUP. Сохраните изменения, нажав на кнопку OK. Откроется окно с текстовыми полями для ввода имени и пароля пользователя. В этом окне нажмите на кнопку OK, затем в двух следующих открывающихся окнах тоже нажмите на OK.
  • Для того чтобы начать работать вне домена Windows, нужно перезагрузить компьютер: откройте меню «Пуск», нажав клавишу «флажок» на клавиатуре. Кликните на стрелочку возле пункта меню «Завершение работы», затем нажмите на «Перезагрузка» (в Windows 7) либо на кнопку «Завершение работы» (в Windows XP).
  • Оцените статью!

    Может кто нибудь подсказать ответы на несколько вопросов по AD? — Хабр Q&A

    Всем доброго времени суток.
    Есть несколько вопросов по AD, подскажите ответы на них:
    1. Нужно ли при переустановки Windows на клиентском компьютере выводить его из домена, если dns имя клиента в итоге не изменится?
    2. Нужно ли выводить клиентский компьютер из домена, при его переименовании?
    3. Есть такая структура - головной офис с главным DC и несколько дополнительных офисов в пределах одного города, в которых стоят дополнительные DC. Как лучше настроить репликации, все DC поместить в один сайт или для каждого офиса создать отдельный сайт? В данный момент каждый DC на своем сайте, и между каждым доп. DC и главным настроена отдельная связь. Стоит ли так оставлять или лучше настроить одну связь между всеми DC?
    4. Существует ли какой-либо способ скажем так привязать OU к группе безопасности? Чтобы все пользователи попадающие в конкретную OU автоматически помещались в нужную группу безопасности?

    • Вопрос задан
    • 1183 просмотра

    Windows server 2019 - добавление и удаление компьютера в домене

    Добавление и удаление компьютера в домене является обычной частой операцией. Это возможно сделать различными способами, в данном случае рассмотрено добавление и удаление компьютера в домене с помощью графического интерфейса или с помощью PowerShell.

     

    Настройка сетевого интерфейса

    1. Перед добавлением компьютера в домен, необходимо настроить сетевой интерфейс. Набираем ncpa.cpl в поле поиска.

    2. Нажимаем правой клавишей на выбранный сетевой интерфейс, далее "Свойства".

    3. Снимаем чекбокс с "IP версии 6 (TCP/IPv6)", если не используем IPv6. Выделяем "IP версии 4 (TCP/IPv4)", далее "Свойства".

    4. Если в сети нет DHCP-сервера, то в интерфейсе указываем IP-адрес, маску подсети, основной шлюз, предпочитаемый DNC-сервер. Нажимаем "ОК".

    5. Если в сети имеется DHCP-сервер, то параметры IP можно назначить автоматически. Для этого выставляем "Получить IP-адрес автоматически", "Получить адрес DNS-сервера автоматически", далее "ОК".

    Добавление компьютера в домен с помощью графического интерфейса

    1. Для ввода компьютера в домен нажимаем правой клавишей мыши на "Этот компьютер", далее "Свойства".

    2. В новом окне нажимаем "Изменить параметры". 

    3. В следующем окне в "Описание" указываем описание компьютера (можно ничего не указывать). Затем "Изменить".

    4. В новом окне задаём "Имя компьютера", далее "ОК".

    5. После появления предупреждения, нажимаем "ОК" и перезагружаем компьютер.

    6. После перезагрузки компьютера, имя компьютера изменится. Далее снова открываем окно "Система", затем "Изменить параметры".

    7. Далее нажимаем "Изменить", устанавливаем чекбокс "Является членом домена:" и указываем имя домена.

    8. В новом окне "Безопасность Windows" указываем имя и пароль учетной записи с правами на присоединение к домену. Далее "ОК".

    9. Если добавление в компьютер прошло успешно, то появится предупреждение "Добро пожаловать в домен ....". Затем перезагружаем компьютер.

    Добавление компьютера в домен с помощью PowerShell

    1. Нажимаем кнопку поиск, пишем букву p (по-английски), далее правой клавишей мыши на "Windows PowerShell" - "Запуск от имени администратора".

    2. В открывшемся окне PowerShell набираем команды:

         $env:computername - определяем текущее имя компьютера;

         rename-computer -newname cl1 - изменяем текущее имя компьютера на cl1;

         restart-computer - перезагружаем компьютер.

    3. После перезагрузки компьютера снова открываем PowerShell. Для добавления компьютера в домен с помощью PowerShell выполняем команду:

         add-computer -domainname sigro.ru - sigro.ru - имя домена.

    При появлении запроса, вводим учетные данные пользователя (пользователь и пароль), который имеет право выполнять добавление компьютера в домен.

    4. Для того, чтобы изменения вступили в силу, необходима перезагрузка компьютера. Выполняем команду:

         restart-computer

    5. После перезагрузки компьютера можно использовать для входа в компьютер доменные учетные записи.

    6. В окне "Система" изменится информация о компьютере в поле "Полное имя" и появится информация о домене в поле "Домен".

    Удаление компьютера из домена с помощью графического интерфейса

    1. Для удаления компьютера из домена нажимаем правой клавишей мыши на "Этот компьютер", далее "Свойства". В открывшемся окне нажимаем "Изменить параметры".

    2. В следующем окне выбираем "Изменить".

    3. В новом окне переключаем чекбокс на "Является членом рабочей группы", указываем имя рабочей группы, например, "WORKGROUP". Далее нажимаем "ОК".

    4. Читаем предупреждение о том, что после отсоединения от домена для входа на данный компьютер потребуется пароль локального администратора. Нажимаем "ОК".

    5. Вводим учетные данные пользователя (пользователь и пароль), имеющего разрешение удалить компьютер из домена. Далее "ОК".

    6. Если все прошло успешно, то появится сообщение - "Добро пожаловать в рабочую группу WORKGROUP". Перезагружаем компьютер и заходим под обычной учетной записью этого компьютера.

     

     

     

     

    Удаление компьютера из домена с помощью PowerShell

    1. Нажимаем кнопку поиск, пишем букву p (по-английски), далее правой клавишей мыши на "Windows PowerShell" - "Запуск от имени администратора".

    2. В открывшемся окне PowerShell выполняем следующие команды:

         $env:computername - узнаем имя компьютера;

         remove-computer -computername cl1 - удаляем компьютер с именем, который узнали командой выше, из домена.

    В появившемся окне вводим учетные данные (пользователь и пароль) пользователя, имеющего право удалять компьютер из домена.

    2. Читаем предупреждение системы о том, что "Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального администратора. Вы хотите продолжить?" Нажимаем "y". Для перезагрузки компьютера выполняем команду:

         restart-computer

    3. После перезагрузки компьютера заходим под обычным (не доменным) пользователем этого компьютера. В окне "Система" видим, что  поле "Полное имя компьютера" изменилось, вместо поля "Домен", появилось поле "Рабочая группа".

    Посмотреть видео можно здесь:

    Windows server 2019 - установка и настройка WSUS, создание и настройка GPO

    Windows server 2019 - переименование администратора домена, изменение формата выводимого имени пользователя

    Windows server 2019 - установка и настройка Active Directory, DNS, DHCP 

    Windows server 2019 - создание и удаление пользователя, группы, подразделения в домене

    Windows server 2019 - установка и настройка сервера печати, разворачивание МФУ с помощью GPO 

    Windows server 2019 - GPO изменение экранной заставки, отключение монитора, изменение политики паролей

    Как управлять компьютерами в Active Directory с помощью PowerShell

    Прежде чем пользователь сможет войти в компьютер и получить доступ к сетевым и доменным ресурсам, этот компьютер должен быть членом среды Active Directory. В этом руководстве вы узнаете, как автоматизировать повседневные задачи, связанные с учетными записями компьютеров, например, как легко создавать, переименовывать и удалять учетные записи.

    В целом вы узнаете, как использовать PowerShell для выполнения следующих задач по управлению учетными записями компьютера:

    • Присоедините компьютер к домену
      • Присоединение нескольких компьютеров к домену
    • Удаление компьютера из домена с помощью PowerShell
    • Создание компьютерного объекта в AD
      • Создание учетных записей компьютеров из файла CSV
    • Удаление компьютера из AD
      • Удаление учетных записей компьютеров с помощью списка
      • Удаление устаревших учетных записей компьютеров в Active Directory с помощью PowerShell
    • Переименовать компьютер
      • Переименовать компьютер и присоединить его к домену
    • Отключить учетную запись компьютера AD
      • Отключить учетные записи компьютеров с помощью списка
    • Сброс учетной записи компьютера AD

    PowerShell ISE - лучший инструмент для работы со скриптами PowerShell.Запустите инструмент PowerShell ISE с правами администратора, нажав «Windows + R» и введя «runas / profile / user: Administrator PowerShell_ISE» в окне «Выполнить». (Кроме того, вы можете щелкнуть правой кнопкой мыши значок PowerShell ISE и выбрать параметр «Запуск от имени администратора».) Введите пароль администратора при появлении запроса.

    Прежде чем вы сможете работать с AD и его объектами, вам необходимо импортировать модуль Active Directory для Windows PowerShell. В Microsoft Windows Server 2008 R2 вам необходимо включить этот модуль, выполнив следующую команду:

     Импорт-модуль ActiveDirectory 

    В Microsoft Windows Server 2012 и более поздних версиях этот модуль включен по умолчанию.

    Присоединить компьютер к домену

    Самая распространенная задача - присоединить компьютер к контроллеру домена. Чтобы присоединить компьютер к домену Active Directory, запустите локально следующий сценарий PowerShell:

     $ dc = "ENTERPRISE" # Укажите домен для присоединения. $ pw = "Пароль123" | ConvertTo-SecureString -asPlainText –Force # Укажите пароль для администратора домена. $ usr = "$ dc \ T.Simpson" # Укажите учетную запись администратора домена. $ creds = Система новых объектов.Management.Automation.PSCredential ($ usr, $ pw) Add-Computer -DomainName $ dc -Credential $ creds -restart -force -verbose # Обратите внимание, что компьютер будет перезагружен автоматически. 

    Компьютер перезагрузится и присоединится к домену; он будет добавлен в контейнер по умолчанию.

    Для удаленного подключения компьютера к контроллеру домена необходимо улучшить этот сценарий следующим образом:

     $ dc = "ПРЕДПРИЯТИЕ" $ pw = "Пароль123" | ConvertTo-SecureString -asPlainText -Force $ usr = "$ dc \ T.Симпсон " $ pc = "R07GF" # Укажите компьютер, который должен быть присоединен к домену. $ creds = Новый объект System.Management.Automation.PSCredential ($ usr, $ pw) Add-Computer -ComputerName $ pc -LocalCredential $ pc \ admin -DomainName $ dc -Credential $ creds -Verbose -Restart -Force 

    Переменная $ pc и параметр –LocalCredential используются для аутентификации компьютера в домене. Обратите внимание, что для использования этого метода необходимо отключить брандмауэр на локальном компьютере.

    Присоединение нескольких компьютеров к домену

    В домен можно добавить несколько компьютеров, указав их в командной строке в виде списка с разделителями-запятыми или импортировав их имена из текстового файла.

    Вот как указать компьютеры в списке с разделителями-запятыми:

     $ dc = "ПРЕДПРИЯТИЕ" $ pw = "Пароль123" | ConvertTo-SecureString -asPlainText -Force $ usr = "$ dc \ T.Simpson" $ pc = "WKS034, WKS052, WKS057" # Укажите компьютеры, которые должны быть присоединены к домену.$ creds = Новый объект System.Management.Automation.PSCredential ($ usr $ pw) Add-Computer -ComputerName $ pc -LocalCredential $ pc \ admin -DomainName $ dc -Credential $ creds -Restart -Force 

    А вот как использовать текстовый файл со списком компьютеров, которые нужно объединить:

     $ dc = "ПРЕДПРИЯТИЕ" $ pw = "Пароль123" | ConvertTo-SecureString -asPlainText -Force $ usr = "$ dc \ T.Simpson" $ pc = Get-Content -Path C: \ Computers.txt # Укажите путь к списку компьютеров.$ creds = Новый объект System.Management.Automation.PSCredential ($ usr, $ pw) Add-Computer -ComputerName $ pc -LocalCredential $ pc \ admin -DomainName $ dc -Credential $ creds -Restart -Force 

    Удаление компьютера из домена с помощью PowerShell

    Для удаленного удаления компьютера из домена используйте командлет Remove-Computer . Здесь мы удаляем компьютер из домена, поэтому локальные учетные данные не требуются, и мы можем пропустить параметр ? LocalCredential :

     $ dc = "ПРЕДПРИЯТИЕ" $ pw = "Пароль123" | ConvertTo-SecureString -asPlainText -Force $ usr = "$ dc \ T.Симпсон " $ pc = "R07GF" $ creds = Новый объект System.Management.Automation.PSCredential ($ usr, $ pw) Remove-Computer -ComputerName $ pc -Credential $ creds –Verbose –Restart –Force 

    Чтобы удалить несколько компьютеров с помощью списка в файле TXT, используйте приведенный выше сценарий для присоединения компьютеров к контроллеру домена, заменив командлет Add-Computer на Remove-Computer. Обратите внимание, что вам все равно потребуются учетные данные администратора домена для завершения этой операции отмены присоединения.

    Создание компьютерного объекта в AD

    Чтобы создать компьютерный объект, используйте командлет New-ADComputer .Например, выполните следующие параметры командлета, чтобы создать объект компьютера с именем «WKS932» и значением пути LDAP по умолчанию:

     New-ADComputer - имя «WKS932» - имя SamAccountName «WKS932» 

    Создание учетных записей компьютеров из файла CSV

    Если у вас есть список компьютеров, которые следует импортировать в Active Directory, сохраните список в CSV-файл с заголовком «компьютер» и списком имен компьютеров в столбце под ним. Запустите следующий сценарий PowerShell на контроллере домена, чтобы добавить компьютеры из файла CSV, убедившись, что у вас правильно установлены переменные «Путь» и «Файл»:

     $ File = "C: \ scripts \ Computers.csv "# Укажите позицию импорта CSV. $ Path = "OU = Devices, DC = enterprise, DC = com" # Укажите путь к OU. Import-CSV -Path $ File | ForEach-Object {New-ADComputer -Name $ _. Computer -Path $ Path -Enabled $ True} 

    Удаление компьютера из AD

    Чтобы удалить учетную запись компьютера из AD, используйте командлет Remove-ADObject . Параметр -Identity указывает, какой компьютер Active Directory нужно удалить. Вы можете указать компьютер по его отличительному имени, GUID, идентификатору безопасности (SID) или имени учетной записи Security Accounts Manager (SAM).

     Remove-ADObject -Identity "WKS932" 

    Вам будет предложено подтвердить удаление.

    Удаление учетных записей компьютеров с помощью списка

    Если у вас есть текстовый файл со списком старых компьютеров, вы можете упростить задачу их удаления с помощью PowerShell. Следующий сценарий считывает имена компьютеров из файла TXT и удаляет соответствующие учетные записи с помощью цепочки команд или конвейера:

     Get-Content C: \ scripts \ computersfordeletion.txt | % {Get-ADComputer -Filter {Name -eq $ _}} | Remove-ADObject -Recursive 

    Удаление устаревших учетных записей компьютеров из Active Directory с помощью PowerShell

    Устаревшие учетные записи в Active Directory могут быть скомпрометированы, что приведет к нарушениям безопасности, поэтому очень важно следить за ними.Этот сценарий PowerShell будет запрашивать Active Directory и возвращать все компьютеры, на которых не выполнялся вход в течение последних 30 дней; вы можете легко изменить это значение по умолчанию в скрипте. Он также удалит эти учетные записи, чтобы ваша AD была чистой.

     $ stale = (Get-Date) .AddDays (-30) # означает 30 дней с момента последнего входа в систему, может быть изменено на любое число. Get-ADComputer -Property Name, lastLogonDate -Filter {lastLogonDate -lt $ stale} | Имя FT, lastLogonDate Get-ADComputer -Property Name, lastLogonDate -Filter {lastLogonDate -lt $ stale} | Удалить-ADComputer 

    Один компьютер, FS1, не входил в систему более 30 дней.Перед удалением из домена система запросит подтверждение:

    Если вы хотите отключить, а не удалить неактивные учетные записи компьютеров, замените командлет Remove-ADComputer на параметр и значение Set-ADComputer и -Enabled $ false .

    Переименовать компьютер

    Чтобы изменить имя компьютера, используйте командлет Rename-Computer . Обратите внимание, что компьютер должен быть в сети и подключен к Active Directory.

     Переименовать-Компьютер - Имя компьютера "FS1" -Новое имя "FS2" 

    Если вы хотите запустить этот сценарий локально, он будет выглядеть так:

     Rename-Computer -NewName "newname" -DomainCredential "Domain \ Administrator" 

    Переименовать компьютер и присоединить его к домену

    Вы можете улучшить сценарий переименования, присоединив компьютер к домену и одновременно поместив его в указанное подразделение. Сценарий следует запускать на целевой машине, а не на контроллере домена.

     $ NewComputerName = "Server3" # Укажите новое имя компьютера. $ DC = "contoso.com" # Укажите домен, к которому нужно присоединиться. $ Path = "OU = TestOU, DC = contoso, DC = com" # Укажите путь к OU, в которое поместить учетную запись компьютера в домене. 
     Add-Computer -DomainName $ DC -OUPath $ Path -NewName $ NewComputerName –Restart –Force 

    Сценарий запросит учетные данные учетной записи, имеющей разрешения на присоединение компьютеров к домену, а затем компьютер будет переименован, перезагружен и присоединен к домену.

    Отключить учетную запись компьютера AD

    Используйте командлет Disable-ADAccount для отключения учетных записей пользователей, компьютеров и служб Active Directory. Если вы указываете имя учетной записи компьютера, не забудьте добавить знак доллара ($) в конце имени; в противном случае после выполнения скрипта вы получите сообщение об ошибке.

     Disable-ADAccount -Identity fs1 $ 

    Отключить учетные записи компьютеров с помощью списка

    Вы также можете массово отключить учетные записи компьютеров, используя список в текстовом файле:

     $ Pclist = Получить содержимое C: \ scripts \ Computer.txt # Укажите путь к списку компьютеров. Foreach ($ pc в $ Pclist) { Disable-ADAccount -Identity "$ pc" Get-ADComputer -Identity "$ pc" | Move-ADObject -TargetPath «OU = Disabled Computers, DC = enterprise, DC = com» } 

    Сброс учетной записи компьютера AD

    Как и учетная запись пользователя, учетная запись компьютера взаимодействует с Active Directory с помощью пароля. Но для учетных записей компьютеров смена пароля по умолчанию инициируется каждые 30 дней, и пароль исключен из политики паролей домена.Смена пароля осуществляется клиентом (компьютером), а не AD.

    Учетные данные компьютера обычно неизвестны пользователю, поскольку они устанавливаются компьютером случайным образом. Но вы можете установить свой собственный пароль; вот сценарий PowerShell для этого:

     $ pc = read-host –Prompt «Введите имя компьютера для сброса» # Укажите имя компьютера. $ pw = read-host –Prompt «Введите случайные символы для временного пароля» –AsSecureString # Укажите пароль. Get-ADComputer $ pc | Set-ADAccountPassword –NewPassword: $ pw -Reset: $ true 

    Заключение

    Теперь вы узнали, как управлять учетными записями компьютеров Active Directory с помощью PowerShell.Вы можете улучшить все эти скрипты самостоятельно, чтобы они соответствовали вашим целям.

    Помните, что очень важно внимательно отслеживать все изменения в учетных записях компьютеров, чтобы вы могли быстро обнаружить любые нежелательные изменения и отреагировать соответствующим образом.

    Джефф - директор по разработке глобальных решений в Netwrix. Он давний блоггер Netwrix, спикер и ведущий.В блоге Netwrix Джефф делится лайфхаками, советами и приемами, которые могут значительно улучшить ваш опыт системного администрирования.

    .

    Удаление сервера контроллера домена вручную

    Использование DCPROMO по-прежнему является правильным способом удаления сервера DC в инфраструктуре Active Directory. В следующем видео представлен пример этих шагов:

    Определенные ситуации, такие как сбой сервера или отказ опции DCPROMO, требуют ручного удаления контроллера домена из системы путем очистки метаданных серверов. Следующие подробные шаги помогут вам в этом:

    1. Войдите на сервер DC как администратор домена / предприятия и перейдите к Server Manager> Инструменты> Пользователи и компьютеры Active Directory

    2. Расширьте домен > Контроллеры домена

    3. Щелкните правой кнопкой мыши контроллер домена, который необходимо удалить вручную, и щелкните D elete

    4. Щелкните Да для подтверждения в диалоговом окне доменных служб Active Directory

    .

    powershell - Как удаленно отключиться и снова присоединиться к компьютеру из домена?

    Переполнение стека
    1. Около
    2. Продукты
    3. Для команд
    1. Переполнение стека Общественные вопросы и ответы
    2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
    .

    Как найти и удалить старые учетные записи компьютеров в Active Directory

    Если Active Directory регулярно не очищается, он может быть загроможден старыми учетными записями компьютеров.

    Это может привести к большим проблемам, таким как неточная отчетность, медлительность групповой политики, проблемы с распространением программного обеспечения и исправлениями, синхронизация и т. Д.

    В среднем и крупном бизнесе вы можете быть удивлены тем, сколько неиспользуемых компьютеров осталось в Active Directory.

    Вот почему так важно время от времени очищать Active Directory.

    В этом уроке я покажу вам 3 различных метода поиска и удаления старых учетных записей компьютеров.

    Во-первых, вам нужно понять, как работают эти методы (инструменты). Есть два атрибута, которые можно использовать для поиска старых учетных записей компьютеров, это:

    1. Время последнего входа в систему: Компьютеры Active Directory имеют атрибут lastLogonTimestamp, в котором хранится время последнего входа в систему.
    2. Возраст пароля компьютера: У компьютеров есть пароль, как и у учетных записей пользователей.Они меняются автоматически каждые 30 дней.

    Инструменты, используемые в этом руководстве, будут запрашивать либо время последнего входа в систему, либо возраст пароля компьютера, чтобы определить, неактивен ли компьютер.

    Предупреждение: Некоторые из этих методов могут быть очень опасными.

    Я бы не стал немедленно удалять учетные записи компьютеров, о которых сообщают эти инструменты. Я советую использовать эти инструменты, чтобы найти устаревшие компьютеры, отключить их на x дней, а затем удалить. У вас могут быть мобильные пользователи, пользователи VPN, пользователи, которые работают из дома, и эти компьютеры иногда будут отображаться в этих инструментах.Безопаснее отключить учетные записи, если они все еще активны, вы можете просто снова включить их.

    Метод 1: Инструмент для удаления неактивного компьютера SolarWinds

    Это бесплатный инструмент от SolarWinds, который вы можете скачать здесь, он также включает в себя инструмент для очистки неиспользуемых учетных записей пользователей.

    Этот инструмент использует отметку времени последнего входа в систему для поиска старых компьютеров, по умолчанию он ищет время последнего входа в систему старше 30 дней.

    Давайте рассмотрим, как использовать этот инструмент.

    1.Скачайте и установите инструмент

    Скачать можно здесь

    2. Настройте информацию о подключении

    Откройте инструмент и настройте информацию о подключении.

    Введите IP-адрес или имя хоста вашего контроллера домена, имя пользователя и пароль. Если у вас несколько контроллеров домена, он запросит их все.

    Нажмите кнопку тестовых учетных данных, чтобы проверить соединение.

    3. Настройте параметры

    Щелкните настройки слева

    По умолчанию инструмент будет искать учетные записи, в которые не входили в течение 30 дней.Я изменю это на 90 дней.

    4. Запустите его, чтобы найти старые учетные записи

    Теперь вернитесь на панель управления и нажмите «Далее».

    Средство удаления теперь опрашивает компьютеры Active Directory и анализирует время последнего входа в систему.

    Вы можете увидеть в моих результатах ниже, было обнаружено 73 компьютера, на которых не выполнялся вход в течение как минимум 90 дней. Отсюда я могу выбрать определенные компьютеры или все из них и нажать «Удалить». Я также могу экспортировать результаты в CSV.

    Вот и все о методах 1.

    Инструмент SolarWinds - это очень простой и легкий метод поиска старых учетных записей компьютеров на основе отметки времени последнего входа в систему.

    Метод 2: инструмент командной строки Oldcmp

    Oldcmp - это инструмент командной строки, созданный специально для очистки старых учетных записей компьютеров. Вместо проверки времени последнего входа в систему этот инструмент проверяет возраст пароля компьютера. По умолчанию он проверяет 90 дней, но это можно изменить.

    У этого инструмента есть множество защитных мер, чтобы вы не взорвали Active Directory.Это очень мощный инструмент с множеством опций, что делает его отличным выбором для автоматизации всего процесса очистки. Это старый инструмент, но он все еще работает на новых контроллерах домена. Я тестировал его на контроллере домена 2016 года.

    Некоторые встроенные защитные устройства:

    • Вы можете удалять только отключенные учетные записи компьютеров
    • По умолчанию он изменяет только 10 учетных записей за раз, если вы хотите больше, вы должны указать количество.
    • Вы должны включить опцию FORREAL, чтобы действительно вносить изменения
    • Не будет изменять учетные записи контроллера домена

    Как я уже сказал, много встроенных защитных механизмов, это хорошо….Доверьтесь мне.

    Давайте посмотрим, как использовать этот инструмент, на нескольких примерах.

    Загрузка и настройка

    Вы можете скачать oldcmp отсюда

    http://www.joeware.net/freetools/tools/oldcmp/index.htm

    Распакуйте zip-файл и поместите oldcmp.exe в удобное место для доступа из командной строки.

    Я поместил свой в c: \ it \ oldcmp \ oldcmp.exe

    Чтобы запустить эти команды, откройте командную строку и перейдите в каталог, в котором находится исполняемый файл.

    Пример 1

    oldcmp -report

    Будет сгенерирован HTML-отчет о компьютерах 90 дней и старше

    Пример 2

    oldcmp -forreal -unsafe

    В этом примере будут найдены учетные записи и отключены их

    Пример 3

    oldcmp -delete -onlydisabled -unsafe -forreal

    Эта команда найдет и удалит учетные записи старше 90 дней

    Дополнительные примеры и документация по всем параметрам командной строки здесь

    http: // www.joeware.net/freetools/tools/oldcmp/usage.htm

    Это для метода 2.

    Связано: 2 простых способа найти все заблокированные учетные записи пользователей в Active Directory

    Метод 3. Найдите старые учетные записи компьютеров с помощью PowerShell

    Этот последний метод использует Powershell для поиска последнего установленного атрибута пароля, вам понадобится загруженный модуль PowerShell Active Directory, чтобы это работало.

    Приведенная ниже команда отобразит все компьютеры по имени и дате последней установки пароля.

     get-adcomputer -filter * -properties passwordlastset | выберите имя, пароль, последний набор | Сортировка пароляlastset 

    Я вижу ниже несколько компьютеров, которые долгое время не перезагружались.

    Единственная проблема с этой командой заключается в том, что она отображает все компьютеры в домене.

    Меня интересуют только компьютеры, которые не перезагружались в течение последних 90 дней. Есть несколько способов справиться с этим.

    1. Экспорт результатов в CSV

    Для экспорта в csv я просто добавляю export-csv и путь в конец команды

     get-adcomputer -filter * -properties passwordlastset | выберите имя, пароль, последний набор | сортировать парольlastset | экспорт-csv c: \ it \ oldcmp \ oldexport.csv 

    Теперь я могу открыть результаты в Excel и легко удалить то, что мне не нужно.

    2. Добавьте переменную даты для фильтрации компьютеров

    Другой вариант - создать переменную, которая поможет фильтровать результаты. Для этого я воспользуюсь командлетом get-date, чтобы создать переменную, которая устанавливает дату на 90 дней назад.

    Вот команда для создания переменной, -90 устанавливает значение 90 дней назад. Вы можете изменить это на любой день, который вам нравится.

     $ дата = (дата получения).добавочные дни (-90) 

    Теперь я добавляю в исходную команду переменную даты и аргумент меньше (-lt).

     get-adcomputer -filter {passwordlastset -lt $ date} -properties passwordlastset | выберите имя, пароль, последний набор | Сортировка пароляlastset 

    Теперь отображаются только учетные записи компьютеров старше 90 дней.

    Этот последний шаг не является обязательным, но я добавлю команду для автоматического удаления учетных записей.

    Для этого я добавляю командлет remove-adobject.

     get-adcomputer -filter {passwordlastset -lt $ date} -properties passwordlastset | remove-adobject -recursive -verbose -confirm: $ false 

    Это для метода 3.

    Надеюсь, вы нашли это руководство полезным.

    Вы можете опробовать каждый метод и определить, какой из них лучше всего подходит для вас. Инструмент SolarWinds - хорошее место для начала, его быстро и легко внедрить. Если вы ищете что-то более продвинутое с большим количеством опций, чем oldcmp или PowerShell, вам подойдет.

    Если у вас есть вопросы или возникнут проблемы, оставьте комментарий ниже.

    Я буду рад помочь.

    Связано: Как найти время последнего входа пользователей

    Рекомендуемый инструмент: SolarWinds Server & Application Monitor

    Эта утилита была разработана для мониторинга Active Directory и других важных служб, таких как DNS и DHCP. Он быстро обнаруживает проблемы с контроллером домена, предотвращает сбои репликации, отслеживает неудачные попытки входа в систему и многое другое.

    Что мне больше всего нравится в SAM, так это простая в использовании панель управления и функции предупреждений. Он также имеет возможность контролировать виртуальные машины и хранилище.

    Загрузите бесплатную пробную версию здесь

    .

    Как удалить потерянные домены из Active Directory - Windows Server

    • 3 минуты на чтение

    В этой статье

    Исходная версия продукта: Windows 10, Windows Server 2012 R2
    Оригинальный номер базы знаний: 230306

    Сводка

    Обычно, когда последний контроллер домена для домена понижается в должности, администратор выбирает Этот сервер является последним контроллером домена в опции домена в инструменте DCPromo, который удаляет метаданные домена из Active Directory.В этой статье описывается, как удалить метаданные домена из Active Directory, если эта процедура не используется или если или все контроллеры домена переведены в автономный режим, но не понижены в ранге.

    Осторожно

    Администратор должен убедиться, что репликация произошла с момента понижения роли последнего контроллера домена, прежде чем вручную удалять метаданные домена. Неправильное использование инструмента NTDSUTIL может привести к частичной или полной потере функциональности Active Directory.

    Удаление потерянных доменов из Active Directory

    1. Определите контроллер домена, который выполняет роль гибких операций с одним главным хозяином (FSMO) хозяина именования доменов.Чтобы идентифицировать сервер, выполняющий эту роль:

      1. Запустите оснастку консоли управления Microsoft Management Console (MMC) Active Directory Domains and Trusts из меню Administrative Tools .
      2. Щелкните правой кнопкой мыши корневой узел на левой панели с названием Active Directory Domains and Trusts , а затем щелкните Operations Master .
      3. Контроллер домена, который в настоящее время выполняет эту роль, указан в кадре Current Operations Master.

        Примечание

        Если это изменилось недавно, возможно, не все компьютеры получили это изменение из-за репликации.

      Для получения дополнительных сведений о ролях FSMO щелкните следующий номер статьи в базе знаний Microsoft:

      197132 Windows 2000 Active Directory роли FSMO

    2. Убедитесь, что все серверы домена понижены.

    3. Щелкните Пуск , выберите Программы > Стандартные , а затем щелкните Командная строка .

    4. В командной строке введите: ntdsutil .

    5. Введите: очистка метаданных и нажмите Enter.

    6. Введите: connections и нажмите Enter. Это меню используется для подключения к определенному серверу, на котором будут происходить изменения. Если текущий вошедший в систему пользователь не является членом группы администраторов предприятия, можно предоставить альтернативные учетные данные, указав учетные данные для использования перед установкой соединения. Для этого введите: set creds domainname username password и нажмите Enter.Для нулевого пароля введите: null в качестве параметра пароля.

    7. Введите: подключитесь к серверу имя сервера (где имя сервера - это имя контроллера домена, выполняющего роль FSMO мастера именования доменов), а затем нажмите Enter. Вы должны получить подтверждение того, что соединение успешно установлено. В случае возникновения ошибки убедитесь, что контроллер домена, используемый в соединении, доступен и что предоставленные вами учетные данные имеют административные разрешения на сервере.

    8. Введите: выйти из и нажмите Enter. Отображается меню «Очистка метаданных ».

    9. Введите: выберите цель операции и нажмите Enter.

    10. Введите: список доменов и нажмите Enter. Отображается список доменов в лесу, каждый со связанным номером.

    11. Введите: выберите домен номер , а затем нажмите Enter, где номер - это номер, связанный с доменом, который нужно удалить.

    12. Введите: выйти из и нажмите Enter. Отображается меню «Очистка метаданных ».

    13. Введите: удалите выбранный домен и нажмите Enter. Вы должны получить подтверждение, что удаление прошло успешно. В случае возникновения ошибки см. Статьи о конкретных сообщениях об ошибках в базе знаний Microsoft.

    14. Введите: выйти из в каждом меню, чтобы выйти из инструмента NTDSUTIL. Вы должны получить подтверждение того, что соединение успешно разорвано.

    Список литературы

    Для получения дополнительных сведений об инструменте NTDSUTIL см. Документацию по средствам поддержки, расположенную в папке Support \ Reskit на компакт-диске Windows 2000. Файлы справки, включенные в Microsoft Windows 2000 Resource Kit , содержат ссылку Books Online . Вы можете щелкнуть ссылку для получения более подробной информации об инструменте NTDSUTIL.

    Для получения дополнительных сведений об удалении контроллеров домена из домена, который вы пытаетесь удалить, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

    216498 Как удалить данные в Active Directory после неудачного понижения роли контроллера домена

    .

    Смотрите также