Windows: Автоматический вход в систему (автологин)
В данной статье пойдет речь о том, как настроить автологин (автоматический вход в систему без ввода пароля) на операционных системах Windows. Это бывает полезно, когда нет необходимости в ограничении доступа к компьютеру/ноутбуку, чтобы не тратить время на ввод пароля каждый раз при его включении.
Использование control userpasswords2
Это один из самых простых способов настройки автологина в системе, с использованием стандартных средств Windows, т. е. не требующий скачивания и установки никаких сторонних программ. Воспользоваться им можно следующим образом:
- Сперва нужно открыть окно программы «Выполнить». Сделать это можно следующим образом:
- В старых версиях Windows достаточно нажать левой кнопкой мыши по меню Пуск, и там выбрать пункт меню «Выполнить«.
- В Windows 8 или Windows 10 можно нажать правой кнопкой мыши на меню Пуск (или зажать поочередно клавиши Win + X ), и в появившемся меню выбрать «Выполнить».
- Поочередно зажать клавиши Win + R .
- В появившемся окне вводите команду control userpasswords2 , после чего нажимаете ОК.
- В появившемся окне убираете галочку с «Требовать ввод имени пользователя и пароля» и нажимаете ОК.
Использование программы Autologon
Другим простым методом для настройки автоматического логина в систему является использование программы Autologon, за авторством Марка Руссиновича (Mark Russinovich) — сотрудника Microsoft. Скачать её можно с сайта Microsoft по этой ссылке.
Использование программы максимально просто — нужно запустить скачанную программу (установка не требуется, но при первом запуске придется принять условия пользования), и ввести все нужные вам данные.
В поле Username следует написать имя пользователя, если пользователь принадлежит домену Active Directory, то следует указать его имя в поле Domain. Ну и наконец в поле Password следует ввести свой пароль. После этого для включения нужно всего-лишь нажать кнопку «Enable«, и после этого автовход в систему будет настроен.
Кроме того, с помощью данной данной утилиты можно настроить автологин в систему с помощью командной строки. Для этого, нужно запустить исполняемый файл autologon из командной строки со следующими параметрами:
Настройка через реестр
Так же существует способ настроить автоматический вход в систему через реестр.
Для включения автологина в реестре, вам нужно запустить программу для его редактирования, которая называется «Редактор реестра». Для этого, открываем меню Пуск и вводим в поиске «Редактор реестра», после чего запускаем его. Альтернативный способ (особенно актуален для старых версий Windows) требует нажать комбинацию клавиш Win + R ), после чего в появившемся окне набрать regedit и нажать ОК.
Далее ищем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и у следующих параметров вводим следующие значения:
- AutoAdminLogon — Ставим единицу, иначе автоматический логин не будет срабатывать.
- ForceAutoLogon — Если мы хотим, чтобы пользователя «насильно» логинило обратно в систему, то ставим единицу.
- DefaultUserName — Имя пользователя, под которым мы хотим автоматически входить в систему.
- DefaultPassword — Пароль пользователя, под которым мы хотим автоматически входить в систему. Скорее всего данный параметр будет отсутствовать, и поэтому придется создать его самому. Для этого нажимаем на пустом месте правой кнопкой мыши и выбираем пункт Создать — Строковый параметр, и присваиваем ему имя DefaultPassword.
- DefaultDomainName — Домен пользователя, под которым мы хотим автоматически входить в систему. Если домен не используется — оставляем пустым.
Теперь можно закрыть редактор реестра, и попробовать перезагрузить компьютер. Если вы все сделали правильно, то сразу после загрузки операционной системы произойдет автоматический вход в систему под нужным пользователем.
Вход на доменный компьютер под локальной учетной записью
В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.
Немного предыстории. После того, как компьютер добавлен в домен Active Directory, вы можете войти в него под учетной записью домена или локального пользователя (если конечно локальная учетная запись не отключена и вход под ней не заблокирован через групповые политики). В Windows XP и Windows Server 2003 на экране входа в систему имелся раскрывающийся список «Вход в систему», в котором можно было выбрать в какой домен вы хотите войти, либо, если нужно зайти под локальной учетной, для этого нужно выбрать пункт «Этот компьютер» — @Computer_Name (this computer) .
Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.
Type domain name\domain user name to sign in to another domain.
Type РKZ-ТZI01K1\local user name to sign in to this PC only (not a domain )
Чтобы войти в другой домен, введите имя_домена\имя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1\локальное_имя_пользователя
Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1\Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.
К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.
Секрет в том, что Windows использует символ точки (.) в качестве псевдонима для локального компьютера. Поэтому, если в поле с именем пользователя поставить .\ , то система будет считать, что вы хотите авторизоваться под локальной учеткой. Соответственно изменится поле Sign in to, вместо имени домена там уже будет указано имя данного компьютера.
Теперь после .\ осталось набрать имя локальной учетной записи и пароль.
Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.
Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.
как войти без домена в windows
Вход в систему при недоступности контроллера домена
При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.
Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.
Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLM\SECURITY\Cache, доступ к которому имеет только система.
За возможность кэширования отвечает параметр реестра CashedLogonsCount, находящийся в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.
Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).
По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.
Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.), которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.
И в завершение пара важных моментов:
• Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
• Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.
Как изменить домен входа по умолчанию в Windows
Домен входа по умолчанию в Windows — это доменное имя, которое используется по умолчанию при входе пользователя в систему. Т.е. если при входе пользователь просто вводит свой логин и пароль, это доменное имя подставляется автоматически. Имя домена по умолчанию отображается на экране входа, под полем для ввода пароля.
По умолчанию дефолтным доменом для компьютера назначается домен, членом которого данный компьютер является. Обычно изменять его не требуется, но в многодоменных средах бывают ситуации, когда пользователи входят в компьютеры, присоединенные к домену, отличному от своего. В этом случае для входа в систему пользователям необходимо вводить свое имя в формате ″домен\имя пользователя″. Также бывает, что компьютер присоединен к домену, но пользователи работают под локальными учетными записями, используя формат ″.\имя пользователя″.
Чтобы избежать лишних сложностей и упростить пользователям жизнь, имя домена входа по умолчанию можно изменить. Сделать это можно как редактированием реестра, так и с помощью групповых политик.
Изменение домена по умолчанию через реестр
Имя домена по умолчанию хранится в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре DefaultDomainName.
Для его изменения просто редактируем данный параметр и перезагружаем компьютер.
После перезагрузки имя домена буде изменено.
Данный способ безотказно работает на всех без исключения ОС Windows начиная с Windows XP.
Изменение домена по умолчанию с помощью групповых политик
Для изменения домена необходимо открыть редактор локальных (или доменных) политик, перейти в раздел Computer Configuration\Administrative Settings\System\Logon,
перевести параметр ″Assign a default domain for logon″ в положение Enabled и указать имя домена входа по умолчанию.
Данная политика производит изменения в параметре реестра DefaultDomainName, находящемся в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
После перезагрузки дефолтный домен, отображающийся на странице входа, будет изменен так же, как и в предыдущем случае.
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 5: Добавление компьютеров в Active Directory. Проверка и удаление из Active Directory
Оглавление
8. Групповые политики
9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы
10. Настройка траста и сайта доменов
11. Другие службы и роли Active Directory
12. Настройка Samba (Active Directory для Linux)
13. Инструменты для аудита безопасности Active Directory
С теоретической точки зрения, порядок глав должен быть немного иным: перед изучением присоединения к домену нужно изучить иерархию Active Directory, инструменты создания и управления пользователями, группами. Поверьте мне, в этом теоретическом материале можно крепко завязнуть… При том, что в практическом плане нам достаточно на сервере создать пользователя домена в графическом интерфейсе и, по сути, всё готово для подсоединения к домену! Поэтому мы чуть забежим вперёд и подсоединимся к домену, а затем окунёмся в теорию — она уже будет привязанной к некоторому практическому опыту взаимодействия с Active Directory и нам будет проще в ней разобраться.
Последствия присоединения к Домену Active Directory
В самой первой части уже описаны некоторые из последствий присоединения компьютера к Домену. Остановимся на этом чуть подробнее, чтобы вам в дальнейшем не пришлось переустанавливать ОС на рабочей станции чтобы покинуть домен и чтобы не потерять важные для вас файлы.
Рабочая станция должна использовать Контроллер домена в качестве DNS сервера. Поэтому если вы включаете рабочую станцию когда Контроллер домена недоступен (офлайн), это может привести к проблемам с сетевыми подключениями.
На рабочей станции должна иметься учётная запись локального администратора, при выходе запрашивается логин и пароль пользователя домена, имеющего полномочия на отсоединение от домена!
3. Пользовательские файлы
В зависимости от настроек пользователя, созданные пользователем домена файлы могут храниться как на локальной рабочей станции, так и на сервере.
В общем, если вы настраиваете тестовое окружение Active Directory и подсоединяете к домену свой рабочий компьютер, то прежде чем удалить тестовое окружение, выполните выход из домена, иначе впоследствии вы можете столкнуться с трудностями.
Настройка DNS сервера на рабочих станциях
Многие протоколы Active Directory сильно зависят от DNS сервера, поэтому вряд ли получится использовать сторонний DNS сервер (например, BIND). Мы уже настроили в Windows Server роль DNS, то есть фактически запустили DNS сервер. Теперь нужно сделать так, чтобы рабочие станции использовали IP адрес Windows Server в качестве DNS сервера.
Рассмотрим, как изменить настройки DNS сервера разными способами. Вам нужно выбрать один из подходящих для вас вариантов.
В моей установке Active Directory компьютер с DNS сервером (контроллер домена) имеет IP адрес 192.168.1.60. Следовательно, моя задача установить данный IP адрес в качестве первичного DNS сервера. В качестве вторичного DNS сервера вы можете выбрать любой другой.
Как настроить DNS сервер на Windows 10
Нажмите на иконку «Доступ к Интернету», затем кликните на имени вашего сетевого подключения:
Нажмите на «Настройка параметров адаптера»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «control netconnections» или «control ncpa.cpl»).
Кликните правой кнопкой по адаптеру, настройки которого вы хотите изменить, и в открывшемся контекстном меню выберите «Свойства».
Выберите «IP версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства».
Выберите «Использовать следующие адреса DNS-серверов» и введите IP.
Когда всё будет готово нажмите «ОК» и закройте окна.
Как настроить DNS сервер в Windows Admin Center
Перейдите на вкладку «Сети» и выберите сетевой адаптер, настройки которого вы хотите изменить и нажмите кнопку «Параметры».
Перключите на «Используйте следующие адреса DNS-сервера», введите желаемые настройки DNS адреса и нажмите кнопку «Сохранить».
Как настроить DNS сервер в PowerShell
Если вы хотите указать один DNS сервер, то используйте команду вида:
Для указания двух DNS серверов используйте синтаксис:
Как проверить настройки DNS в Windows
Чтобы убедиться, что DNS сервер работает и что в качестве DNS используется именно контроллер домена, выполните команду:
Мы получили IP адрес этого сайта — это означает, что DNS сервер работает. Строка «Address: 192.168.1.60» содержит IP адрес DNS сервера, как мы можем убедиться, это контроллер домена.
Следующая команда выведет IP адрес Домена:
Строки с Addresses содержат в том числе и локальный IP адрес домена:
Если вы хотите обойтись исключительно средствами PowerShell и не использовать стороннюю утилиту, то проверить настройки DNS сервера, а также узнать IP адрес домена вы можете следующими командами:
Как присоединить компьютер к домену
Теперь, когда всё готово, мы присоединим рабочую станцию к домену.
Кроме уже сделанных изменений нам понадобится:
Присоединение к домену через Параметры компьютера
Для присоединения к домену, откройте приложение Параметры (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).
Для присоединения к домену нажмите кнопку «Изменить».
Установите переключатель на «Является членом домена» и впишите имя домена, нажмите «ОК».
Если имя компьютера длиннее 15 символов, то вам будет показано предупреждение, что NetBIOS имя будет укорочено. Об этом нужно помнить по следующим причинам:
Введите учётные данные администратора сервера.
Если всё прошло удачно, то вы увидите приветственное сообщение.
Также вам будет сообщено, что для того, чтобы изменения вступили в силу, необходимо перезагрузить компьютер.
Присоединение к домену с помощью Мастера присоединения к домену или рабочей группе
Для присоединения к домену, откройте приложение Параметры (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).
Для присоединения к домену нажмите кнопку нопку «Идентификация».
Выберите вариант «Компьютер входит в корпоративную сеть; во время работы я использую его для соединения с другими компьютерами».
Выберите «Моя организация использует сеть с доменами».
Нажимаем «Далее».
Введите имя и пароль администратора домена, а также адрес домена и нажмите «Далее».
Если компьютер впервые подключается к домену, то вы увидите следующее сообщение и запрос на ввод имени компьютера и домена.
Вновь введите логин и пароль администратора сервера, а также адрес домена.
Не совсем понятно, за что отвечает это окно.
Я не стал добавлять.
Чтобы изменения вступили в силу, перезагрузите компьютер.
Присоединение к домену в Windows Admin Center
Откройте Windows Admin Center, подключитесь к компьютеру, который должен присоединиться к домену, перейдите на вкладку Обзор.
Нажмите «Изменить идентификатор компьютера».
Переключите «Членство» на «Домен» и введите имя домена. Нажмите кнопку «Далее».
Введите учётные данные администратора домена, нажмите кнопку «Сохранить».
Чтобы изменения вступили в силу, потребуется перезагрузка компьютера.
Присоединение к домену в PowerShell
Для добавления в домен или рабочую группу применяется командлет Add-Computer. Он присутствует в PowerShell 5, но удалён из PowerShell 7 и никто не знает, чем его заменить, подробности смотрите в статье «Аналог Add-Computer в PowerShell 7».
Если вы уже установили PowerShell 7, то для переключения на PowerShell 5 выполните:
Пример команды, которая добавляет локальный компьютер к домену и перезапускает компьютер:
Эту команду нужно выполнять с правами администратора.
Вам будет предложено ввести пароль администратора контроллера домена:
Команда для добавления удалённого компьютера в домен имеет следующий вид:
Эта команда дважды предложит ввести учётные данные — сначала пароль администратора домена, затем пароль администратора рабочей станции.
В моих тестах команда для добавления удалённого компьютера в домен всегда завершалась ошибкой «The RPC server is unavailable. (Exception from HRESULT: 0x800706BA)»:
На текущий момент справиться с ошибкой не удалось.
Как выполнить вход в Домен Windows
Вход на компьютере присоединённому к домену
При загрузке компьютера нас встречает заставка.
Зажмите левую кнопку мыши и проведите вверх.
По умолчанию предлагается войти под локальным пользователем (если у вашего локального пользователя нет пароля, то для входа просто нажмите Enter).
Чтобы войти в домен, нажмите «Другой пользователь».
Введите имя пользователя домена и пароль.
Как создавать пользователей в домене Windows, будет показано в следующей части. Тем не менее, уже сейчас вы можете выполнить вход на рабочую станцию с учётной записью администратора домена. То есть вводим имя пользователя (Administrator) и пароль администратора сервера (да, хотя мы выполняем вход на рабочей станции, а не на сервере).
Обратите внимание, что если на локальном компьютере присутствует пользователь с таким же именем, как и в домене, то для входа необходимо имя указать следующим образом: «ДОМЕН\ПОЛЬЗОВАТЕЛЬ». В противном случае, вход будет выполнен как локальный пользователь.
Примечание: если перестало работать привычное вам сочетание клавиш для смены раскладки клавиатуры, то используйте Win+Пробел, это универсальное сочетание смены клавиатуры, которое всегда работает.
Проверим имя пользователя и имя компьютера:
Текущим пользователем является DS\Administrator, а имя компьютера HackWare-Win (то есть это рабочая станция, а не сервер).
Как войти под учётной записью локального пользователя
Рассмотрим, как войти под учётной записью локального пользователя на компьютере, который подключён к Домену Windows.
При включении компьютера нажмите «Другой пользователь».
Чтобы войти только на этот компьютер (а не в домен), имя пользователя нужно вводить следующим образом:
Чтобы войти на ПК локально, вы также можете использовать «.\» + «имя пользователя», так не нужно точно знать наименование ПК.
Как проверить, является ли компьютер частью домена
Как через Параметры компьютера проверить, является ли компьютер частью домена
Для получения информации о домене, откройте приложение Параметры (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).
Здесь вы сможете увидеть, является ли компьютер частью домена и какое имя домена.
Как в Windows Admin Center проверить, является ли компьютер частью домена
Откройте Windows Admin Center, подключитесь к компьютеру, чей домен вы хотите посмотреть, перейдите на вкладку Обзор.
Нажмите «Изменить идентификатор компьютера».
Если переключатель «Членство» выбран на «Домен», значит компьютер присоединён к домену.
Как в PowerShell проверить, является ли компьютер частью домена
1. Получение свойств системы
Если вы хотите узнать в PowerShell, является ли данный компьютер частью домена или рабочей группы, то используйте следующий скрипт:
Вы можете скопировать его целиком и вставить в консоль PowerShell.
В данном случае имя компьютера HackWare-Win и он не прикреплён к домену (DomainJoined : False). Вместо этого компьютер входит в рабочую группу под названием WORKGROUP.
Пример вывода на другом компьютере:
Имя компьютера HackWare-Server-2022, он является частью домена (DomainJoined : True) под названием ds.hackware.ru.
2. Определение принадлежности по имени домена или рабочей группы
Следующая команда выводит имя домена/рабочей группы:
Если знать правило, что имя домена должно включать минимум две строки, разделённых точкой, то можно определить, что WORKGROUP — не может быть именем домена, следовательно, это название рабочей группы. А ds.hackware.ru это имя домена.
3. Просмотр свойств компьютера в командлете Get-ComputerInfo
Командлет Get-ComputerInfo предназначен для вывода информации о компьютере. Отфильтровав нужные сведения, можно принять решения, присоединён ли компьютер к домену или к рабочей группе.
Показать имя домена или рабочей группы:
Показать сервер входа (для компьютеров в домене это сервер, для компьютеров в рабочей группе это локальный компьютер):
Показать тип продукта, может быть, например DomainController (контроллер домена) или WorkStation (рабочая станция):
Имя пользователя (имеет вид ДОМЕН\ПОЛЬЗОВАТЕЛЬ или РАБОЧАЯ_ГРУППА\ПОЛЬЗОВАТЕЛЬ):
Имя локального компьютера:
Вывод все информации за раз:
Компьютер присоединён к домену:
Компьютер является частью рабочей группы:
4. С помощью Get-ADDomain
Чтобы в PowerShell посмотреть, присоединён ли компьютер к домену, выполните следующую команду:
Если компьютер является частью рабочей группы, а не домена, то в PowerShell 5 будет выведена следующая ошибка:
Если компьютер не присоединён к домену, то в последних версиях PowerShell будет показана ошибка:
Если же компьютер является частью домена, то будет показана информация о домене, к которому присоединена рабочая станция:
Также возможны следующие ошибки.
Данные ошибки возникают в ситуации, когда компьютер в принципе подключён к домену, но вход на рабочей станции выполнен под локальным пользователем.
Как выйти из домена
Как выйти из домена через Параметры компьютера
Чтобы отсоединить компьютер от домена, откройте приложение Параметры (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).
Для выхода из домена нажмите кнопку «Изменить».
Переключитесь на «Является членом рабочей группы», введите её название, например «WORKGROUP» и нажмите «ОК».
Нас предупреждают, что для входа на этот компьютер потребуется пароль локального администратора.
Если всё прошло хорошо, то вы увидите приглашение в рабочую группу.
Нам сообщают, что изменения вступят в силу после перезагрузки компьютера.
Как выйти из домена в Windows Admin Center
Откройте Windows Admin Center, подключитесь к компьютеру, который должен выйти из домена, перейдите на вкладку Обзор.
Нажмите «Изменить идентификатор компьютера».
Переключите «Членство» на «Рабочая группа» и введите имя рабочей группы, например «WORKGROUP». Нажмите кнопку «Далее».
Введите имя и пароль администратора домена.
Как выйти из домена в PowerShell
Выход из домена, точнее говоря, переход в рабочую группу, выполняется командой Add-Computer, то есть к выходу из домена применимы все замечания, сказанные в разделе «5.3.4 Присоединение к домену в PowerShell».
Чтобы отключить локальный компьютер от домена и добавить его в рабочую группу WORKGROUP выполните следующую команду:
Переход в рабочую группу вступит в силу после перезагрузки компьютера:
Предыдущая команда сработает, если вы выполнили вход как администратор домена, в противном случае вам нужно указать учётные данные администратора домена (или иного администратора, имеющего право на выход из домена):
Команда для добавления удалённого компьютера в рабочую группу и, следовательно, выхода из домена, имеет следующий вид:
как войти только на этот компьютер а не в домен
Вход на доменный компьютер под локальной учетной записью
В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.
Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.
Type domain name\domain user name to sign in to another domain.
Type РKZ-ТZI01K1\local user name to sign in to this PC only (not a domain )
Чтобы войти в другой домен, введите имя_домена\имя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1\локальное_имя_пользователя
Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1\Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.
К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.
Теперь после .\ осталось набрать имя локальной учетной записи и пароль.
Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.
Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.
Как войти только на этот компьютер а не в домен
если один раз выбрать «этот компьютер», после ребута этот пункт будет стоять по дефолту. это в экспи так, в висте и семёрке не пробовал
На рабочих местах Windows 2000 и что то там все время предлагается ко входу домен. может политиками накатывается, это пока не выяснял.я думал может что в реестре можно прописать или локальными политиками замутить. есть идеи?
Сделай проще. Выведи машину из домена. Заведи на машине требуемые локальные учетки. НО имя и пароль у учеток сделай такими чтоб совпадали с именами и паролями пользователей в домене. Машину заведи в рабочую группу с таким же названием как у домена. В настройках сетевухи поставь дописывать днс префикс, там поставь имя домена полное (smb.local например).
В итоге: пользователи локальные, а работают в домене без проблем.
А что здесь НЕ безопасного?)
Это лишь способ сидя под локальным пользователем прозрачно авторизироватся в домене.
Можно же создать локальные учетки и с др паролями а потмо при обращении к доменым ресурсам пароли вводить все время.
PS формально то задача решена? ) Все под локальными.
Сделай проще. Выведи машину из домена. Заведи на машине требуемые локальные учетки. НО имя и пароль у учеток сделай такими чтоб совпадали с именами и паролями пользователей в домене. Машину заведи в рабочую группу с таким же названием как у домена. В настройках сетевухи поставь дописывать днс префикс, там поставь имя домена полное (smb.local например).
В итоге: пользователи локальные, а работают в домене без проблем.
машину без админа не выведешь, обратись к нему и не читай весь этот флуд
машину без админа не выведешь, обратись к нему и не читай весь этот флуд
Сам понял чего написал? Перечитай еще раз :arr: топикстартер и есть АДМИН.
У пользователя в домене пропал доступ к своему профилю только на одном пк?
Есть доменная сеть, контроллер на win server 2016, пк на win10.
Пользователь с логином «Elena» на одном из пк не имеет доступа к своему профилю (appdata, загрузки, документы, desktop и тд.). Профиль перемещаемый, политика folder_redirect на контроллере.
Выглядит это так, после авторизации пустой рабочий стол с предупреждением: windows не может получить доступ к server\\folder_redirect\desktop и текст, что мол нет разрешений на эту папку.
Если же под этим пользователем «Elena» (точно под этим) выполнить вход на другом пк, то проблем с доступом к профилю нет (все папки доступны, права есть, владелец этот же пользователь)
Если на проблемном пк, на котором у пользователя «Elena» нет доступа к своему профилю, зайти под другим пользователем (user1, user2 и тд.), то проблемы нет, профиль этих пользователей доступен.
Проблема возникла после удаления драйверов на сетевую карту. Получилось, что дрова удалил соответственно сеть пропала и доступ к профилю так же. Когда заново поставил драйвер на сетевую, доступ у конкретно одного пользователя «Elena» к своему профилю пропал.
Пробовал сделать откат на точку восстановления до появления проблемы, пробовал заново вводить этот комп в домен, менял имя компьютера, sfc /scannow и DISM /Online /Cleanup-Image /ScanHealth проблем не видят.
Как восстановить права на профиль?
Удалил профиль через оснастку и реестр, перезагрузил, выполнил вход под проблемным пользователем и новый профиль корректно создался. Перенёс файлы со старого профиля (local, locallow, roaming) и проблема оказалась в папке «Credentials»
Что и как х/з, эта папка, что в старом, что в новом профиле пустая, но если из старого профиля скопировать эту папку в новый профиль, то проблема снова появляется, а если оставить папку с нового профиля, то проблемы нет.
Вход на компьютер через локально сохраненную доменную учетную запись
foxmuldercp, Windows всегда создает локальный профиль пользователя и использует его. Если у пользователя сконфигурирован сетевой (роаминговый) профиль — локальный профиль синхронизуется с ним при входе пользователя, в обратную сторону синхронизация происходит при выходе. По сети напрямую можно использовать только отдельные специальные папки (Рабочий стол, Мои Документы и т.п.).
Вот, у меня это вот тут: Computer Configuration\Windows Settings\Security Setting\Local Policies\Security Options\Interactive Logon\Policy Setting
и параметр называется: «Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)» и стоит там: «50 входов в систему» и это, похоже, максимум.
Вот описание параметра:
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
Сведения о предыдущих входах пользователей в систему кэшируются локально, чтобы обеспечить последующий вход в систему в случае отсутствия доступа к контроллеру домена. При отсутствии доступа к контроллеру домена и кэшировании сведений о входах пользователей в систему пользователь получает следующее сообщение:
Не удалось установить связь с сервером и получить параметры входа в систему. Вход выполнен с помощью локально сохраненной информации об учетной записи. Если эта информация была изменена со времени последнего входа в систему на этом компьютере, то изменения не будут отражены во время текущего сеанса.
При отсутствии доступа к контроллеру домена и отсутствии кэширования данных о входах пользователей в систему пользователь получает следующее сообщение:
Подключение к системе сейчас невозможно, так как домен недоступен.
Значение этого параметра «0» отключает кэширование данных входа. При любом значении большем 50 кэшируется только 50 попыток входа в систему.
Вход в систему при недоступности контроллера домена
При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.
Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.
Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLM\SECURITY\Cache, доступ к которому имеет только система.
За возможность кэширования отвечает параметр реестра CashedLogonsCount, находящийся в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.
Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).
По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.
Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.), которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.
И в завершение пара важных моментов:
• Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
• Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.