Как войти без домена в windows 10
Перейти к содержимому

Как войти без домена в windows 10

  • автор:

Windows: Автоматический вход в систему (автологин)

Windows: Автоматический вход в систему (автологин)

В данной статье пойдет речь о том, как настроить автологин (автоматический вход в систему без ввода пароля) на операционных системах Windows. Это бывает полезно, когда нет необходимости в ограничении доступа к компьютеру/ноутбуку, чтобы не тратить время на ввод пароля каждый раз при его включении.

Использование control userpasswords2

Это один из самых простых способов настройки автологина в системе, с использованием стандартных средств Windows, т. е. не требующий скачивания и установки никаких сторонних программ. Воспользоваться им можно следующим образом:

autologin1

  1. Сперва нужно открыть окно программы «Выполнить». Сделать это можно следующим образом:
    • В старых версиях Windows достаточно нажать левой кнопкой мыши по меню Пуск, и там выбрать пункт меню «Выполнить«.
    • В Windows 8 или Windows 10 можно нажать правой кнопкой мыши на меню Пуск (или зажать поочередно клавиши Win + X ), и в появившемся меню выбрать «Выполнить».
    • Поочередно зажать клавиши Win + R .
  2. В появившемся окне вводите команду control userpasswords2 , после чего нажимаете ОК.
  3. В появившемся окне убираете галочку с «Требовать ввод имени пользователя и пароля» и нажимаете ОК.

Использование программы Autologon

Другим простым методом для настройки автоматического логина в систему является использование программы Autologon, за авторством Марка Руссиновича (Mark Russinovich) — сотрудника Microsoft. Скачать её можно с сайта Microsoft по этой ссылке.

Использование программы максимально просто — нужно запустить скачанную программу (установка не требуется, но при первом запуске придется принять условия пользования), и ввести все нужные вам данные.

В поле Username следует написать имя пользователя, если пользователь принадлежит домену Active Directory, то следует указать его имя в поле Domain. Ну и наконец в поле Password следует ввести свой пароль. После этого для включения нужно всего-лишь нажать кнопку «Enable«, и после этого автовход в систему будет настроен.

Кроме того, с помощью данной данной утилиты можно настроить автологин в систему с помощью командной строки. Для этого, нужно запустить исполняемый файл autologon из командной строки со следующими параметрами:

Настройка через реестр

Так же существует способ настроить автоматический вход в систему через реестр.

Для включения автологина в реестре, вам нужно запустить программу для его редактирования, которая называется «Редактор реестра». Для этого, открываем меню Пуск и вводим в поиске «Редактор реестра», после чего запускаем его. Альтернативный способ (особенно актуален для старых версий Windows) требует нажать комбинацию клавиш Win + R ), после чего в появившемся окне набрать regedit и нажать ОК.

Далее ищем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и у следующих параметров вводим следующие значения:

  • AutoAdminLogon — Ставим единицу, иначе автоматический логин не будет срабатывать.
  • ForceAutoLogon — Если мы хотим, чтобы пользователя «насильно» логинило обратно в систему, то ставим единицу.
  • DefaultUserName — Имя пользователя, под которым мы хотим автоматически входить в систему.
  • DefaultPassword — Пароль пользователя, под которым мы хотим автоматически входить в систему. Скорее всего данный параметр будет отсутствовать, и поэтому придется создать его самому. Для этого нажимаем на пустом месте правой кнопкой мыши и выбираем пункт Создать — Строковый параметр, и присваиваем ему имя DefaultPassword.
  • DefaultDomainName — Домен пользователя, под которым мы хотим автоматически входить в систему. Если домен не используется — оставляем пустым.

Теперь можно закрыть редактор реестра, и попробовать перезагрузить компьютер. Если вы все сделали правильно, то сразу после загрузки операционной системы произойдет автоматический вход в систему под нужным пользователем.

Вход на доменный компьютер под локальной учетной записью

В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.

Немного предыстории. После того, как компьютер добавлен в домен Active Directory, вы можете войти в него под учетной записью домена или локального пользователя (если конечно локальная учетная запись не отключена и вход под ней не заблокирован через групповые политики). В Windows XP и Windows Server 2003 на экране входа в систему имелся раскрывающийся список «Вход в систему», в котором можно было выбрать в какой домен вы хотите войти, либо, если нужно зайти под локальной учетной, для этого нужно выбрать пункт «Этот компьютер» — @Computer_Name (this computer) .

окно входа в систему Windows XP

Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.

Type domain name\domain user name to sign in to another domain.
Type РKZ-ТZI01K1\local user name to sign in to this PC only (not a domain )

Чтобы войти в другой домен, введите имя_домена\имя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1\локальное_имя_пользователя

окно входа в систему в windows server 2012

Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1\Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.

вход под локальным админом на сервер в домене

К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.

Секрет в том, что Windows использует символ точки (.) в качестве псевдонима для локального компьютера. Поэтому, если в поле с именем пользователя поставить .\ , то система будет считать, что вы хотите авторизоваться под локальной учеткой. Соответственно изменится поле Sign in to, вместо имени домена там уже будет указано имя данного компьютера.

Теперь после .\ осталось набрать имя локальной учетной записи и пароль.

Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.

Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.

как войти без домена в windows

Вход в систему при недоступности контроллера домена

При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.

Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.

Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLM\SECURITY\Cache, доступ к которому имеет только система.

За возможность кэширования отвечает параметр реестра CashedLogonsCount, находящийся в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.

Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).

По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.

Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.), которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.

И в завершение пара важных моментов:

• Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
• Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.

Как изменить домен входа по умолчанию в Windows

Домен входа по умолчанию в Windows — это доменное имя, которое используется по умолчанию при входе пользователя в систему. Т.е. если при входе пользователь просто вводит свой логин и пароль, это доменное имя подставляется автоматически. Имя домена по умолчанию отображается на экране входа, под полем для ввода пароля.

hide1

По умолчанию дефолтным доменом для компьютера назначается домен, членом которого данный компьютер является. Обычно изменять его не требуется, но в многодоменных средах бывают ситуации, когда пользователи входят в компьютеры, присоединенные к домену, отличному от своего. В этом случае для входа в систему пользователям необходимо вводить свое имя в формате ″домен\имя пользователя″. Также бывает, что компьютер присоединен к домену, но пользователи работают под локальными учетными записями, используя формат ″.\имя пользователя″.

Чтобы избежать лишних сложностей и упростить пользователям жизнь, имя домена входа по умолчанию можно изменить. Сделать это можно как редактированием реестра, так и с помощью групповых политик.

Изменение домена по умолчанию через реестр

Имя домена по умолчанию хранится в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре DefaultDomainName.

hide2

Для его изменения просто редактируем данный параметр и перезагружаем компьютер.

hide3

После перезагрузки имя домена буде изменено.

hide7

Данный способ безотказно работает на всех без исключения ОС Windows начиная с Windows XP.

Изменение домена по умолчанию с помощью групповых политик

Для изменения домена необходимо открыть редактор локальных (или доменных) политик, перейти в раздел Computer Configuration\Administrative Settings\System\Logon,

hide4

перевести параметр ″Assign a default domain for logon″ в положение Enabled и указать имя домена входа по умолчанию.

hide5

Данная политика производит изменения в параметре реестра DefaultDomainName, находящемся в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

hide6

После перезагрузки дефолтный домен, отображающийся на странице входа, будет изменен так же, как и в предыдущем случае.

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 5: Добавление компьютеров в Active Directory. Проверка и удаление из Active Directory

Оглавление

8. Групповые политики

9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы

10. Настройка траста и сайта доменов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты для аудита безопасности Active Directory

С теоретической точки зрения, порядок глав должен быть немного иным: перед изучением присоединения к домену нужно изучить иерархию Active Directory, инструменты создания и управления пользователями, группами. Поверьте мне, в этом теоретическом материале можно крепко завязнуть… При том, что в практическом плане нам достаточно на сервере создать пользователя домена в графическом интерфейсе и, по сути, всё готово для подсоединения к домену! Поэтому мы чуть забежим вперёд и подсоединимся к домену, а затем окунёмся в теорию — она уже будет привязанной к некоторому практическому опыту взаимодействия с Active Directory и нам будет проще в ней разобраться.

Последствия присоединения к Домену Active Directory

В самой первой части уже описаны некоторые из последствий присоединения компьютера к Домену. Остановимся на этом чуть подробнее, чтобы вам в дальнейшем не пришлось переустанавливать ОС на рабочей станции чтобы покинуть домен и чтобы не потерять важные для вас файлы.

Рабочая станция должна использовать Контроллер домена в качестве DNS сервера. Поэтому если вы включаете рабочую станцию когда Контроллер домена недоступен (офлайн), это может привести к проблемам с сетевыми подключениями.

На рабочей станции должна иметься учётная запись локального администратора, при выходе запрашивается логин и пароль пользователя домена, имеющего полномочия на отсоединение от домена!

3. Пользовательские файлы

В зависимости от настроек пользователя, созданные пользователем домена файлы могут храниться как на локальной рабочей станции, так и на сервере.

В общем, если вы настраиваете тестовое окружение Active Directory и подсоединяете к домену свой рабочий компьютер, то прежде чем удалить тестовое окружение, выполните выход из домена, иначе впоследствии вы можете столкнуться с трудностями.

Настройка DNS сервера на рабочих станциях

Многие протоколы Active Directory сильно зависят от DNS сервера, поэтому вряд ли получится использовать сторонний DNS сервер (например, BIND). Мы уже настроили в Windows Server роль DNS, то есть фактически запустили DNS сервер. Теперь нужно сделать так, чтобы рабочие станции использовали IP адрес Windows Server в качестве DNS сервера.

Рассмотрим, как изменить настройки DNS сервера разными способами. Вам нужно выбрать один из подходящих для вас вариантов.

В моей установке Active Directory компьютер с DNS сервером (контроллер домена) имеет IP адрес 192.168.1.60. Следовательно, моя задача установить данный IP адрес в качестве первичного DNS сервера. В качестве вторичного DNS сервера вы можете выбрать любой другой.

Как настроить DNS сервер на Windows 10

Нажмите на иконку «Доступ к Интернету», затем кликните на имени вашего сетевого подключения:

windows dns records

Нажмите на «Настройка параметров адаптера»:

windows dns records 2

(Другой быстрый способ попасть сюда, это набрать в командной строке «control netconnections» или «control ncpa.cpl»).

Кликните правой кнопкой по адаптеру, настройки которого вы хотите изменить, и в открывшемся контекстном меню выберите «Свойства».

windows dns records 3

Выберите «IP версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства».

windows dns records 4

Выберите «Использовать следующие адреса DNS-серверов» и введите IP.

windows dns records 5

Когда всё будет готово нажмите «ОК» и закройте окна.

Как настроить DNS сервер в Windows Admin Center

Перейдите на вкладку «Сети» и выберите сетевой адаптер, настройки которого вы хотите изменить и нажмите кнопку «Параметры».

Windows Admin Center DNS

Перключите на «Используйте следующие адреса DNS-сервера», введите желаемые настройки DNS адреса и нажмите кнопку «Сохранить».

Windows Admin Center DNS 2

Как настроить DNS сервер в PowerShell

Если вы хотите указать один DNS сервер, то используйте команду вида:

Для указания двух DNS серверов используйте синтаксис:

Как проверить настройки DNS в Windows

Чтобы убедиться, что DNS сервер работает и что в качестве DNS используется именно контроллер домена, выполните команду:

nslookup

Мы получили IP адрес этого сайта — это означает, что DNS сервер работает. Строка «Address: 192.168.1.60» содержит IP адрес DNS сервера, как мы можем убедиться, это контроллер домена.

Следующая команда выведет IP адрес Домена:

Строки с Addresses содержат в том числе и локальный IP адрес домена:

nslookup 2

Если вы хотите обойтись исключительно средствами PowerShell и не использовать стороннюю утилиту, то проверить настройки DNS сервера, а также узнать IP адрес домена вы можете следующими командами:

Get DnsClientServerAddress

Как присоединить компьютер к домену

Теперь, когда всё готово, мы присоединим рабочую станцию к домену.

Кроме уже сделанных изменений нам понадобится:

Присоединение к домену через Параметры компьютера

Для присоединения к домену, откройте приложение Параметры (Win+I) и нажмите «Система».

system

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:

system properties

(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).

Для присоединения к домену нажмите кнопку «Изменить».

rename pc

Установите переключатель на «Является членом домена» и впишите имя домена, нажмите «ОК».

add to domain

Если имя компьютера длиннее 15 символов, то вам будет показано предупреждение, что NetBIOS имя будет укорочено. Об этом нужно помнить по следующим причинам:

Введите учётные данные администратора сервера.

add to domain 2

Если всё прошло удачно, то вы увидите приветственное сообщение.

add to domain 3

Также вам будет сообщено, что для того, чтобы изменения вступили в силу, необходимо перезагрузить компьютер.

add to domain 4

Присоединение к домену с помощью Мастера присоединения к домену или рабочей группе

Для присоединения к домену, откройте приложение Параметры (Win+I) и нажмите «Система».

system

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:

system properties

(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).

Для присоединения к домену нажмите кнопку нопку «Идентификация».

join domain 20

Выберите вариант «Компьютер входит в корпоративную сеть; во время работы я использую его для соединения с другими компьютерами».

join domain 21

Выберите «Моя организация использует сеть с доменами».

join domain 22

Нажимаем «Далее».

join domain 23

Введите имя и пароль администратора домена, а также адрес домена и нажмите «Далее».

join domain 24

Если компьютер впервые подключается к домену, то вы увидите следующее сообщение и запрос на ввод имени компьютера и домена.

join domain 25

Вновь введите логин и пароль администратора сервера, а также адрес домена.

join domain 26

Не совсем понятно, за что отвечает это окно.

join domain 27

Я не стал добавлять.

join domain 28

Чтобы изменения вступили в силу, перезагрузите компьютер.

join domain 29

Присоединение к домену в Windows Admin Center

Откройте Windows Admin Center, подключитесь к компьютеру, который должен присоединиться к домену, перейдите на вкладку Обзор.

Нажмите «Изменить идентификатор компьютера».

windows admin center join domain

Переключите «Членство» на «Домен» и введите имя домена. Нажмите кнопку «Далее».

windows admin center join domain 2

Введите учётные данные администратора домена, нажмите кнопку «Сохранить».

windows admin center join domain 3

Чтобы изменения вступили в силу, потребуется перезагрузка компьютера.

Присоединение к домену в PowerShell

Для добавления в домен или рабочую группу применяется командлет Add-Computer. Он присутствует в PowerShell 5, но удалён из PowerShell 7 и никто не знает, чем его заменить, подробности смотрите в статье «Аналог Add-Computer в PowerShell 7».

Если вы уже установили PowerShell 7, то для переключения на PowerShell 5 выполните:

Пример команды, которая добавляет локальный компьютер к домену и перезапускает компьютер:

Эту команду нужно выполнять с правами администратора.

Вам будет предложено ввести пароль администратора контроллера домена:

dc admin password

Add Computer 1

Команда для добавления удалённого компьютера в домен имеет следующий вид:

Эта команда дважды предложит ввести учётные данные — сначала пароль администратора домена, затем пароль администратора рабочей станции.

Add Computer

В моих тестах команда для добавления удалённого компьютера в домен всегда завершалась ошибкой «The RPC server is unavailable. (Exception from HRESULT: 0x800706BA)»:

Add Computer error

На текущий момент справиться с ошибкой не удалось.

Как выполнить вход в Домен Windows

Вход на компьютере присоединённому к домену

При загрузке компьютера нас встречает заставка.

login domain

Зажмите левую кнопку мыши и проведите вверх.

По умолчанию предлагается войти под локальным пользователем (если у вашего локального пользователя нет пароля, то для входа просто нажмите Enter).

Чтобы войти в домен, нажмите «Другой пользователь».

login domain 2

Введите имя пользователя домена и пароль.

login domain 3

Как создавать пользователей в домене Windows, будет показано в следующей части. Тем не менее, уже сейчас вы можете выполнить вход на рабочую станцию с учётной записью администратора домена. То есть вводим имя пользователя (Administrator) и пароль администратора сервера (да, хотя мы выполняем вход на рабочей станции, а не на сервере).

login domain 4

Обратите внимание, что если на локальном компьютере присутствует пользователь с таким же именем, как и в домене, то для входа необходимо имя указать следующим образом: «ДОМЕН\ПОЛЬЗОВАТЕЛЬ». В противном случае, вход будет выполнен как локальный пользователь.

login domain 4 1

Примечание: если перестало работать привычное вам сочетание клавиш для смены раскладки клавиатуры, то используйте Win+Пробел, это универсальное сочетание смены клавиатуры, которое всегда работает.

Проверим имя пользователя и имя компьютера:

username computer name

Текущим пользователем является DS\Administrator, а имя компьютера HackWare-Win (то есть это рабочая станция, а не сервер).

Как войти под учётной записью локального пользователя

Рассмотрим, как войти под учётной записью локального пользователя на компьютере, который подключён к Домену Windows.

При включении компьютера нажмите «Другой пользователь».

login local user

Чтобы войти только на этот компьютер (а не в домен), имя пользователя нужно вводить следующим образом:

login local user 2

Чтобы войти на ПК локально, вы также можете использовать «.\» + «имя пользователя», так не нужно точно знать наименование ПК.

Как проверить, является ли компьютер частью домена

Как через Параметры компьютера проверить, является ли компьютер частью домена

Для получения информации о домене, откройте приложение Параметры (Win+I) и нажмите «Система».

system

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:

system properties

(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).

Здесь вы сможете увидеть, является ли компьютер частью домена и какое имя домена.

check windows domain

Как в Windows Admin Center проверить, является ли компьютер частью домена

Откройте Windows Admin Center, подключитесь к компьютеру, чей домен вы хотите посмотреть, перейдите на вкладку Обзор.

Нажмите «Изменить идентификатор компьютера».

windows admin center join domain

Если переключатель «Членство» выбран на «Домен», значит компьютер присоединён к домену.

check windows domain in windows admin center

Как в PowerShell проверить, является ли компьютер частью домена

1. Получение свойств системы

Если вы хотите узнать в PowerShell, является ли данный компьютер частью домена или рабочей группы, то используйте следующий скрипт:

Вы можете скопировать его целиком и вставить в консоль PowerShell.

domain

В данном случае имя компьютера HackWare-Win и он не прикреплён к домену (DomainJoined : False). Вместо этого компьютер входит в рабочую группу под названием WORKGROUP.

Пример вывода на другом компьютере:

domain true

Имя компьютера HackWare-Server-2022, он является частью домена (DomainJoined : True) под названием ds.hackware.ru.

2. Определение принадлежности по имени домена или рабочей группы

Следующая команда выводит имя домена/рабочей группы:

Get CimInstance workgroup

Если знать правило, что имя домена должно включать минимум две строки, разделённых точкой, то можно определить, что WORKGROUP — не может быть именем домена, следовательно, это название рабочей группы. А ds.hackware.ru это имя домена.

Get CimInstance domain

3. Просмотр свойств компьютера в командлете Get-ComputerInfo

Командлет Get-ComputerInfo предназначен для вывода информации о компьютере. Отфильтровав нужные сведения, можно принять решения, присоединён ли компьютер к домену или к рабочей группе.

Показать имя домена или рабочей группы:

Показать сервер входа (для компьютеров в домене это сервер, для компьютеров в рабочей группе это локальный компьютер):

Показать тип продукта, может быть, например DomainController (контроллер домена) или WorkStation (рабочая станция):

Имя пользователя (имеет вид ДОМЕН\ПОЛЬЗОВАТЕЛЬ или РАБОЧАЯ_ГРУППА\ПОЛЬЗОВАТЕЛЬ):

Имя локального компьютера:

Вывод все информации за раз:

Компьютер присоединён к домену:

Get ComputerInfo

Компьютер является частью рабочей группы:

Get ComputerInfo 2

4. С помощью Get-ADDomain

Чтобы в PowerShell посмотреть, присоединён ли компьютер к домену, выполните следующую команду:

Если компьютер является частью рабочей группы, а не домена, то в PowerShell 5 будет выведена следующая ошибка:

Get ADDomain error

Если компьютер не присоединён к домену, то в последних версиях PowerShell будет показана ошибка:

Get ADDomain error 2

Если же компьютер является частью домена, то будет показана информация о домене, к которому присоединена рабочая станция:

Get ADDomain 1

Также возможны следующие ошибки.

Данные ошибки возникают в ситуации, когда компьютер в принципе подключён к домену, но вход на рабочей станции выполнен под локальным пользователем.

Как выйти из домена

Как выйти из домена через Параметры компьютера

Чтобы отсоединить компьютер от домена, откройте приложение Параметры (Win+I) и нажмите «Система».

system

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:

system properties

(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).

Для выхода из домена нажмите кнопку «Изменить».

rename pc

Переключитесь на «Является членом рабочей группы», введите её название, например «WORKGROUP» и нажмите «ОК».

leave domain

Нас предупреждают, что для входа на этот компьютер потребуется пароль локального администратора.

leave domain 2

Если всё прошло хорошо, то вы увидите приглашение в рабочую группу.

leave domain 3

Нам сообщают, что изменения вступят в силу после перезагрузки компьютера.

leave domain 4

Как выйти из домена в Windows Admin Center

Откройте Windows Admin Center, подключитесь к компьютеру, который должен выйти из домена, перейдите на вкладку Обзор.

Нажмите «Изменить идентификатор компьютера».

windows admin center join domain

Переключите «Членство» на «Рабочая группа» и введите имя рабочей группы, например «WORKGROUP». Нажмите кнопку «Далее».

leave windows domain in windows admin center

Введите имя и пароль администратора домена.

leave windows domain in windows admin center 2

Как выйти из домена в PowerShell

Выход из домена, точнее говоря, переход в рабочую группу, выполняется командой Add-Computer, то есть к выходу из домена применимы все замечания, сказанные в разделе «5.3.4 Присоединение к домену в PowerShell».

Чтобы отключить локальный компьютер от домена и добавить его в рабочую группу WORKGROUP выполните следующую команду:

Переход в рабочую группу вступит в силу после перезагрузки компьютера:

Add Computer WorkgroupName

Предыдущая команда сработает, если вы выполнили вход как администратор домена, в противном случае вам нужно указать учётные данные администратора домена (или иного администратора, имеющего право на выход из домена):

Add Computer WorkgroupName 1

Команда для добавления удалённого компьютера в рабочую группу и, следовательно, выхода из домена, имеет следующий вид:

как войти только на этот компьютер а не в домен

Вход на доменный компьютер под локальной учетной записью

В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.

word image 14

Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.

Type domain name\domain user name to sign in to another domain.
Type РKZ-ТZI01K1\local user name to sign in to this PC only (not a domain )

Чтобы войти в другой домен, введите имя_домена\имя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1\локальное_имя_пользователя

word image 15

Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1\Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.

word image 16

К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.

word image 17

Теперь после .\ осталось набрать имя локальной учетной записи и пароль.

word image 18

Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.

Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.

Как войти только на этот компьютер а не в домен

если один раз выбрать «этот компьютер», после ребута этот пункт будет стоять по дефолту. это в экспи так, в висте и семёрке не пробовал

На рабочих местах Windows 2000 и что то там все время предлагается ко входу домен. может политиками накатывается, это пока не выяснял.я думал может что в реестре можно прописать или локальными политиками замутить. есть идеи?

Сделай проще. Выведи машину из домена. Заведи на машине требуемые локальные учетки. НО имя и пароль у учеток сделай такими чтоб совпадали с именами и паролями пользователей в домене. Машину заведи в рабочую группу с таким же названием как у домена. В настройках сетевухи поставь дописывать днс префикс, там поставь имя домена полное (smb.local например).

В итоге: пользователи локальные, а работают в домене без проблем.

А что здесь НЕ безопасного?)
Это лишь способ сидя под локальным пользователем прозрачно авторизироватся в домене.
Можно же создать локальные учетки и с др паролями а потмо при обращении к доменым ресурсам пароли вводить все время.

PS формально то задача решена? ) Все под локальными.

Сделай проще. Выведи машину из домена. Заведи на машине требуемые локальные учетки. НО имя и пароль у учеток сделай такими чтоб совпадали с именами и паролями пользователей в домене. Машину заведи в рабочую группу с таким же названием как у домена. В настройках сетевухи поставь дописывать днс префикс, там поставь имя домена полное (smb.local например).

В итоге: пользователи локальные, а работают в домене без проблем.

машину без админа не выведешь, обратись к нему и не читай весь этот флуд

машину без админа не выведешь, обратись к нему и не читай весь этот флуд

Сам понял чего написал? Перечитай еще раз :arr: топикстартер и есть АДМИН.

У пользователя в домене пропал доступ к своему профилю только на одном пк?

Есть доменная сеть, контроллер на win server 2016, пк на win10.
Пользователь с логином «Elena» на одном из пк не имеет доступа к своему профилю (appdata, загрузки, документы, desktop и тд.). Профиль перемещаемый, политика folder_redirect на контроллере.
Выглядит это так, после авторизации пустой рабочий стол с предупреждением: windows не может получить доступ к server\\folder_redirect\desktop и текст, что мол нет разрешений на эту папку.
Если же под этим пользователем «Elena» (точно под этим) выполнить вход на другом пк, то проблем с доступом к профилю нет (все папки доступны, права есть, владелец этот же пользователь)
Если на проблемном пк, на котором у пользователя «Elena» нет доступа к своему профилю, зайти под другим пользователем (user1, user2 и тд.), то проблемы нет, профиль этих пользователей доступен.

Проблема возникла после удаления драйверов на сетевую карту. Получилось, что дрова удалил соответственно сеть пропала и доступ к профилю так же. Когда заново поставил драйвер на сетевую, доступ у конкретно одного пользователя «Elena» к своему профилю пропал.

Пробовал сделать откат на точку восстановления до появления проблемы, пробовал заново вводить этот комп в домен, менял имя компьютера, sfc /scannow и DISM /Online /Cleanup-Image /ScanHealth проблем не видят.

Как восстановить права на профиль?

Удалил профиль через оснастку и реестр, перезагрузил, выполнил вход под проблемным пользователем и новый профиль корректно создался. Перенёс файлы со старого профиля (local, locallow, roaming) и проблема оказалась в папке «Credentials»

Что и как х/з, эта папка, что в старом, что в новом профиле пустая, но если из старого профиля скопировать эту папку в новый профиль, то проблема снова появляется, а если оставить папку с нового профиля, то проблемы нет.

Вход на компьютер через локально сохраненную доменную учетную запись

foxmuldercp, Windows всегда создает локальный профиль пользователя и использует его. Если у пользователя сконфигурирован сетевой (роаминговый) профиль — локальный профиль синхронизуется с ним при входе пользователя, в обратную сторону синхронизация происходит при выходе. По сети напрямую можно использовать только отдельные специальные папки (Рабочий стол, Мои Документы и т.п.).

Вот, у меня это вот тут: Computer Configuration\Windows Settings\Security Setting\Local Policies\Security Options\Interactive Logon\Policy Setting

и параметр называется: «Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)» и стоит там: «50 входов в систему» и это, похоже, максимум.

Вот описание параметра:

Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)

Сведения о предыдущих входах пользователей в систему кэшируются локально, чтобы обеспечить последующий вход в систему в случае отсутствия доступа к контроллеру домена. При отсутствии доступа к контроллеру домена и кэшировании сведений о входах пользователей в систему пользователь получает следующее сообщение:

Не удалось установить связь с сервером и получить параметры входа в систему. Вход выполнен с помощью локально сохраненной информации об учетной записи. Если эта информация была изменена со времени последнего входа в систему на этом компьютере, то изменения не будут отражены во время текущего сеанса.

При отсутствии доступа к контроллеру домена и отсутствии кэширования данных о входах пользователей в систему пользователь получает следующее сообщение:

Подключение к системе сейчас невозможно, так как домен недоступен.

Значение этого параметра «0» отключает кэширование данных входа. При любом значении большем 50 кэшируется только 50 попыток входа в систему.

Вход в систему при недоступности контроллера домена

При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.

Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.

Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLM\SECURITY\Cache, доступ к которому имеет только система.

За возможность кэширования отвечает параметр реестра CashedLogonsCount, находящийся в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.

Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).

По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.

Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.), которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.

И в завершение пара важных моментов:

• Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
• Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *