none
Вывод из домена RRS feed

  • Вопрос

  • Есть рядовой ПК в домене. У него в свойствах "мой компьютер" есть параметр "Изменить параметры". Далее в новом окне во вкладке "имя компьютера" есть кнопка "Изменить...". Там мы можем вывести ПК из домена, но сначала появляется окно (см. рис. 1). В этих строчках можно ввести что угодно и нажать "ОК", и пк выйдет из домена. Но правильно, когда вводишь логин и пароль доменного админа. В логах ничего нет. Прошу помощи.

                                                 Рис. 1

    

    4 июня 2018 г. 13:24

Ответы

  • Все равно не понимаю тогда для чего это придумано

    скорее всего это очередной баг.

    Нет, не баг. При штатном выводе из домена, с указанием учетных данных, под которыми можно изменить учетную запись компьютера, эта учетная запись, по крайней мере, блокируется.

    Но для самого компьютера в плане вывода из домена ввод этих учетных данных ничего не меняет: для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 21 июня 2018 г. 14:03
    4 июня 2018 г. 18:10
  • Для чего придумано хз, надо спрашивать у тех, кто придумывал :).

    А вот эффект, примерно такой. Если ввести имя/пароль с админскими реквизитами, эккаунт компьютера в домене будет задизейблен. И "просто так" заново ввести компьютер в домен не получится. Если задизейбленный эккаунт прибить, и добавить компьютер в домен, будет создан новый компьютерный эккаунт, и это будет новый объект AD (новый компьютер в домене).

    Если же правильные реквизиты не вводить, при добавлении компьютера он будет "подключен" к той же самой учётке. То есть, в домене появляется "тот же самый компьютер". И если взять другой компьютер, обозвать его тем же именем, что "не полностью" убранный из домена, и добавить в домен - после подключения к существующей учётке, это будет "тот же самый" (с тем же доменным SUID) компьютер, с точки зрения домена. И если использовалась раздача разрешений/делегирование компьютерной учётке, это всё сохранится для "новой" системы.

    Кстати, для обычного пользователя, когда-то было ограничение на 10 операций "добавления в домен". Если оно сохранилось, развлекаться с добавлением получится недолго :)


    S.A.

    • Предложено в качестве ответа Vector BCOModerator 20 июня 2018 г. 12:21
    • Помечено в качестве ответа Vector BCOModerator 21 июня 2018 г. 14:03
    4 июня 2018 г. 14:21

Все ответы

  • это вполне штатное поведение

    если машина утратила связь с доменом (что бывает частой причиной вывода пк из домена) вожможности проверить креды просто нет.


    The opinion expressed by me is not an official position of Microsoft

    4 июня 2018 г. 13:30
    Модератор
  • Но пк в сети, как только я его вывожу, после перезагрузки я его снова ввожу
    4 июня 2018 г. 13:35
  • Но пк в сети, как только я его вывожу, после перезагрузки я его снова ввожу

    я вам привел ситуацию в которой требовать логин/пароль смысла нет. защита от пользователя в таком случае не сработает так как будет всего-то сеть отключить



    The opinion expressed by me is not an official position of Microsoft

    4 июня 2018 г. 13:38
    Модератор
  • Все равно не понимаю тогда для чего это придумано
    4 июня 2018 г. 13:59
  • Все равно не понимаю тогда для чего это придумано
    скорее всего это очередной баг.
    4 июня 2018 г. 14:06
    Модератор
  • Все равно не понимаю тогда для чего это придумано

    скорее всего это очередной баг.
    который тянется уже лет 7 как минимум

    The opinion expressed by me is not an official position of Microsoft

    4 июня 2018 г. 14:08
    Модератор
  • Для чего придумано хз, надо спрашивать у тех, кто придумывал :).

    А вот эффект, примерно такой. Если ввести имя/пароль с админскими реквизитами, эккаунт компьютера в домене будет задизейблен. И "просто так" заново ввести компьютер в домен не получится. Если задизейбленный эккаунт прибить, и добавить компьютер в домен, будет создан новый компьютерный эккаунт, и это будет новый объект AD (новый компьютер в домене).

    Если же правильные реквизиты не вводить, при добавлении компьютера он будет "подключен" к той же самой учётке. То есть, в домене появляется "тот же самый компьютер". И если взять другой компьютер, обозвать его тем же именем, что "не полностью" убранный из домена, и добавить в домен - после подключения к существующей учётке, это будет "тот же самый" (с тем же доменным SUID) компьютер, с точки зрения домена. И если использовалась раздача разрешений/делегирование компьютерной учётке, это всё сохранится для "новой" системы.

    Кстати, для обычного пользователя, когда-то было ограничение на 10 операций "добавления в домен". Если оно сохранилось, развлекаться с добавлением получится недолго :)


    S.A.

    • Предложено в качестве ответа Vector BCOModerator 20 июня 2018 г. 12:21
    • Помечено в качестве ответа Vector BCOModerator 21 июня 2018 г. 14:03
    4 июня 2018 г. 14:21
  • У нас обычные пользователи не могут ввести в домен. Хотелось бы чтоб и не могли выводить.
    • Изменено Puff8P 4 июня 2018 г. 14:31
    4 июня 2018 г. 14:29
  • У нас обычные пользователи не могут ввести в домен. Хотелось бы чтоб и не могли выводить.
    обычные и не могут, нужны необычные права локального админа

    The opinion expressed by me is not an official position of Microsoft


    4 июня 2018 г. 14:51
    Модератор
  • Все равно не понимаю тогда для чего это придумано

    скорее всего это очередной баг.

    Нет, не баг. При штатном выводе из домена, с указанием учетных данных, под которыми можно изменить учетную запись компьютера, эта учетная запись, по крайней мере, блокируется.

    Но для самого компьютера в плане вывода из домена ввод этих учетных данных ничего не меняет: для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 21 июня 2018 г. 14:03
    4 июня 2018 г. 18:10
  •  для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.


    Слава России!

    я вобще ввёл учётные данные несуществующего пользователя:
    username: asfstertr
    password: 34r5546763r2

    и комп спокойно вышел из домена.

    4 июня 2018 г. 18:27
    Модератор
  •  для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.


    Слава России!

    я вобще ввёл учётные данные несуществующего пользователя:
    username: asfstertr
    password: 34r5546763r2

    и комп спокойно вышел из домена.

    об этом и речь

    выводили пк из домена вы под локальным админом или доменной уз с подобными правами.

    при этом если вы вводите правильные логин/пароль - доменная уз машины выключится (если верить Safronov A. и M.V.V.), а если вводите билеберду как в вашем примере уз машины останется включенной в ад, но сама машинка выйдет из домена в любом случае


    The opinion expressed by me is not an official position of Microsoft

    4 июня 2018 г. 18:38
    Модератор
  •  для того, чтобы внести изменения в реестр, приводящие к выводу компьютера из домена, достаточно прав локального администратора.


    Слава России!

    я вобще ввёл учётные данные несуществующего пользователя:
    username: asfstertr
    password: 34r5546763r2

    и комп спокойно вышел из домена.

    Очевидно что для вывода ПК из домена доступа к домену не требуется. Ведь всегда можно просто переустановить ОС на ПК что неминуемо выведет ПК из домена. 

    Пароль/логин спрашивают для проверки возможности удаления записи о данном ПК из домена. Если его не ввести или он неверен то ПК будет выведен из домена, но запись о нем останется.


    This posting is provided "AS IS" with no warranties, and confers no rights.

    4 июня 2018 г. 18:41
  •  а если вводите билеберду как в вашем примере уз машины останется включенной в ад, но сама машинка выйдет из домена в любом случае


    но запись о нем останется.

    да, это я уже понял. просто никогда не обращал внимания на то, что там в АД после вывода компа из домена. Учётка компа просто потом удалялась скриптами по скроку неиспользования.
    4 июня 2018 г. 18:57
    Модератор
  • Могу дополнить обсуждение ещё одним не очевидным моментом.

    Если компьютер вывели из домена "локально" (без удаления учётки), то при последующем добавлении этого же (или с тем же именем) компьютера в домен, наличие User Rights "Добавление компьютеров к домену" может оказаться недостаточно. Если компьютер был ранее помещён в OU, для которой у добавляющего нет прав на изменение объектов. Получится облом-с... :)


    S.A.

    4 июня 2018 г. 19:46