Computer aus Domäne (remote) entfernen mit PowerShell oder netdom

    Kostenloses E-Book: Installation, Upgrade und Patchen von VMware vSphere mit Image Builder, VUM, Auto Deploy, Host Profiles. 112 Seiten. Download »

    (Anzeige)

    Domäne verlassen über die SystemsteuerungSollen Computer eine Domäne im Active Directory ver­lassen, dann möchte man diese Aufgabe wahr­scheinlich nicht auf jedem PC inter­aktiv erledigen. Power­Shell ist in der Lage, den Unjoin auch remote für mehrere Rechner gleich­zeitig auszuführen. Das Computer­konto im AD muss man aber separat entfernen.

    Sollen Computer aus einer Domäne austreten, dann kann man dazu natürlich die System­steuerung nutzen. Unter System und Sicherheit => System => Erweiterte System­einstellungen findet sich auf der Registerkarte Computername der Button Ändern. Dieser ruft den gleichen Dialog auf, mit dem man einen Rechner einer Domäne anschließt. Hier wählt man jedoch den umgekehrten Vorgang, indem man mit dem Computer einer Workgroup beitritt.

    Remove-Computer auf allen Rechnern verfügbar

    In zentral verwalteten Umgebungen wird man es aber häufig vorziehen, den Unjoin remote zu vollziehen. Dazu muss man auf die Kommando­zeile zurückgreifen, wo man sich zwischen PowerShell oder dem älteren Dienstprogramm netdom.exe entscheidet.

    Letzteres ist auf einer Workstation nur vorhanden, wenn man dort die RSAT installiert hat. Dagegen gehört das Cmdlet Remove-Computer, das für den Austritt aus einer Domäne zuständig ist, zur Basis­ausstattung von PowerShell. Daher kann man es auf jedem PC ohne weitere Voraus­setzungen auch lokal ausführen.

    Domäne mit PowerShell verlassen

    Beim Aufruf von Remove-Computer gibt man über den Parameter ComputerName an, welche Rechner aus der Domäne genommen werden sollen. Handelt es sich dabei um mehrere, dann trennt man die Namen in der Liste durch ein Komma.

    Über den Parameter UnjoinDomainCredential ist zudem die Angabe des Benutzer­namens erforderlich, der den Austritt aus der Domäne ausführen soll. Die Anmeldung am entfernten Rechner erfolgt standard­mäßig unter dem aktuellen Konto, und wenn man hier ein anderes verwenden möchte, dann gibt man dieses über LocalCredential an.

    Ein Aufruf könnte dann so aussehen:

    Remove-Computer -ComputerName Win10Pro-1709x86 -Restart -PassThru -Verbose `
    -UnjoinDomainCredential contoso\admin

    Eingabe des Passworts für den autorisierten Domänen-User beim Verlassen der Domäne mit PowerShell.

    Die zusätzlichen Schalter sorgen dafür, dass Remove-Computer ausführliche Informationen über den Vorgang ausgibt (Verbose und Passthru) sowie den Rechner nach dem Unjoin neu bootet (Restart), um den Vorgang abzuschließen. Letzteres gelingt jedoch nur, wenn dort kein Benutzer angemeldet ist.

    Erfolgreicher Unjoin mit Remove-Computer

    Schließlich kann man mit WorkgroupName bestimmen, welcher Arbeitsgruppe der Rechner nach dem Unjoin angehören soll. Verzichtet man darauf, dann ist der Standard WORKGROUP.

    Unjoin mit netdom

    Das äquivalente Kommando mit netdom sieht folgendermaßen aus:

    netdom remove Win10Pro-1709x86 /Domain:contoso /UserD:contoso\admin /PasswordD:P@ssw0rd /UserO:contoso\mueller /PasswordO:P@ssw0rd /Reboot

    Auch dieser Befehl würde den notwendigen Neustart veranlassen. Im Gegensatz zu Remove-Computer erwartet netdom.exe neben dem Domänen-User UserD auch immer das Konto UserO, über das es sich mit dem Remote-PC verbindet.

    Passworteingabe für netdom, um den Computer aus der Domäne zu entfernen.

    Möchte man die Eingabe der Passwörter im Klartext vermeiden, dann hilft folgende Variante:

    netdom remove Win10Pro-1709x86 /Domain:contoso /UserD:contoso\admin /PasswordD:* /UserO:contoso\mueller /PasswordO:* /Reboot /SecurePasswordPrompt

    Der Schalter SecurePasswordPrompt öffnet einen Passwort-Dialog wie jenen von Remove-Computer. Reboot sorgt für den erforderlichen Neustart.

    Neustart, der durch Remove-Computer remote veranlasst wurde.

    Deaktivierte Computerkonten anzeigen und löschen

    Unabhängig davon, für welches Tool man sich entscheidet, nach dem Verlassen der Domäne durch den Rechner besteht dessen Konto im Active Directory weiter. Es wird bei diesem Vorgang allerdings deaktiviert und bei einem erneuten Domain Join des betreffenden Rechners reaktiviert.

    Inaktive Computerkonten kann man mit dem PowerShell-Cmdlet Get-ADComputer anzeigen:

    Get-ADComputer -Filter * -Properties * | ? enabled -eq $false

    Deaktivierte Computerkonten anzeigen mit Get-ADComputer

    Möchte man sie aus dem AD entfernen, dann leitet man die Ausgabe einfach an Remove-ADComputer weiter:

    Get-ADComputer -Filter * -Properties * | ? enabled -eq $false | Remove-ADComputer

    Vorsichtshalber sollte man Remove-ADComputer erst mit dem Schalter WhatIf aufrufen, um zu sehen, welche Auswirkung der Befehl tatsächlich hätte.

    Unter den älteren Kommandozeilen-Tools für das AD ist dsquery in der Lage, deaktivierte Computerkonten anzuzeigen:

    dsquery computer -disabled

    Für das Löschen wäre hier dsrm.exe zuständig.

    Computer ohne Verbindung zum DC aus Domäne nehmen

    Hat ein Rechner auf Dauer keine Verbindung mehr zu einem Domänen-Controller, dann darf er trotzdem die Domäne verlassen. Dafür benötigt man jedoch einen User mit lokalen Admin-Rechten. Wenn man dessen Passwort vergessen hat, dann kann man dieses offline wiederherstellen.

    Auch in diesem Fall bietet sich das bekannte Verfahren über die System­steuerung an, um den Unjoin über die grafische Ober­fläche zu erledigen. Als Anmeldedaten gibt man hier jene eines lokalen Administrators ein.

    Nicht einsetzen lässt sich in dieser Situation dagegen das Cmdlet Remove-Computer. Es meldet nach der Bestätigung des Vorgangs den Fehler "Zugriff verweigert".

    Keine Kommentare