Immer wieder kommt man als Admin in die Situation, dass man Windows-PCs aus einer Domäne ausbinden möchte, zB, weil ein alter Windows-Server überflüssig geworden ist und die Active-Directory-Funktionen sowieso nie jemand genutzt hat. Um dennoch alle Einstellungen etc. des Domänenprofil zu behalten, kann man das Profil mit einem nützlichen Tool namens ForensIT User Profile Wizard
auf ein Lokales kopieren. Im übrigen funktioniert das Tool auch in die andere Richtung, das benötige ich aber beinahe nie. Die Möglichkeit ist aber da.
Die notwendigen Schritte zum Ausbinden lauten wie folgt:
- Habe IMMER ein Backup. Auch hier. Das ist keine Ausnahme. Also geh und erstelle eines, wenn du keines hast. Und auch wenn du eines hast, mache ein Aktuelles!
- Unter Windows den
lusrmgr.msc
öffnen (als Administrator öffnen) - Unter Benutzer einen neuen (den zukünftigen lokalen Benutzer) erstellen.
- Den Benutzernamen merken!
- Nun können wird den ForensIT User Profile Wizard herunterladen. Nicht öffnen, sondern speichern.
- Entweder installiert man die .msi, oder man entpackt sie mit 7zip. Eine Installation ist nicht unbedingt notwendig. Zumal der Installer sowieso nur die
Forensit.exe
entpackt. Ein wenig zweckfrei, aber gut. - Nun kann man das Tool ausführen. Erstmal weiter mit
Weiter
- Im 2. Schritt wählt man das Profil aus, welches übertragen werden soll. In den meisten Fällen wohl eines von der Domäne, also zB DOMÄNE\User. Es funktioniert aber genauso umgekehrt, von lokal zur Domäne. Mit den 3 Haken kann man noch festlegen, ob der User danach deaktiviert oder gelöscht werden soll, oder ob Profile ohne Nutzerzuweisung angezeigt werden sollen. Danach auf
Weiter
- Nun wählt man bei ersten Feld seinen Computernamen aus. Unten gibt nun den genauen Benutzernamen ein, den man vorher erstellt hat. Man kann den Nutzer noch als automatisch Einzuloggenden festlegen. Nun wieder auf
Weiter
- Damit führt das Programm nun seine Arbeit aus. Wenn es fertig ist, gibt es einen Neustart.
- Nun kann man den PC unter
System
aus der Domäne ausbinden, ihn umbenennen und auch zu einer Workgroup hinzufügen. Das Active-Directory wird damit nicht mehr benötigt.