В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.
Немного предыстории. После того, как компьютер добавлен в домен Active Directory, вы можете войти в него под учетной записью домена или локального пользователя (если конечно локальная учетная запись не отключена и вход под ней не заблокирован через групповые политики). В Windows XP и Windows Server 2003 на экране входа в систему имелся раскрывающийся список «Вход в систему», в котором можно было выбрать в какой домен вы хотите войти, либо, если нужно зайти под локальной учетной, для этого нужно выбрать пункт «Этот компьютер» - @Computer_Name (this computer).
Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.
Type domain name\domain user name to sign in to another domain.)
Type РKZ-ТZI01K1\local user name to sign in to this PC only (not a domain
Чтобы войти в другой домен, введите имя_домена\имя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1\локальное_имя_пользователя
Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1\Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.
К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.
Секрет в том, что Windows использует символ точки (.) в качестве псевдонима для локального компьютера. Поэтому, если в поле с именем пользователя поставить .\, то система будет считать, что вы хотите авторизоваться под локальной учеткой. Соответственно изменится поле Sign in to, вместо имени домена там уже будет указано имя данного компьютера.
Теперь после .\ осталось набрать имя локальной учетной записи и пароль.
Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.
Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.
Let’s look at how to log on to Windows with a local account instead of a domain account. By default, when you enter a user name on a sign-in screen of a domain-joined computer, it is assumed that you are logged on to a computer with a domain user account. When you need to log into Windows as a local user, there’s a little trick that many people don’t know about.
How to Sign in with Local Account on Domain Computer
By default, Windows sign-in screen on the computer that is joined Active Directory domain is configured to attempt to log on the user using a domain account. Note that once you have entered a username and password, Windows will try to use this account to log on to the domain specified in the Sign in to box (in this example, the domain name is CONTOSO).
If you want to sign in to your computer as a local user, click the ‘How to log on to another domain’ button on the Welcome screen. The following tip will appear:
Type domain namedomain user name to sign in to another domain.
Type NY-FS01\local user name to sign in to this PC only (not a domain).
This message contains the hostname of your computer (NY-FS01 in our case). You can login to your local account (for example, Administrator) by typing NY-FS01\Administrator in the User name filed. If your computer name is quite long, typing it in can be a real challenge!
Fortunately, a simple trick allows you to sign in to a local account without typing the full hostname.
The dot ( . ) character in Windows is an alias symbol that represents the local machine:
- Type .\ in the username field. The domain below will disappear, and switch to your local computer name without typing it;
- Type your local username after the .\ (for example, .\myusername).
- Enter your local user password and you will be logged into Windows with a local account.
When administering Windows environments, you will undoubtedly need to log on with a local user account at some point to perform local administrator tasks, such as fixing a broken domain trust relationship. You can easily log in with a local account using the simple trick provided.
Tip. The same trick can be used to connect a shared folder or printer on a remote computer under a local user.
You can use Group Policy to configure the default Windows behavior to always try to log on using a local user account.
- Run the local GPO editor (gpedit.msc)
- Navigate to Computer Configuration > Administrative Settings > System > Logon
- Enable the Assign a default domain for logon policy and specify the local computer hostname in the Default Logon domain field.
- Restart your computer and check that the login screen now shows the local computer name as the sign in destination. If you type a username, Windows will try to look it up in the local SAM database and sign you in.
- This policy will change the value of the DefaultLogonDomain parameter in the registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
Show All Local Users on Windows Login Screen
To avoid having to manually enter the local username each time, you can list all enabled local users directly on the Windows sign-in screen using Group Policy.
- Open the Local Group Policy Editor;
- Go to Computer Configuration > Administrative Templates > System > Logon;
- Enable the policy “Enumerate local users on domain-joined computers”;
- Restart your computer to apply the new policy settings;
- Press Ctrl+Alt+Delete on your Windows Welcome Screen, and check the local account list.
Connect to Remote Desktop (RDP) using a Local Account
The trick above for logging on to a domain-joined Windows device under a local account using the .\Administrator account format won’t work if you try to log on to a remote machine using RDP.
When you specify .\administrator in the Remote Desktop Connection client (mstsc.exe), your RDP client resolves that to <your_current_computername>\Administrator, and not to <remote_server _name>\Administrator.
Even if the remote and local usernames are the same, but the users’ passwords are different, you won’t be able to log on to the remote computer using RDP.
Use one of the following formats to specify the local username for the RDP connection:
- Specify the hostname or IP address of the remote computer:
wks323221s\administrator
- Use shorthand local instead of remote machine name:
local\administrator
In all these cases, the RDP client will use the local Windows user on the remote computer for authentication.
Hint. Only members of the local Remote Desktop Users and Administrator groups can access computers via RDP. All other users will see an error: To sign in remotely you need the right to sign in through Remote Desktop Services.
Local Logon on Active Directory Domain Controllers
You can’t log on to a domain controller with a local Windows account. This is because after promoting the member server to DC, the local Security Account Manager (SAM) database on Windows is no longer available. The DSRM Administrator is the only local account on the Active Directory domain controller.
You can boot your domain controller into Directory Services Restore Mode (DSRM) by pressing the F8 key repeatedly immediately after the BIOS POST screen, before the Windows logo appears. Then use the up/down arrow keys to select Directory Services Restore Mode.
Or you can run msconfig.exe, go to the Boot tab and select Safe boot > Active Directory repair.
You can now log on to the DC using the local DSRM administrator account.
Cyril Kardashevsky
I enjoy technology and developing websites. Since 2012 I’m running a few of my own websites, and share useful content on gadgets, PC administration and website promotion.
Способ 1: «Свойства системы»
Самый простой способ выйти из домена в Windows 10 – это использовать окно «Свойства системы», где можно изменить имя компьютера и принадлежность к домену или рабочей группе:
- Вызовите диалоговое окно «Выполнить», одновременно нажав на клавиши «Win + R», затем введите команду
sysdm.cplи нажмите на кнопку «ОК». - На вкладке «Имя компьютера» кликните по кнопке «Изменить».
- Далее вы увидите, что компьютер является членом домена, поскольку будет отмечен соответствующий пункт с его названием. Чтобы выйти из него, достаточно переключиться на вариант «Рабочей группы», ввести ее имя (по умолчанию обычно это «WORKGROUP») и нажать кнопку «ОК» для применения настроек.
Для вступления в силу новых параметров потребуется перезагрузить систему.
Способ 2: Штатные «Параметры»
Еще один вариант настроить компьютер в домене подразумевает переход в обновленный интерфейс системных настроек:
- Нажмите на кнопку «Пуск» и выберите запуск штатных «Параметров», кликнув по иконке в виде шестерни.
- В появившемся окне нажмите на раздел «Учетные записи».
- На панели слева переключитесь на вкладку «Доступ к учетной записи места работы или учебного заведения» — в центральной части окна отобразится информация, к какому домену подключен компьютер. Для выхода достаточно нажать на кнопку отключения, после чего потребуется подтвердить действие, а для применения новых настроек перезагрузите компьютер.
Следует отметить, что после выполнения вышеописанных действий компьютер не сможет подключиться к Active Directory.
Способ 3: «Windows PowerShell»
Выйти из домена на компьютере под управлением Windows 10 можно и с помощью специальной команды, которая выполняется в консоли. В этом случае потребуется знать название домена и данные учетной записи, включая пароль от нее. Разберем данный вариант более подробно:
- Запустите «Windows PowerShell» от имени администратора. Можете воспользоваться строкой системного поиска, введя соответствующий запрос и выбрав нужный тип запуска.
- Далее нужно ввести команду
Remove-Computer -UnjoinDomaincredential domain\login -PassThru -Verbose -Restart, где под данными «domain\login» потребуется ввести свои данные – домен и логин от учетной записи. Нажмите на клавишу «Enter», чтобы выполнить команду. - В открывшемся системном окне введите данные от учетной записи и нажмите на кнопку «ОК».
- Далее согласитесь с выполнением операции, нажав на клавишу «Y».
Перезагрузка компьютера осуществится автоматически, после чего система будет выведена из домена.
Наша группа в TelegramПолезные советы и помощь
Как при входе в локальную учетную запись на ПК находящемся в домене не вводить имя компьютера и вообще узнать его
Если компьютер является членом домена то для входа по умолчанию подставляется сначала сам домен потом через слэш имя пользователя, в результате система смотрим есть ли указанный пользователей в домене, но так как компьютер уже в домен его не нужно писать, достаточно ввести имя пользователя. Очень часто бывают ситуации когда необходим зайти под локальной учетной записью, и если просто написать имя локального пользователя то система будет искать его не в локальных записях а в домене, поэтому перед логином нужно ввести имя компьютера, «по сути это локальный домен». Вот тут у многих начинающих администратор возникают проблемы, они просто не знают имя ПК и обращаются с вопросом «Как можно узнать имя ПК без авторизации и можно ли как-то по другому зайти в систему» . Конечно можно зайти под доменной учеткой и посмотреть в свойствах, или на самом контроллере домена, но сделать это не всегда возможно. Рассмотрим такую ситуацию, есть ПК в домене, необходимо зайти под локальной учетной записью, но имя ПК неизвестно, возможности зайти в ПК под доменной записью нет и посмотреть где-то еще имя пк нет. Данная тему будет очень полезна начинающим системный администраторам и ИТ специалистом, так как именно они задавали мне такие вопросы.
Авторизации под локальной учетной записью
Конечно в правильно организованной инфраструктуре у каждого ПК в сети есть имя по которому можно определить где он установлен и наоборот по тому месту где стоит ПК можно понять его имя. НО это не всегда так, встречал очень много сетей в которых компьютеры после установки ОС не переименовывались а просто вводились в дом. По умолчанию имя компьютера выглядит примерно вот так «DESKTOP-0J8SFDH» . И при необходимости войти в систему под локальной учетной записью весь это набор букв и цифр нужно будет ввести в ручную.
И так компьютер с таким именем является часть домена.
Для авторизации под доменной учетной записью нужно ввести имя пользователя и пароль.
А вот если нужно войти под локальной учетной записью, необходимо сначала ввести имя ПК а потом через слэш имя локального пользователя «DESKTOP-0J8SFDH\User», как я уже говорил если просто ввести имя локальной учетки то система будет искать её в домене.
Мало кто знает о том что можно не писать полностью имя ПК тем более если оно выглядит во так «DESKTOP-0J8SFDH» достаточно ввести два символа «.\» и имя локального пользователя. После этого снизу в поле «Вход в» имя домена поменяется на имя ПК.
Так же узнать имя компьютера можно если ввести имя стандартной учетной записи «Администратор» , такая учетка есть в каждой ОС она может быть не активно но тем не менее имя ПК все равно отобразиться.
Вот таким образом не зная имя компьютера можно войти под локальной учетной записью.