[erledigt - Prohejt erfolgreich] Abmelden aus Domäne

[mectst]

Ich habe hier ein ehemaliges Firmen-Laptop, auf dem die Benutzer allerdings noch mit der Firmen-Domäne gekoppelt sind. Der einzige Account mit Admin-Rechten gehört auch dazu, das Passwort dazu kenne ich allerdings. Nun die Frage dazu: Was passiert mit den Benutzern, wenn ich den Rechner von der Domäne abmelde?
Wie gehe ich am besten vor, denn der Besitzer möchte gern weiter mit seinen Daten arbeiten und selbstverständlich soll das Gerät auch noch administrierbar sein.

Grüße Thomas

 

[LZ_]

Was heisst Firmen-Laptop??? EPU oder international agierender Grosskonzern?
Jedenfalls würde ich die Finger von der Kiste lassen. Datenschutz und Eigentümerverhältnisse wasserdicht klären wäre der wichtigste Schritt. Danach kann man sich ja Gedanken über die "eigenen Daten" machen....

Liebe Leute, ihr habt ein riesiges Problem mit allen rechtlichen Konsequenzen am Hals wenn so unbedarft mit Geschäftsdaten jongliert wird! Das kann eine private Existenz in null komma nichts wirtschaftlich betrachtet zerstören.

 

[mectst]

Auch wenn es nichts mit der eigentlichen Problemstellung zu tun hat: Glaub mir einfach, wenn ich hier poste und frage ist die rechtliche Situation eindeutig geklärt, sowohl was das Gerät selbst als auch die Daten darauf angeht. Wieso, weshalb und warum diese Konstellation aufgetreten ist, spielt für die Fragestellung auch keinerlei Rolle. Wenn es die Mods hier anders sehen, mögen sie mich bitte kontaktieren.

Grüße Thomas

 

[ATh]

... was kostet eine neue/gebrachte SSD/Festplatte ? Einfach die alte durch eine neue ersetzen, neu installieren. Bei Bedarf kann dann die alte rein wenn man an die Daten ran muß.

Alternativ vorhandene Partion verkleinern, neue Partion erstellen und Bootmanager verwenden, d.h. 2. Installation neben der vorhandenen. aber schön ist anders.

Aber normalerweise werden Firmenlaptops ohne Festplatte abgegeben, halt datenschutzrechtlich erforderlich.

ATh.

 

[sarek]

Aber normalerweise werden Firmenlaptops ohne Festplatte abgegeben, halt datenschutzrechtlich erforderlich.

Würde da auch die (Voll)formatierung ausreichen? Also löschen und mehrmaliges überschreiben der Datenträger?

 

[mectst]

Nochmal: Es ist rechtlich geklärt und sauber!!! Die Daten werden benötigt und es soll/muss damit gearbeitet werden.

Neuinstallation oder alles weitere wie Dual-Boot ist zunächst unsinnig bzw überflüssig, da der Rechner stabil und ohne Probleme läuft. Es geht lediglich darum, die Domäne zu kappen. Bzw. ich möchte gern vorher wissen, was mit den angelegten Domänen-Nutzern passiert, wenn ich diesen Schritt ausführe.
Da ich Admin-Rechte habe, kann ich die lokalen Daten (und nur um die geht es - nicht die im Firmennetzwerk!!) jederzeit leicht auf einer externen HDD sichern und ich kann beliebige neue lokale Nutzer anlegen und auch mit diesen Arbeiten.

Grüße Thomas

 

[Alteshaus21]

Soweit ich weiß sind die Domänennutzer dann weg. Könnte das hier auch mal Fix testen..

 

[buddabrod]

Bzw. ich möchte gern vorher wissen, was mit den angelegten Domänen-Nutzern passiert, wenn ich diesen Schritt ausführe.

Die Nutzer sind logischerweise weg, aber was lokal in den Profilordnern lag, bleibt dort. Du kannst dann also als lokaler Nutzer die Daten einfach übernehmen (erst schauen, ob ein lokaler Admin da ist, bevor du den Domänenadmin löschst ;-) )

 

[mectst]

@Alteshaus: Ein Test wäre natürlich besser als jegliche Spekulation. Wenn ein solcher Test für dich nicht viel Aufwand bedeutet, wäre es super wenn du es austesten könntest.

@buddabrod: Das deckt sich ja mit der Aussage von Alteshaus.

Im Prinzip ist es ja auch das was ich erwarte. Ich bin nur am überlegen, ob die Domänennutzer dabei nicht automatisch in lokale Benutzer gewandelt werden. Schließlich kann ich mich auch jetzt (ohne Netzkontakt und Verbindung zur Domäne) normal anmelden. Die Passwörter müssen also auch lokal vorhanden sein.
Meine weitere Überlegung ist, dass es momentan ja nur mit der Domäne verknüpfte User gibt. Wenn die Benutzer nach der Trennung weg ein sollten, würde es ja keinen Benutzer mehr geben, was bei Windows ja nicht sein kann.


Grüße Thomas


PS: Der Rechner hat Win10 Pro 64bit, falls das von Interesse ist

 

[martina]

Die Domänen-Benutzer funktionieren nur noch solange, bis das aktuelle Account-Ticket abgelaufen ist.

 

[Alteshaus21]

Also, Profile sind wie erwartet weg, Nutzerordner bleiben aber erhalten.

 

[mectst]

Die Domänen-Benutzer funktionieren nur noch solange, bis das aktuelle Account-Ticket abgelaufen ist.

man merkt, da fehlt mir einiges an Wissen... :huh:

Grüße Thomas

- - - Beitrag zusammengeführt - - -

Also, Profile sind wie erwartet weg, Nutzerordner bleiben aber erhalten.

Thx für die Ausführung. Ich vermute du hast es mit einem lokalen Admin-Account durchgeführt und der ist danach ja noch verfügbar.

Grüße Thomas

 

[sarek]

Im Prinzip ist es ja auch das was ich erwarte. Ich bin nur am überlegen, ob die Domänennutzer dabei nicht automatisch in lokale Benutzer gewandelt werden. Schließlich kann ich mich auch jetzt (ohne Netzkontakt und Verbindung zur Domäne) normal anmelden. Die Passwörter müssen also auch lokal vorhanden sein.

Das kann man aber glaub einstellen! Ich weiß nur nichtmehr wo und wie, aber mein Account (war mal Domäne) ist jetzt lokal, da der Laptop schon 3 Jahre das Netzwerk nicht mehr gesehen hat. Frühestens am Wochenende kann ich da mal nachschauen (derzeit bissel viel zu tun und das Wetter will auch noch genossen werden

 

[rouladenkoenig]

Soweit ich das weiß wird die Dauer des Passwort-Cachings im Active Directory eingestellt und nicht auf dem Client. Macht ja auch sonst aus Sicht der Security keinen Sinn.

 

[mectst]

Das kann man aber glaub einstellen! Ich weiß nur nichtmehr wo und wie, aber mein Account (war mal Domäne) ist jetzt lokal, da der Laptop schon 3 Jahre das Netzwerk nicht mehr gesehen hat. Frühestens am Wochenende kann ich da mal nachschauen (derzeit bissel viel zu tun und das Wetter will auch noch genossen werden

Sehr positive Antwort. Ich werde auf diese Option achten. Wenn es zeitlich glatt geht, ist das ein Projekt fürs Wochenende … werde berichten, bin aber auch für jeden weiteren Hinweis dankbar.

Grüße Thomas

 

[Alteshaus21]

Nervig wird es wenn der PC die Vertrauensstellung zwischen Domäne und ihm verliert, dann muss er raus und wieder reingenommen werden.

Kommt bei uns manchmal vor wenn die Geräte länger nicht im Firmennetzwerk waren.. Würde mich darauf also nicht verlassen.

PS: Ja ich habe es mit einem lokalen Admin Konto getestet.

 

[Stevi]

du könntest dir auch mal die Tools von ForensIT anschauen -> https://www.forensit.com/downloads.html

Ich habe bisher nur Transwiz 1.11 genutzt um ein Backup von Userprofilen zu erstellen oder ein Userprofil auf einem 2. Rechner verfügbar zu machen, aber laut Beschreibung von dem Tool User Profile Wizard 3.12 kann man damit auch zwischen Domain Users und lokalen einen Übertrag machen.

 

[mectst]

Projekt erfolgreich!
Nachdem ich am Wochenende zur Sicherheit noch ein komplettes Systembackup gemacht habe, gings gestern Abend recht flott über die Bühne.
- Lokales Admin-Konto angelegt
- von diesem aus in eine eigene Arbeitsgruppe gewechselt - Neustart durchgeführt
- Wie ihr es beschrieben habt, waren die Benutzer danach weg, die zugehörigen Verzeichnisse mit allen Daten sind noch vorhanden
- Neuen lokalen Benutzer-Account angelegt und etwas konfiguriert
- Alte Daten ins neue Nutzerverzeichnis kopiert
- Outlook neu eingerichtet, jetzt IMAP und alte Emails als Datendatei (*.pst) bereitgestellt
- Eigentümer ist zufrieden

Danke für eure Hinweise, so musste ich nicht total ins Blaue hinein experimentieren.

Grüße Thomas

 

[sl500]

Ganz schön viel Brimborium für so eine Aktion^^

 

[Modulator]

Nervig wird es wenn der PC die Vertrauensstellung zwischen Domäne und ihm verliert, dann muss er raus und wieder reingenommen werden.

Kommt bei uns manchmal vor wenn die Geräte länger nicht im Firmennetzwerk waren.. Würde mich darauf also nicht verlassen.

PS: Ja ich habe es mit einem lokalen Admin Konto getestet.

Das geht auch ohne diese Holzhammermethode OHNE den Rechner aus der Domäne zu holen mit nem Powershell-Einzeiler.