2025-12-12 Domänenprofil in lokales Profil umwandeln
⎇User Profile Wizard aka Profwiz von ⎇ForensiT kennen viele, um damit bestehende lokale Benutzerprofile auf Domänenprofile überzuhelfen. Der vermutlich seltenere Schritt, vom Domänenprofil auf lokal ist damit auch möglich. Diese Richtung ist IMHO weniger intuitiv, weswegen ich sie hier dokumentiere.Kurzform: Voraussetzung: Profwiz.exe, lokales Admin-Konto: - sysdm.cpl: Zu Arbeitsgruppe WORKGROUP wechseln. - compmgmt.msc: Lokale Benutzer > Benutzer anlegen. - Profwiz.exe - Profil auswählen - Join Domain entfernen und im Dropdown den eigenen Hostnamen auswählen. - Enter the account name: Benutzer eintragen.
Geschrieben für Build 24.8.1296
1. Sichergehen das man einen lokalen Admin-Benutzer hat und dessen Passwort kennt. Im Schritt vier verlieren nämlich alle "Domänen-Admins" ihre Rechte. Ohne Admin-Zugang zum PC steht man sonst dumm da. Notfalls im Schritt drei einen mit anlegen.
2. Sichergehen was die lokalen Profilpfade der gewünschten Benutzer sind. In 99% der Fälle wird das C:\Users\Benutzername sein. Für den Rest ist man froh das man nachgeschaut hat.
PS > $env:USERPROFILE
CMD > echo %USERPROFILE%
3. compmgmt.msc: Lokale Benutzer und Gruppen > Benutzer: Benutzer, die Domänenprofile erben sollen, anlegen.
4. sysdm.cpl: Einer Arbeitsgruppe beitreten. Kann eigentlich irgendein Namen sein. Standard wäre WORKGROUP. PC neu starten.
5. Als lokaler Admin anmelden und Profwiz.exe ausführen.
5.1. Select a User Profile: Zu übernehmendes Profil auswählen. Zu erkennen am Pfad, da die SID, mangels Domänenverbindung, nicht mehr aufgelöst wird.
5.2. User Account Information: Haken bei Azure AD, Join Domain und Join Workgroup entfernen und vom Drop-Down den eigenen Hostnamen auswählen.
5.3. Enter the account name: Benutzer der Domänenprofil erben soll. (Muss lokal bereits existieren. Siehe Schritt drei.)
5.4. Wizard fertigstellen und PC neu starten.
Beim erstmaligen anmelden, mit migrierten Benutzern, kommt eine weile "Updating Apps" und Microsoft versucht nochmal sein Glück und fragt nach schlechteren Datenschutzeinstellungen.
Windows-Anmeldeinformationen gingen verloren[1], so das Anwendungen, die darauf gesetzt haben, wieder nach Zugangsdaten fragen werden. Natürlich kann es "schlau" programmierte Anwendungen geben, die Reaktiviert werden wollen. Aber abgesehen davon, sind alle Daten da.
Punkt 5. kann für verschiedenen Profile mehrfach wiederholt werden.
[1] Man könnte sich theoretisch vor der Migration die Mühe machen Zugangsdaten, z.B. mit ⎇CredentialsFileView von Nir Sofer, auszulesen.
⍈Homepage
