Windows 11/10: PC aus lokaler Active Directory-Domäne entfernen – So geht’s

PC aus lokaler Active Directory-Domäne entfernen: So lösen Sie unter Windows 10 und 11 Ihren Computer mit Anleitung einfach und sicher aus der Domäne.

Wer einen PC aus einer lokalen Active Directory-Domäne entfernen möchte, steht vor einer Aufgabe, die in Unternehmen regelmäßig anfällt – sei es beim Gerätetausch, bei Umstrukturierungen oder beim Wechsel in eine Arbeitsgruppe.

Windows 10 und Windows 11 bieten dafür mehrere Wege: über die grafische Benutzeroberfläche, per PowerShell oder remote für mehrere Rechner gleichzeitig. Dieser Artikel erklärt alle Methoden Schritt für Schritt.

Was bedeutet es, einen PC aus der Domäne zu entfernen?

Bevor Sie mit dem eigentlichen Vorgang beginnen, sollten Sie verstehen, was dabei technisch passiert. Eine Domäne ist ein zentrales Verwaltungskonzept in Windows-Netzwerken, bei dem ein oder mehrere Domänencontroller die Authentifizierung, Gruppenrichtlinien und Benutzerkonten zentral steuern. Entfernen Sie einen PC aus der Domäne, verlässt das Gerät diesen Verwaltungsbereich und tritt stattdessen einer Arbeitsgruppe bei.

Dabei sind jedoch einige wichtige Punkte zu beachten: Das Computerkonto im Active Directory bleibt nach dem Austritt zunächst erhalten und muss separat gelöscht werden. Zudem verlieren lokale Benutzer den Zugriff auf domänengebundene Ressourcen wie Netzwerkfreigaben oder domänenbasierte Druckerdienste.

Deshalb empfiehlt es sich, vor dem Entfernen eines PCs aus der Domäne alle wichtigen Daten zu sichern und einen lokalen Administratorzugang sicherzustellen – denn nach dem Neustart ist keine Anmeldung mit Domänenanmeldedaten mehr möglich.

Außerdem sollten Sie prüfen, ob auf dem betreffenden Gerät servergespeicherte Profile (Roaming Profiles) verwendet werden. In diesem Fall können Profildaten verloren gehen, sofern keine vorherige Sicherung erfolgt.

Voraussetzungen vor dem Domänenaustritt

Damit der Vorgang reibungslos verläuft, sollten Sie folgende Punkte im Vorfeld klären:

• Lokales Administratorkonto aktivieren: Stellen Sie sicher, dass auf dem PC ein lokales Konto mit Administratorrechten vorhanden und das Passwort bekannt ist. Andernfalls ist nach dem Neustart keine Anmeldung möglich.
• Domänenadministratorkennwort bereithalten: Für das Entfernen aus der Domäne benötigen Sie die Anmeldedaten eines Domänenadministrators oder eines Kontos mit entsprechender Berechtigung.
• Netzwerkverbindung prüfen: Zwar lässt sich ein PC auch ohne aktive Verbindung zum Domänencontroller aus der Domäne entfernen, jedoch empfiehlt es sich, eine Verbindung herzustellen, damit das Computerkonto im AD korrekt als „deaktiviert“ markiert wird.
• Datensicherung durchführen: Sichern Sie wichtige Benutzerdaten, bevor Sie fortfahren.

Methode 1: PC unter Windows 11 über die Einstellungen aus der Domäne entfernen

Unter Windows 11 hat Microsoft den entsprechenden Dialog in die moderne Einstellungs-App integriert. Gehen Sie wie folgt vor:

1. Öffnen Sie die Einstellungen mit der Tastenkombination Windows + I.
2. Navigieren Sie zu System → Info.
3. Scrollen Sie nach unten zum Abschnitt Gerätespezifikationen und klicken Sie auf Domäne oder Arbeitsgruppe ändern.
4. Es öffnet sich das klassische Fenster Systemeigenschaften auf der Registerkarte Computername.
5. Klicken Sie dort auf die Schaltfläche Ändern.
6. Im folgenden Dialog wählen Sie unter „Mitglied von“ die Option Arbeitsgruppe aus.
7. Geben Sie einen Namen für die Arbeitsgruppe ein, zum Beispiel WORKGROUP.
8. Klicken Sie auf OK. Windows fragt nun nach den Anmeldedaten eines Domänenadministrators – geben Sie Benutzername und Kennwort ein.
9. Bestätigen Sie die Erfolgsmeldung und starten Sie den PC neu.

Nach dem Neustart ist der Computer nicht mehr Mitglied der Domäne und meldet sich in der angegebenen Arbeitsgruppe an.

Hinweis: Alternativ erreichen Sie den gleichen Dialog auch über Systemsteuerung → System und Sicherheit → System → Erweiterte Systemeinstellungen → Registerkarte Computername → Ändern. Dieser klassische Pfad funktioniert sowohl unter Windows 10 als auch unter Windows 11 zuverlässig.

Methode 2: PC unter Windows 10 über die Einstellungen oder Systemsteuerung aus der Domäne entfernen

Unter Windows 10 gestaltet sich der Vorgang sehr ähnlich, jedoch unterscheidet sich der Einstiegspunkt leicht je nach Version:

Über die Einstellungen (Windows 10 ab Version 20H2 und neuer)

1. Öffnen Sie Einstellungen mit Windows + I.
2. Gehen Sie zu System → Info.
3. Klicken Sie auf Erweiterte Systemeinstellungen (im rechten Bereich oder unten auf der Seite).
4. Im Fenster Systemeigenschaften wählen Sie die Registerkarte Computername und klicken Sie auf Ändern.
5. Wählen Sie Arbeitsgruppe, geben Sie einen Namen ein und bestätigen Sie mit OK.
6. Windows fordert die Domänenadministrator-Anmeldedaten an.
7. Nach erfolgreicher Eingabe erscheint eine Bestätigung – starten Sie den PC neu.

Über die klassische Systemsteuerung (alle Windows-10-Versionen)

1. Drücken Sie Windows + Pause/Break, um direkt zum Systemfenster zu gelangen (bei älteren Windows-10-Versionen öffnet sich die klassische Systemsteuerung).
2. Klicken Sie auf Einstellungen ändern neben dem Computernamen.
3. Folgen Sie den Schritten wie oben beschrieben: Registerkarte Computername → Ändern → Arbeitsgruppe auswählen → Administratorkennwort eingeben → Neustart.

Methode 3: PC per PowerShell aus der Domäne entfernen

Die Windows PowerShell ist das bevorzugte Werkzeug für Administratoren, die den Domänenaustritt automatisiert oder für mehrere Rechner gleichzeitig durchführen möchten. Das Cmdlet Remove-Computer übernimmt dabei die Hauptarbeit. Zudem ist PowerShell auf jeder Windows-Installation ohne zusätzliche Installation verfügbar – im Gegensatz zu dem älteren Tool netdom.exe, das unter Windows 10 und Windows 11 nicht mehr standardmäßig enthalten ist und erst über die RSAT-Tools (Remote Server Administration Tools) installiert werden muss.

Lokalen PC per PowerShell aus der Domäne entfernen

1. Öffnen Sie PowerShell als Administrator: Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie Windows PowerShell (Administrator) oder Windows Terminal (Administrator).
2. Geben Sie folgenden Befehl ein:

Remove-Computer -UnjoinDomainCredential DOMAIN\AdminBenutzername -WorkgroupName "WORKGROUP" -Restart -PassThru -Verbose

3. Ersetzen Sie DOMAIN\AdminBenutzername durch den tatsächlichen Domänennamen und den Benutzernamen eines Domänenadministrators.
4. Windows fordert Sie auf, das Kennwort einzugeben.
5. Der Parameter -Restart sorgt dafür, dass der Computer nach dem Austritt automatisch neu gestartet wird.
6. -PassThru und -Verbose liefern eine detaillierte Ausgabe des Vorgangs – besonders nützlich zur Fehlersuche.

Mehrere PCs remote per PowerShell aus der Domäne entfernen

Für den Massenaustritt mehrerer Computer empfiehlt sich folgender Befehl:

Remove-Computer -ComputerName "PC01", "PC02", "PC03" -UnjoinDomainCredential DOMAIN\AdminBenutzername -LocalCredential DOMAIN\AdminBenutzername -WorkgroupName "WORKGROUP" -Restart -Force -PassThru -Verbose

Dabei gilt: -ComputerName nimmt eine kommagetrennte Liste von Hostnamen entgegen. Der Parameter -LocalCredential gibt an, mit welchem Konto die Verbindung zum jeweiligen Remote-PC hergestellt wird. -Force unterdrückt alle Bestätigungsabfragen, was die Automatisierung erleichtert.

Wichtig: Der ausführende Benutzer benötigt auf den Remote-Computern lokale Administratorrechte sowie die Berechtigung, Computerkonten aus dem AD zu entfernen. Außerdem muss auf den Zielcomputern die Windows-Remoteverwaltung (WinRM) aktiv sein.

Methode 4: PC per netdom.exe aus der Domäne entfernen (mit RSAT)

Obwohl netdom.exe unter Windows 10 und Windows 11 nicht mehr standardmäßig verfügbar ist, kann das Tool nach der Installation der RSAT-Tools weiterhin genutzt werden. Für die RSAT-Installation gehen Sie wie folgt vor:

1. Öffnen Sie Einstellungen → Apps → Optionale Features → Feature hinzufügen.
2. Suchen Sie nach RSAT: Active Directory Domain Services und Lightweight Directory-Tools und installieren Sie das Paket.

Danach lässt sich der Domänenaustritt per Eingabeaufforderung (als Administrator) mit folgendem Befehl durchführen:

netdom remove COMPUTERNAME /domain:DOMAINNAME /userd:DOMAIN\AdminBenutzername /passwordd:*

Das Sternchen * bei /passwordd:* bewirkt, dass das Kennwort sicher abgefragt wird. Dieser Weg eignet sich besonders, wenn ältere Skripte auf netdom.exe aufgebaut sind und eine Migration auf PowerShell (noch) nicht möglich ist.

Computerkonto aus dem Active Directory löschen

Das Entfernen des PCs aus der Domäne löscht das Computerkonto im Active Directory nicht automatisch. Deshalb bleibt nach dem Austritt ein verwaistes Konto im AD zurück, das gesäubert werden sollte – insbesondere in größeren Umgebungen, wo sich solche Konten schnell ansammeln.

Über Active Directory-Benutzer und -Computer (ADUC)

1. Öffnen Sie auf einem Domänencontroller oder einem Verwaltungs-PC (mit RSAT) das Snap-in Active Directory-Benutzer und -Computer (dsa.msc).
2. Navigieren Sie zur Organisationseinheit (OU), in der das Computerkonto gespeichert ist – standardmäßig im Container Computers.
3. Klicken Sie mit der rechten Maustaste auf das Computerkonto und wählen Sie Löschen.
4. Bestätigen Sie die Abfrage.

Computerkonto per PowerShell löschen

Alternativ lässt sich das Computerkonto direkt aus PowerShell heraus entfernen:

Remove-ADComputer -Identity "COMPUTERNAME" -Confirm:$false

Dafür benötigen Sie das Active Directory-Modul für PowerShell, das ebenfalls Bestandteil der RSAT-Tools ist. Zudem sind Domänenadministrator-Berechtigungen erforderlich.

Inaktive Computerkonten mit dsquery identifizieren

Besonders in gewachsenen AD-Umgebungen empfiehlt sich eine regelmäßige Bereinigung veralteter Konten. Dazu können Sie mit dem Tool dsquery alle Computer ermitteln, die sich seit einem bestimmten Zeitraum nicht mehr angemeldet haben:

dsquery computer -inactive 4

Dieser Befehl listet alle Computerkonten auf, die seit mehr als vier Wochen inaktiv sind. Anschließend können Sie die betreffenden Konten mit dsrm löschen oder manuell in ADUC prüfen.

Benutzerprofil nach dem Domänenaustritt übernehmen

Ein häufiges Problem nach dem Entfernen eines PCs aus der Domäne besteht darin, dass das bisherige Domänenbenutzerprofil nicht automatisch dem neuen lokalen Benutzer zugeordnet wird. In diesem Fall erscheint nach der Anmeldung mit einem lokalen Konto ein leeres Profil, obwohl die alten Daten noch auf der Festplatte vorhanden sind.

Sofern keine servergespeicherten Profile verwendet wurden, lässt sich das vorhandene Profil in vielen Fällen migrieren. Dazu gibt es spezialisierte Tools wie ForensIT User Profile Wizard (kostenlose Community-Edition für einzelne Migrationen verfügbar), mit dem sich ein bestehendes Domänenprofil einem lokalen Benutzerkonto zuweisen lässt, ohne Daten zu verlieren. Die empfohlene Vorgehensweise lautet:

1. User Profile Wizard von der ForensIT-Website herunterladen.
2. Das Tool als Administrator ausführen.
3. Das vorhandene Domänenprofil auswählen und dem lokalen Zielkonto zuordnen.
4. Nach Abschluss des Vorgangs neu starten und mit dem lokalen Konto anmelden.

Alternativ lassen sich Daten manuell per Robocopy aus dem alten Profilordner (C:\Users\Domänenbenutzer) in den neuen lokalen Profilordner kopieren.

Häufige Probleme und Lösungen

Fehlermeldung: „Zugriff verweigert“ beim Domänenaustritt

Wenn Windows beim Versuch, den PC aus der Domäne zu entfernen, eine Fehlermeldung „Zugriff verweigert“ ausgibt, liegt dies meistens daran, dass das verwendete Konto nicht über ausreichende Berechtigungen verfügt. Prüfen Sie daher, ob Sie die Anmeldedaten eines Kontos verwenden, das die Berechtigung „Computer aus der Domäne entfernen“ besitzt. Standardmäßig haben Domänenadministratoren diese Berechtigung.

PC kann nicht aus der Domäne entfernt werden (kein Netzwerkkontakt)

Falls der Domänencontroller nicht erreichbar ist, lässt sich der Domänenaustritt dennoch lokal erzwingen. Unter PowerShell gelingt dies mit dem Parameter -WorkgroupName ohne aktive DC-Verbindung. Alternativ funktioniert der grafische Weg über die Systemeigenschaften auch offline – Windows warnt in diesem Fall lediglich, dass das Computerkonto im AD möglicherweise nicht automatisch deaktiviert wird. Dieses Konto muss dann später manuell im AD gelöscht werden.

Anmeldung nach Neustart nicht möglich

Sollte nach dem Neustart keine Anmeldung möglich sein, weil kein lokales Konto bekannt ist, bietet Windows die Möglichkeit, sich über .\Administrator anzumelden. Das Punkt-Backslash-Präfix weist Windows an, das lokale Administratorkonto zu verwenden, unabhängig vom Computernamen. Sofern das lokale Administratorkonto aktiviert und mit einem Kennwort versehen war, sollte die Anmeldung auf diesem Weg gelingen.

Empfohlene Vorgehensweisen beim Entfernen von PCs aus der Domäne

Damit der Prozess reibungslos und sicher abläuft, sollten Sie folgende empfohlene Vorgehensweisen beachten:

• Lokales Administratorkonto immer vorab prüfen und aktivieren, bevor Sie den PC aus der Domäne entfernen. Verwenden Sie dazu den Befehl net user Administrator /active:yes in einer administrativen Eingabeaufforderung.
• Computerkonto im AD zeitnah löschen, um verwaiste Konten zu vermeiden, die ein Sicherheitsrisiko darstellen können.
• Änderungen dokumentieren, insbesondere in größeren Umgebungen: Halten Sie fest, welche PCs zu welchem Zeitpunkt aus der Domäne entfernt wurden und aus welchem Grund.
• Gruppenrichtlinien-Einstellungen prüfen: Nach dem Domänenaustritt gelten keine GPOs mehr. Einstellungen, die bislang per Gruppenrichtlinie erzwungen wurden (z. B. Bildschirmsperre, Passwortrichtlinien), müssen gegebenenfalls lokal neu konfiguriert werden.
• Virenschutz und Sicherheitssoftware überprüfen: Unternehmens-Endpointlösungen wie Microsoft Defender for Endpoint oder Symantec Endpoint Protection können nach dem Domänenaustritt ihre Konfiguration verlieren – planen Sie dies im Voraus ein.

Häufige Fragen zum Entfernen eines PCs aus der Active Directory-Domäne

Verliere ich meine Daten, wenn ich den PC aus der Domäne entferne?

Nein, das Entfernen aus der Domäne löscht keine persönlichen Dateien auf dem PC. Allerdings ist das bisherige Domänenbenutzerprofil danach nicht direkt mit einem lokalen Konto verknüpft. Deshalb empfiehlt es sich, Benutzerdaten vorab zu sichern oder ein Profil-Migrationstool wie ForensIT User Profile Wizard zu verwenden, um den Profilübergang sauber durchzuführen.

Muss ich den PC nach dem Domänenaustritt neu starten?

Ja, ein Neustart ist zwingend erforderlich, damit die Änderungen wirksam werden. Windows informiert Sie automatisch darüber und fordert Sie auf, den Computer neu zu starten. Erst nach dem Neustart ist der PC vollständig aus der Domäne ausgetreten und meldet sich bei der konfigurierten Arbeitsgruppe an.

Kann ich einen PC ohne Netzwerkverbindung zum Domänencontroller aus der Domäne entfernen?

Ja, das ist möglich. Sowohl der grafische Weg über die Systemeigenschaften als auch der PowerShell-Befehl Remove-Computer funktionieren ohne aktive DC-Verbindung. Windows warnt jedoch, dass das Computerkonto im AD möglicherweise nicht automatisch deaktiviert wird. Das Konto muss in diesem Fall manuell im Active Directory gelöscht werden.

Bleibt das Computerkonto im Active Directory nach dem Domänenaustritt bestehen?

Ja, das Computerkonto im AD bleibt erhalten und wird lediglich als deaktiviert markiert, wenn der Austritt mit Verbindung zum Domänencontroller erfolgte. Ohne DC-Verbindung bleibt das Konto aktiv. Deshalb sollten Administratoren das Konto anschließend manuell über ADUC (dsa.msc) oder per PowerShell mit Remove-ADComputer löschen.

Welche Berechtigungen benötige ich, um einen PC aus der Domäne zu entfernen?

Sie benötigen die Anmeldedaten eines Kontos, das die Berechtigung „Computer aus der Domäne entfernen“ besitzt. Standardmäßig haben Domänenadministratoren diese Berechtigung. Außerdem benötigen Sie auf dem lokalen PC lokale Administratorrechte, um die Systemeigenschaften entsprechend zu ändern.

Wie kann ich mehrere PCs gleichzeitig remote aus der Domäne entfernen?

Dafür eignet sich das PowerShell-Cmdlet Remove-Computer mit dem Parameter -ComputerName und einer kommagetrennte Liste der Hostnamen. Zusätzlich muss WinRM (Windows Remote Management) auf den Zielcomputern aktiviert sein. Mit dem Parameter -Force lassen sich alle Bestätigungsabfragen unterdrücken, was die Automatisierung in Skripten erleichtert.

Was passiert mit Gruppenrichtlinien nach dem Domänenaustritt?

Nach dem Entfernen des PCs aus der Domäne werden keine Gruppenrichtlinien (GPOs) mehr angewendet. Einstellungen, die zuvor zentral per GPO gesteuert wurden – etwa Passwortrichtlinien, Bildschirmschoner-Einstellungen oder Softwareverteilung –, bleiben zwar im Ist-Zustand erhalten, werden aber nicht mehr aktiv erzwungen oder aktualisiert. Deshalb sollten Administratoren wichtige Sicherheitseinstellungen lokal neu konfigurieren.

Kann ich einen PC nach dem Domänenaustritt wieder in die Domäne aufnehmen?

Ja, das ist problemlos möglich. Dazu öffnen Sie erneut die Systemeigenschaften, wählen unter „Mitglied von“ die Option Domäne und geben den Domänennamen sowie die Administratorkennwörter ein. Danach ist der PC wieder vollwertiges Mitglied der Domäne – sofern zuvor ein neues oder noch vorhandenes Computerkonto im AD verfügbar ist.

Warum erscheint nach dem Domänenaustritt ein neues, leeres Benutzerprofil?

Das liegt daran, dass das bisherige Domänenprofil an die Domänen-SID (Security Identifier) des Benutzerkontos gebunden ist. Ein lokales Konto mit gleichem Namen erhält eine andere SID und damit ein neues Profil. Um das alte Profil zu übernehmen, empfiehlt sich ForensIT User Profile Wizard, der die Profil-SID des Domänenkontos dem lokalen Konto neu zuordnet.

Welcher Weg ist empfehlenswert – GUI oder PowerShell?

Für einzelne Geräte ist der grafische Weg über die Windows-Einstellungen oder die Systemeigenschaften am einfachsten und fehlerunanfälliger. Für mehrere Geräte oder die Integration in automatisierte Prozesse empfiehlt sich PowerShell mit Remove-Computer. Beide Methoden liefern das gleiche Ergebnis; der Unterschied liegt lediglich in der Skalierbarkeit und Automatisierbarkeit.

Fazit

Einen PC aus einer lokalen Active Directory-Domäne zu entfernen, ist unter Windows 10 und Windows 11 mit mehreren Methoden möglich. Die grafische Variante über die Systemeigenschaften eignet sich ideal für Einzelgeräte, während PowerShell bei mehreren Rechnern deutlich effizienter arbeitet.

Entscheidend ist dabei, das Computerkonto im AD anschließend manuell zu bereinigen und ein lokales Administratorkonto vorab zu sichern. So vermeiden Sie Anmeldeprobleme und halten Ihre AD-Umgebung sauber.