Назад | Перейти на главную страницу

Могут ли «Пользователи домена» присоединять компьютеры к домену?

Для меня это звучит очень маловероятно, но на всякий случай: может ли член «Пользователи домена» присоединить компьютер к домену (при условии, что у него есть учетная запись локального администратора)?

Инструктор сказал это, и это звучит очень неправильно. Я протестировал его и получил сообщение «Доступ запрещен», когда попытался предоставить учетные данные обычных пользователей. Я что-то упустил?

Обновить: Вы получаете отказ в доступе, если вы уже есть компьютер с таким именем в AD. Если вы удалите учетную запись, любой пользователь с местный Учетная запись администратора может присоединиться к компьютеру, автоматически создав учетную запись в AD. НЕВЕРОЯТНО.

Да, они могут присоединить до 10 компьютеров по умолчанию.

Вы можете либо отозвать это право с помощью групповой политики, либо изменить максимальное количество разрешенных присоединений.

Если вас это беспокоит, вполне возможно изменить местоположение по умолчанию, в котором создаются новые объекты-компьютеры. Установите объект групповой политики в этом месте на очень ограничительный, например, отключив учетную запись локального администратора, и в результате пользователи получат гораздо более заблокированную рабочую станцию, чем они были вначале. Довольно сдерживающий.

По мнению Microsoft, пользователь выбор в ваша политика безопасности и домена, имея возможность присоединять машины к домену.

Вы также можете отслеживать, кто добавил машины в ваш домен, а затем ломать костяшки пальцев, если они плохо себя ведут.

Зависит от ваших внутренних политик - у нас очень маленький магазин, но разработчикам запрещено (Богом, не GPO) добавлять машины в домен.