Можно ли ограничить, кто в домене AD может присоединять компьютеры к домену?
Мы пытаемся запретить пользователям добровольно присоединять виртуальные машины и внешние машины к нашему домену. По умолчанию любой пользователь может присоединиться к 10 машинам. Есть ли способ ограничить это только операторами учетных записей, администраторами домена и администраторами предприятия?
Зайдите в Политику безопасности домена> Локальная политика> Назначение прав пользователя и измените «Добавить рабочие станции в домен» только на те группы, которые вам нужны.
Я считаю, что то, что вы ищете, упоминается в этих двух статьях MSKB:
- Ограничение по умолчанию на количество рабочих станций, которые пользователь может присоединить к домену
- Пользователи домена не могут присоединиться к рабочей станции или серверу к домену (где смотреть)
В первой статье содержится подробная информация о том, куда перейти в Adsiedit.msc, чтобы изменить значение по умолчанию (домен NC, выберите нужный элемент, свойства, просмотрите ms-DS-MachineAccountQuota, отредактируйте атрибут, чтобы изменить значение).
Я также видел упоминание о том, что есть групповая политика в разделе Политика контроллеров домена по умолчанию \ Назначение прав пользователя, но я не в хорошем месте, чтобы искать ее, чтобы проверить.
Вы смотрели на этот:
Существует групповая политика, которая может изменять, кто имеет право добавлять машины в домен. Я сейчас не перед сервером, но, если я правильно помню, это можно легко изменить.
Ответ KCotreau показывает изменения групповой политики, о которых я подробно упоминал.