Предотвращение добавление машин в домен простыми пользователями

По умолчанию начиная с Windows 2000 простые пользователи домена могут добавить до 10 компьютеров в домен. Это можно исправить с помощью групповых политик. Но есть способ проще. Для этого открываем оснастку adsiedit.msc, находим элемент начинающийся с "DC=", правой кнопкой щелкаем на нем и заходим в Свойства. Ищем параметр ms-DS-MachineAccountQuota, он по умолчанию будет равен 10. Для предотвращения добавления компьютеров в домен пользователями меняем значение на 0. Привязка счетчика осуществляется к компьютерным аккаунтам, поэтому ввод в домен новых машин пользователям будет уже запрещен, однако ранее введенные компьютеры вывести и заново ввести в домен они смогут.