По умолчанию в Active Directory любой прошедший проверку пользователь имеет право добавить до 10 хостов в домен, кроме пользователей групп "Администраторы домена" и "Операторы учета", у которых нет лимита. Есть два сценария для ограничения прав по добавлению компьютеров для всех пользователей:
1. С помощью "adsiedit.exe" подключаемся к контексту именования и в свойствах нашего домена меняем значение атрибута "ms-DS-MachineAccountQuota" с 10 на 0. Теперь кроме групп "Администраторы домена" и "Операторы учета" никто не сможет добавить новый компьютер в Active Directory. Чтобы назначить такие права для иной созданной группы, придется выполнить делегирование новых прав на домен. Делается это через оснастку "dsa.msc" (правой кнопкой по домену и выбираем "Делегирование управления...").
2. С помощью "adsiedit.exe" подключаемся к контексту именования и в
свойствах нашего домена сбрасываем значение атрибута
"ms-DS-MachineAccountQuota" в состояние <не задано>. Таким образом мы убираем ограничение по количеству компьютеров, которые может добавить любой пользователь. Но теперь необходимо ограничить пользователей с помощью групповой политики "Default Domain Controllers Policy". Открываем "Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Локальные политики->Назначение прав пользователя->Добавление рабочих станций к домену", удаляем оттуда группу "Прошедшие проверку" и добавляем "Администраторы домена", "Операторы учета" и другие необходимые группы.
Комментариев нет:
Отправить комментарий