Это звучит очень маловероятно для меня, но просто чтобы быть уверенным: может ли член «Пользователи домена» присоединить компьютер к домену (при условии, что у него есть учетная запись локального администратора)?
Преподаватель сказал это, и это звучит очень неправильно. Я протестировал его и получил «Отказ в доступе», когда попытался предоставить учетные данные обычного пользователя. Я что-то здесь упускаю?
Обновление: вы получаете доступ запрещен, если у вас уже есть компьютер с таким именем в AD. Если вы удалите учетную запись, любой пользователь с локальной учетной записью администратора может присоединиться к компьютеру, автоматически создавая учетную запись в AD. Невероятное.
Ответы:
Да, по умолчанию они могут объединять до 10 компьютеров .
Вы можете отменить это право, используя групповую политику, или изменить максимальное количество разрешенных объединений.
источник
Если это вас беспокоит, вполне возможно изменить местоположение по умолчанию, в котором создаются новые компьютерные объекты. Установите для этого объекта групповой политики очень строгие ограничения, такие как отключение локальной учетной записи администратора, и в результате пользователи получат гораздо более заблокированную рабочую станцию, чем они начали. Довольно сдерживающий фактор.
По мнению Microsoft, пользователь выбирает политики безопасности и домена, имея возможность присоединять компьютеры к домену.
источник
Вы также можете отслеживать, кто добавил машины в ваш домен, а затем сломать суставы после того, как они будут плохо себя вести.
Зависит от того, какова ваша внутренняя политика - у нас очень маленький магазин, но разработчикам запрещено (по слову Бога, а не GPO) добавлять машины в домен.
источник