Os 'Usuários do Domínio' podem associar computadores ao domínio?

8

Isso me parece muito improvável, mas apenas para ter certeza: um membro de 'Usuários do Domínio' pode associar um computador ao domínio (desde que ele tenha a conta de administrador local)?

O instrutor disse isso e parece muito errado. Eu testei e recebi 'Acesso negado' quando tentei fornecer credenciais de usuários regulares. Estou faltando alguma coisa aqui?

Atualização: você obtém acesso negado se já possui um computador com esse nome no AD. Se você excluir a conta, qualquer usuário com uma conta de administrador local poderá ingressar no computador, criando automaticamente uma conta no AD. INACREDITÁVEL.

reitor
fonte
1
Pessoalmente, não acho isso uma preocupação terrível. Um membro do domínio está sujeito à Diretiva de Grupo do seu domínio. Ao associar o computador ao seu domínio, o computador fica sujeito a todas as políticas aplicáveis. Isso pode incluir a perda de direitos administrativos locais. Cabe a você, o administrador, determinar quais políticas você deve aplicar em seu ambiente para torná-lo "seguro o suficiente".
jscott
4
Para esclarecer, você precisa de mais do que apenas uma conta de administrador local - você precisa de uma conta de usuário de domínio válida durante a operação de associação.
Shane Madden

Respostas:

15

Sim, eles podem associar até 10 computadores por padrão.

Você pode revogar esse direito usando a Diretiva de Grupo ou alterar o número máximo de associações permitidas.

jscott
fonte
7

Se isso é uma preocupação para você, é bem possível alterar o local padrão em que novos objetos de computador são criados. Defina o GPO nesse local para ser muito restritivo, como desabilitar a conta de administrador local e, assim, os usuários terão uma estação de trabalho muito mais bloqueada do que a inicial. Muito desincentivo.

A visão da Microsoft disso é que o usuário está optando por suas políticas de segurança e domínio ao poder associar máquinas ao domínio.

sysadmin1138
fonte
2

Você também pode monitorar quem adicionou máquinas ao seu domínio e depois quebrar as juntas após o fato, se estiverem se comportando mal.

Depende de quais são suas políticas internas - temos uma loja muito pequena, mas os Devs estão proibidos (por palavra de Deus, não pelo GPO) de adicionar máquinas ao domínio.

BoBo
fonte