Isso me parece muito improvável, mas apenas para ter certeza: um membro de 'Usuários do Domínio' pode associar um computador ao domínio (desde que ele tenha a conta de administrador local)?
O instrutor disse isso e parece muito errado. Eu testei e recebi 'Acesso negado' quando tentei fornecer credenciais de usuários regulares. Estou faltando alguma coisa aqui?
Atualização: você obtém acesso negado se já possui um computador com esse nome no AD. Se você excluir a conta, qualquer usuário com uma conta de administrador local poderá ingressar no computador, criando automaticamente uma conta no AD. INACREDITÁVEL.
windows-server-2003
domain
reitor
fonte
fonte
Respostas:
Sim, eles podem associar até 10 computadores por padrão.
Você pode revogar esse direito usando a Diretiva de Grupo ou alterar o número máximo de associações permitidas.
fonte
Se isso é uma preocupação para você, é bem possível alterar o local padrão em que novos objetos de computador são criados. Defina o GPO nesse local para ser muito restritivo, como desabilitar a conta de administrador local e, assim, os usuários terão uma estação de trabalho muito mais bloqueada do que a inicial. Muito desincentivo.
A visão da Microsoft disso é que o usuário está optando por suas políticas de segurança e domínio ao poder associar máquinas ao domínio.
fonte
Você também pode monitorar quem adicionou máquinas ao seu domínio e depois quebrar as juntas após o fato, se estiverem se comportando mal.
Depende de quais são suas políticas internas - temos uma loja muito pequena, mas os Devs estão proibidos (por palavra de Deus, não pelo GPO) de adicionar máquinas ao domínio.
fonte