Os 'Usuários do Domínio' podem ingressar computadores no domínio?

8

Isso parece muito improvável para mim, mas só para ter certeza: Um membro de 'Usuários do Domínio' pode ingressar em um computador no domínio (desde que ele tenha a conta de administrador local)?

O instrutor disse isso e parece muito errado. Eu testei e recebi "Acesso negado" quando tentei fornecer credenciais de usuários comuns. Estou faltando alguma coisa aqui?

Atualização: Você recebe acesso negado se você já tiver um computador com esse nome no AD. Se você excluir a conta, qualquer usuário com a conta de administrador local poderá ingressar no computador, criando automaticamente uma conta no AD. INACREDITÁVEL.

    
por Dean 05.09.2011 / 18:46

3 respostas

15

Sim, eles podem associar até 10 computadores por padrão.

Você pode revogar esse direito usando a Diretiva de Grupo ou alterar o número máximo de junções permitidas.

    
por 05.09.2011 / 18:48
7

Se isso for uma preocupação para você, é bem possível alterar o local padrão onde novos objetos de computador são criados. Defina o GPO nesse local para ser muito restritivo, como desabilitar a conta de Administrador local e, ao fazer isso, os usuários acabam com uma estação de trabalho muito mais bloqueada do que quando começaram. Muito o desincentivo.

A visão da Microsoft sobre isso é que o usuário está optando em suas políticas de segurança e domínio por ter a capacidade de juntar máquinas ao domínio.

    
por 05.09.2011 / 19:16
2

Você também pode monitorar quem adicionou máquinas ao seu domínio e, em seguida, quebrá-las depois do fato, caso elas estejam se comportando mal.

Depende das suas políticas internas - temos uma loja muito pequena, mas os desenvolvedores são proibidos (por palavra, não por GPO) de adicionar máquinas ao domínio.

    
por 05.09.2011 / 19:52