Sim, eles podem associar até 10 computadores por padrão.
Você pode revogar esse direito usando a Diretiva de Grupo ou alterar o número máximo de junções permitidas.
Isso parece muito improvável para mim, mas só para ter certeza: Um membro de 'Usuários do Domínio' pode ingressar em um computador no domínio (desde que ele tenha a conta de administrador local)?
O instrutor disse isso e parece muito errado. Eu testei e recebi "Acesso negado" quando tentei fornecer credenciais de usuários comuns. Estou faltando alguma coisa aqui?
Atualização: Você recebe acesso negado se você já tiver um computador com esse nome no AD. Se você excluir a conta, qualquer usuário com a conta de administrador local poderá ingressar no computador, criando automaticamente uma conta no AD. INACREDITÁVEL.
Sim, eles podem associar até 10 computadores por padrão.
Você pode revogar esse direito usando a Diretiva de Grupo ou alterar o número máximo de junções permitidas.
Se isso for uma preocupação para você, é bem possível alterar o local padrão onde novos objetos de computador são criados. Defina o GPO nesse local para ser muito restritivo, como desabilitar a conta de Administrador local e, ao fazer isso, os usuários acabam com uma estação de trabalho muito mais bloqueada do que quando começaram. Muito o desincentivo.
A visão da Microsoft sobre isso é que o usuário está optando em suas políticas de segurança e domínio por ter a capacidade de juntar máquinas ao domínio.
Você também pode monitorar quem adicionou máquinas ao seu domínio e, em seguida, quebrá-las depois do fato, caso elas estejam se comportando mal.
Depende das suas políticas internas - temos uma loja muito pequena, mas os desenvolvedores são proibidos (por palavra, não por GPO) de adicionar máquinas ao domínio.