Active Directory: как запретить пользователям, прошедшим проверку подлинности, присоединяться к рабочим станциям в домене

1. Путем изменения атрибута ms-DS-MachineAccountQuota

• Откройте консоль интерфейса служб Active Directory (редактирование ADSI) (Пуск > Выполнить > adsiedit.msc)
• Щелкните правой кнопкой мыши ADSI Edit и выберите Подключиться к…
• Выберите «Контекст именования по умолчанию» в раскрывающемся меню известного контекста именования.
• Щелкните правой кнопкой мыши доменное имя и выберите «Свойства».
• На вкладке редактора атрибутов прокрутите вниз до   ms-DS-MachineAccountQuota. 
• Нажмите «Изменить ms-DS-MachineAccountQuota» и установите значение 0. Нажмите «ОК», чтобы выйти.

Примечание:

Это ограничение не ограничивает пользователей в группах «Администраторы» или «Администраторы домена», а также тех пользователей, которым делегированы разрешения на контейнеры в Active Directory для создания и удаления учетных записей компьютеров.

2. Политика контроллеров домена по умолчанию

• Откройте Консоль управления групповыми политиками (Пуск > Выполнить > gpmc.msc).
• Найдите подразделение «Контроллеры домена» и найдите «Политику контроллеров домена по умолчанию».
• Изменить политику контроллеров домена по умолчанию.
• Разверните «Конфигурация компьютера» — «Политики» — «Параметры Windows» — «Параметры безопасности» — «Назначение прав пользователя».
• На правой панели щелкните правой кнопкой мыши Добавить рабочие станции в домен — Свойства — Удалить прошедших проверку пользователей и добавить пользователя или группу, которым вы делегируете разрешения на присоединение к домену.
• Нажмите «Применить», а затем «ОК», чтобы закрыть окно «Свойства».

source: https://social.technet.microsoft.com/wiki/contents/articles/5446.active-directory-how-to-prevent-authenticated-users-from-joining-workstations-to-a-domain.aspx