Active Directory: как запретить пользователям, прошедшим проверку подлинности, присоединяться к рабочим станциям в домене

Администратор может управлять им двумя способами

1. Путем изменения атрибута ms-DS-MachineAccountQuota

  • Откройте консоль интерфейса служб Active Directory (редактирование ADSI) (Пуск > Выполнить > adsiedit.msc)
  • Щелкните правой кнопкой мыши ADSI Edit и выберите Подключиться к…
  • Выберите «Контекст именования по умолчанию» в раскрывающемся меню известного контекста именования.
  • Щелкните правой кнопкой мыши доменное имя и выберите «Свойства».
  • На вкладке редактора атрибутов прокрутите вниз до   ms-DS-MachineAccountQuota. 
  • Нажмите «Изменить ms-DS-MachineAccountQuota» и установите значение 0. Нажмите «ОК», чтобы выйти.

Прыгать

Прыгать

Прыгать

Примечание:

Это ограничение не ограничивает пользователей в группах «Администраторы» или «Администраторы домена», а также тех пользователей, которым делегированы разрешения на контейнеры в Active Directory для создания и удаления учетных записей компьютеров.

2. Политика контроллеров домена по умолчанию

  • Откройте Консоль управления групповыми политиками (Пуск > Выполнить > gpmc.msc).
  • Найдите подразделение «Контроллеры домена» и найдите «Политику контроллеров домена по умолчанию».
  • Изменить политику контроллеров домена по умолчанию.
  • Разверните «Конфигурация компьютера» — «Политики» — «Параметры Windows» — «Параметры безопасности» — «Назначение прав пользователя».
  • На правой панели щелкните правой кнопкой мыши Добавить рабочие станции в домен — Свойства — Удалить прошедших проверку пользователей и добавить пользователя или группу, которым вы делегируете разрешения на присоединение к домену.
  • Нажмите «Применить», а затем «ОК», чтобы закрыть окно «Свойства».

Прыгать

Pic06

source: https://social.technet.microsoft.com/wiki/contents/articles/5446.active-directory-how-to-prevent-authenticated-users-from-joining-workstations-to-a-domain.aspx