Posted on

Chi può aggiungere una workstation al dominio Active Directory ?

A default tutti gli utenti di dominio hanno la capacità di aggiungere una workstation al dominio.

Limiti sul numero

Il limite a questa attività è che un qualsiasi utente può aggiungere un massimo di 10 workstation al dominio.

Impatto

Quando l’utente raggiunge il numero massimo di computer inseriti a dominio , riceve questo messaggio di errore

Chi ha aggiunto una workstation ad active directory ?

Per saper chi ha aggiunto una workstation ad active directory è suffico9enbte lanciare quiesto script ppowershell creato sulla base di questo articolo :

Using PowerShell to Discover Who Added a Client to Your Domain

Clear-Host

Write-Host "I'm writing ms-DS-MachineAccountQuota"

# List the current value of ms-DS-MachineAccountQuota
Get-ADDomain | 
Select-Object -ExpandProperty DistinguishedName | 
Get-ADObject -Properties 'ms-DS-MachineAccountQuota' | 
Select-Object -ExpandProperty ms-DS-MachineAccountQuota




Write-Host "Number clients in this environment"
Get-ADComputer -Filter * | Measure-Object | Select-Object -ExpandProperty Count
Write-Host "Number users in this environment"
Get-ADUser -Filter * | Measure-Object | Select-Object -ExpandProperty Count


Write-Host ""
Write-Host "Who did this?"
$Clients = Get-ADComputer -Properties ms-ds-CreatorSid, WhenCreated -Filter {ms-ds-creatorsid -ne "$Null"}
$Users = Get-ADUser -Filter *

ForEach ($C in $Clients)
{
ForEach ($U in $Users) 
{
If ($U.Sid -eq $C.'ms-ds-creatorsid')
{
$C | Select-Object -Property @{
Name = 'ComputerName'; Expression = {$C.Name}},
@{Name = 'WhenCreated'; Expression = {$C.WhenCreated.DateTime}},
@{Name = "UserName"; Expression = {$U.Name}
}
}
}
}

Modificare il limite del numero di workstation

E’ possibile modificare questo numero aumentandolo oppure portandolo a 0. Se si porta a 0, gli utenti dovranno avere particolari permessi per poter inserire un computer a dominio.

Per farlo, dal domain controller, lanciare il comando adsiedit.msc.

A sinistra posizionatevi sul nodo principale che comincia con “DC=…”. Tasto destro del mouse -> Proprietà . La chiave con il numero da modificare è MS-DS-MachineAccountQuota.

 

Limitare l’aggiunta di una workstation al dominio ad un gruppo

E’ possibile limitare ad un gruppo di utenti la capacità di aggiungere workstation al dominio , agendo direttamente sulle GPO

Computer Configuration → Windows Settings → Security Settings → Local Policies → User Rights Assignment

Cercare la voce “Add workstations to the domain” e modificatela per specificare solo gli utenti e gruppi che possono eseguire l’operazione di aggiunta.