Posted on

Chi può aggiungere una workstation al dominio Active Directory ?

A default tutti gli utenti di dominio hanno la capacità di aggiungere una workstation al dominio.

Limiti sul numero

Il limite a questa attività è che un qualsiasi utente può aggiungere un massimo di 10 workstation al dominio.

Impatto

Quando l’utente raggiunge il numero massimo di computer inseriti a dominio , riceve questo messaggio di errore

Chi ha aggiunto una workstation ad active directory ?

Per saper chi ha aggiunto una workstation ad active directory è suffico9enbte lanciare quiesto script ppowershell creato sulla base di questo articolo :

Using PowerShell to Discover Who Added a Client to Your Domain

Clear-Host

Write-Host "I'm writing ms-DS-MachineAccountQuota"

# List the current value of ms-DS-MachineAccountQuota
Get-ADDomain | 
Select-Object -ExpandProperty DistinguishedName | 
Get-ADObject -Properties 'ms-DS-MachineAccountQuota' | 
Select-Object -ExpandProperty ms-DS-MachineAccountQuota




Write-Host "Number clients in this environment"
Get-ADComputer -Filter * | Measure-Object | Select-Object -ExpandProperty Count
Write-Host "Number users in this environment"
Get-ADUser -Filter * | Measure-Object | Select-Object -ExpandProperty Count


Write-Host ""
Write-Host "Who did this?"
$Clients = Get-ADComputer -Properties ms-ds-CreatorSid, WhenCreated -Filter {ms-ds-creatorsid -ne "$Null"}
$Users = Get-ADUser -Filter *

ForEach ($C in $Clients)
{
ForEach ($U in $Users) 
{
If ($U.Sid -eq $C.'ms-ds-creatorsid')
{
$C | Select-Object -Property @{
Name = 'ComputerName'; Expression = {$C.Name}},
@{Name = 'WhenCreated'; Expression = {$C.WhenCreated.DateTime}},
@{Name = "UserName"; Expression = {$U.Name}
}
}
}
}

Modificare il limite del numero di workstation

E’ possibile modificare questo numero aumentandolo oppure portandolo a 0. Se si porta a 0, gli utenti dovranno avere particolari permessi per poter inserire un computer a dominio.

Per farlo, dal domain controller, lanciare il comando adsiedit.msc.

A sinistra posizionatevi sul nodo principale che comincia con “DC=…”. Tasto destro del mouse -> Proprietà . La chiave con il numero da modificare è MS-DS-MachineAccountQuota.

 

Limitare l’aggiunta di una workstation al dominio ad un gruppo

E’ possibile limitare ad un gruppo di utenti la capacità di aggiungere workstation al dominio , agendo direttamente sulle GPO

Computer Configuration → Windows Settings → Security Settings → Local Policies → User Rights Assignment

Cercare la voce “Add workstations to the domain” e modificatela per specificare solo gli utenti e gruppi che possono eseguire l’operazione di aggiunta.

Posted on

Active Directory : cambio ruoli server

In un ambiente windows server active directory nultiserver, può essere necessario spostare il ruoli da un server ad un altro.

Quale server ha i ruoli di Active Directory ?

Per scoprire quale server ha i ruoli di Active directory digitare il comando :

NETDOM QUERY FSMO

Trasferimento ruoli con riga di comando.

Aprire un prompt di Dos e digitare :

ntdsutil

poi

roles

poi

connections

poi

Connect to server ServerFQDN

Dove il server è il server a cui volete passare i ruoli

quit

A seconda dei ruoli che si vuole passare , digitare i seguenti comandi :

Ruolo Credenziali Comando
Master per la denominazione dei domini Amministratori Enterprise Seize naming master
Master schema Amministratori schema Seize schema master
master dell’infrastruttura Domain Admins Seize infrastructure master
Master per l’emulatore PDC Domain Admins Seize pdc
master RID Domain Admins Seize rid master