A default tutti gli utenti di dominio hanno la capacità di aggiungere una workstation al dominio.
Limiti sul numero
Il limite a questa attività è che un qualsiasi utente può aggiungere un massimo di 10 workstation al dominio.
Impatto
Quando l’utente raggiunge il numero massimo di computer inseriti a dominio , riceve questo messaggio di errore
Chi ha aggiunto una workstation ad active directory ?
Per saper chi ha aggiunto una workstation ad active directory è suffico9enbte lanciare quiesto script ppowershell creato sulla base di questo articolo :
Using PowerShell to Discover Who Added a Client to Your Domain
Clear-Host Write-Host "I'm writing ms-DS-MachineAccountQuota" # List the current value of ms-DS-MachineAccountQuota Get-ADDomain | Select-Object -ExpandProperty DistinguishedName | Get-ADObject -Properties 'ms-DS-MachineAccountQuota' | Select-Object -ExpandProperty ms-DS-MachineAccountQuota Write-Host "Number clients in this environment" Get-ADComputer -Filter * | Measure-Object | Select-Object -ExpandProperty Count Write-Host "Number users in this environment" Get-ADUser -Filter * | Measure-Object | Select-Object -ExpandProperty Count Write-Host "" Write-Host "Who did this?" $Clients = Get-ADComputer -Properties ms-ds-CreatorSid, WhenCreated -Filter {ms-ds-creatorsid -ne "$Null"} $Users = Get-ADUser -Filter * ForEach ($C in $Clients) { ForEach ($U in $Users) { If ($U.Sid -eq $C.'ms-ds-creatorsid') { $C | Select-Object -Property @{ Name = 'ComputerName'; Expression = {$C.Name}}, @{Name = 'WhenCreated'; Expression = {$C.WhenCreated.DateTime}}, @{Name = "UserName"; Expression = {$U.Name} } } } }
Modificare il limite del numero di workstation
E’ possibile modificare questo numero aumentandolo oppure portandolo a 0. Se si porta a 0, gli utenti dovranno avere particolari permessi per poter inserire un computer a dominio.
Per farlo, dal domain controller, lanciare il comando adsiedit.msc.
A sinistra posizionatevi sul nodo principale che comincia con “DC=…”. Tasto destro del mouse -> Proprietà . La chiave con il numero da modificare è MS-DS-MachineAccountQuota.
Limitare l’aggiunta di una workstation al dominio ad un gruppo
E’ possibile limitare ad un gruppo di utenti la capacità di aggiungere workstation al dominio , agendo direttamente sulle GPO
Computer Configuration → Windows Settings → Security Settings → Local Policies → User Rights Assignment
Cercare la voce “Add workstations to the domain” e modificatela per specificare solo gli utenti e gruppi che possono eseguire l’operazione di aggiunta.