Das klingt für mich sehr unwahrscheinlich, aber nur um sicherzugehen: Kann ein Mitglied von 'Domänenbenutzern' einen Computer mit der Domäne verbinden (vorausgesetzt, er hat das lokale Administratorkonto)?
Der Ausbilder hat es gesagt und es klingt sehr falsch. Ich habe es getestet und habe den Zugriff verweigert, als ich versuchte, die Anmeldeinformationen eines regulären Benutzers anzugeben. Vermisse ich hier etwas?
Update: Sie erhalten Zugriff verweigert, wenn Sie bereits einen Computer mit diesem Namen in AD haben. Wenn Sie das Konto löschen, kann jeder Benutzer mit lokalem Administratorkonto dem Computer beitreten und automatisch ein Konto in AD erstellen. NICHT ZU FASSEN.
Antworten:
Ja, sie können standardmäßig bis zu 10 Computer verbinden .
Sie können dieses Recht entweder mithilfe von Gruppenrichtlinien widerrufen oder die maximal zulässige Anzahl von Verknüpfungen ändern.
quelle
Wenn dies ein Problem für Sie ist, ist es durchaus möglich, den Standardspeicherort zu ändern, an dem neue Computerobjekte erstellt werden. Stellen Sie das Gruppenrichtlinienobjekt an diesem Speicherort so ein, dass es sehr restriktiv ist, z. B. das lokale Administratorkonto zu deaktivieren. Auf diese Weise erhalten Benutzer eine viel gesperrtere Workstation als ursprünglich. Ziemlich abschreckend.
Nach Ansicht von Microsoft entscheidet sich der Benutzer für Ihre Sicherheits- und Domänenrichtlinien, indem er Computer mit der Domäne verbinden kann.
quelle
Sie können auch überwachen, wer Ihrer Domain Computer hinzugefügt hat, und anschließend die Knöchel brechen, wenn sie sich schlecht verhalten.
Hängt davon ab, wie Ihre internen Richtlinien lauten - wir haben einen sehr kleinen Shop, aber Entwicklern ist es (nach Gottes Wort, nicht nach Gruppenrichtlinienobjekten) untersagt, Computer zur Domäne hinzuzufügen.
quelle