在我看来这听起来不太可能,但只是为了确定:“域用户”的成员可以将计算机加入域吗(假设他拥有本地管理员帐户)?
讲师说了,但听起来很不对。我测试了一下,当我尝试提供普通用户凭证时,出现了“拒绝访问”的错误。我是不是漏掉了什么?
更新: 如果你已经有AD 中具有该名称的计算机。如果您删除该帐户,则任何具有该名称的用户当地的管理员帐户可以加入计算机,并在 AD 中自动创建一个帐户。难以置信。
答案1
是的,可以最多可连接 10 台计算机默认情况下。
您可以使用组策略撤销此权利,或者更改允许的最大加入数量。
答案2
如果您对此感到担忧,则完全可以更改创建新计算机对象的默认位置。将该位置的 GPO 设置为非常严格的限制,例如禁用本地管理员帐户,这样做会导致用户最终得到比开始时更加锁定的工作站。这非常令人沮丧。
微软对此的看法是,用户选择加入通过将机器加入域来改进您的安全和域策略。
答案3
您还可以监视谁将机器添加到了您的域中,然后在他们行为不当之后采取严厉措施。
取决于您的内部政策是什么 - 我们的商店很小,但开发人员被禁止(根据上帝的旨意,而不是 GPO)将机器添加到域中。