我想知道是否有人可以从安全的角度帮助我解决两个最关键的情况。
1) 首先,我们可以在域中设计一个 ADS,以便只有选定的和预定义的计算机名称可以加入域。无论用户权限如何,其他所有计算机名称都不应被允许加入域。
2) 其次,如果以某种方式(错误或故意)使用预定义名称以外的计算机名称加入域,则在这种情况下,登录域后,用户应该会收到弹出警告,要求将计算机名称更改为其原始预定义名称,否则他不应该被允许使用 ADS 资源。
有谁实施过此类解决方案吗?如果是,请为我建议实施此类解决方案所需的步骤和配置...
谢谢您的问候
答案1
在组策略中,有一个Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment名为“将工作站添加到域”的设置。
默认情况下,它被设置为Authenticated Users(即任何具有有效用户名和密码的人)。
正如你所观察到的,在许多环境中,允许任何人将设备添加到域将产生不良后果,包括命名不一致和未经授权的设备。
如果您希望限制将工作站加入域的能力,请考虑将此用户权限分配给由适当的管理员和/或经理组成的指定组。