Kedengarannya sangat tidak mungkin bagi saya, tetapi hanya untuk memastikan: Dapatkah seorang anggota 'Pengguna Domain' bergabung dengan komputer ke domain tersebut (dengan ketentuan bahwa ia memiliki akun administrator lokal)?
Instruktur mengatakannya, dan itu terdengar sangat salah. Saya mengujinya dan saya mendapat 'Akses ditolak' ketika saya mencoba untuk memberikan kredensial pengguna biasa. Apakah saya melewatkan sesuatu di sini?
Pembaruan: Anda mendapatkan Akses Ditolak jika Anda sudah memiliki komputer dengan nama itu dalam AD. Jika Anda menghapus akun, setiap pengguna dengan akun Administrator lokal dapat bergabung dengan komputer, secara otomatis membuat akun dalam AD. LUAR BIASA.
windows-server-2003
domain
Dekan
sumber
sumber
Jawaban:
Ya, mereka dapat bergabung hingga 10 komputer secara default.
Anda dapat mencabut hak ini, menggunakan Kebijakan Grup, atau mengubah jumlah maksimum yang diizinkan bergabung.
sumber
Jika ini mengkhawatirkan Anda, sangat mungkin untuk mengubah lokasi default tempat objek komputer baru dibuat. Atur GPO di lokasi itu menjadi sangat ketat, seperti menonaktifkan akun Administrator lokal, dan dengan melakukan itu pengguna berakhir dengan workstation yang jauh lebih terkunci daripada yang mereka mulai. Cukup disinsentif.
Pandangan Microsoft tentang hal ini adalah bahwa pengguna memilih ke dalam kebijakan keamanan dan domain Anda dengan memiliki kemampuan untuk bergabung dengan mesin ke domain.
sumber
Anda juga dapat memantau siapa yang telah menambahkan mesin ke domain Anda dan kemudian mematahkan buku-buku jari setelah fakta jika mereka melakukan kesalahan.
Tergantung apa kebijakan internal Anda - kami memiliki toko yang sangat kecil tetapi Pengembang dilarang (menurut firman Tuhan, bukan GPO) menambahkan mesin ke domain.
sumber