Microsoft предупредила о багах Active Directory, с которыми возможен захват домена Windows / Комментарии / Хабр

IDDQDesnik 21 дек 2021 в 16:22

По-умолчнанию "Администраторы домена" имеют право вводить неограниченное число компьютеров, все остальные ограничены 10.

Как предотвратить ситуацию из статьи:

Открыть "Пользователи и компьютеры Active Directory";
в меню Вид включить "Дополнительные компоненты";
открыть свойства домена, на вкладке "Редактор атрибутов" найти "ms-DS-MachineAccountQuota" и установить в 0.
Этим мы запретим неадминистраторам домена присоединять компьютеры к домену.
(Опционально) Если неободимо избранным группе/пользователям дать право на присоединение компьютеров к домену:
Открыть "Управление групповой политикой";
Измененить в корне домена существующую политику, либо создать и связать новую:
Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Предоставление прав пользователям
в параметре "Добавление рабочих станций к домену" выбрать необходиых пользователей/группы.
Для данных учетных записей ограничение на количество присоединенных компьютеров полностью снимается.

Комментарии 3

Mur81 21 дек 2021 в 17:11

Никогда не понимал зачем вообще рядовому пользователю иметь возможность добавлять машины в домен. Если такая надобность вдруг возникнет, то администратор мог бы дать такую привилегию осознанно при помощи GPO. Но нет же — это дефолтная настройка [facepalm]. И надо наоборот — отключать эту возможность руками в GPO. Но для этого нужно ещё об этом знать.

variantolog 17 янв 2022 в 10:51

Спасибо! Побежал проверять настройки...

Зарегистрируйтесь на Хабре, чтобы оставить комментарий