Cela me semble très improbable, mais juste pour être sûr: un membre des «utilisateurs du domaine» peut-il joindre un ordinateur au domaine (à condition qu'il ait le compte d'administrateur local)?
L'instructeur l'a dit et cela semble très faux. Je l'ai testé et j'ai obtenu «Accès refusé» lorsque j'ai essayé de fournir les informations d'identification d'un utilisateur régulier. Est-ce que j'ai râté quelque chose?
Mise à jour: vous obtenez un accès refusé si vous disposez déjà d' un ordinateur portant ce nom dans AD. Si vous supprimez le compte, tout utilisateur possédant un compte Administrateur local pourrait rejoindre l'ordinateur, créant automatiquement un compte dans AD. INCROYABLE.
Réponses:
Oui, ils peuvent joindre jusqu'à 10 ordinateurs par défaut.
Vous pouvez soit révoquer ce droit, à l'aide de la stratégie de groupe, soit modifier le nombre maximal de jointures autorisées.
la source
Si cela vous inquiète, il est tout à fait possible de modifier l'emplacement par défaut où de nouveaux objets informatiques sont créés. Définissez l'objet de stratégie de groupe sur cet emplacement pour qu'il soit très restrictif, comme la désactivation du compte d'administrateur local, et ce faisant, les utilisateurs se retrouvent avec un poste de travail beaucoup plus verrouillé qu'au départ. Tout à fait dissuasif.
Le point de vue de Microsoft à ce sujet est que l'utilisateur accepte vos stratégies de sécurité et de domaine en ayant la possibilité de joindre des machines au domaine.
la source
Vous pouvez également surveiller qui a ajouté des machines à votre domaine, puis casser les jointures après coup si elles se comportent mal.
Cela dépend de vos politiques internes - nous avons une très petite boutique, mais les développeurs sont interdits (par la parole de Dieu, pas les GPO) d'ajouter des machines au domaine.
la source