Ограничить количество ввода компьютеров в домен

Как было описано ранее, каждый пользователь домена, может ввести в домен до 10 компьютеров и устройств. К чему это может привести описывалось в статье «Запрет на ввод в домен компьютера с существующим именем» Для полного запрета этой возможности можно необходимо изменить атрибут ms-DS-CreatorSID. Для изменения атрибута нам понадобиться утилита редактирования ADSI.

Предупреждение

Следует помнить что использование утилиты редактирования ADSI при не правильном использовании может привести к необратимым последствиям. Microsoft не может гарантировать, что проблемы возникшие из-за использования утилиты могут быть решены в дальнейшем.

И так приступим. Запустим утилиту редактирования ADSI в качестве администратора домена. Развернем узел домена, он имеет вид DC=xxxx,DC=xx

Редактирования ADSI

и щелкнем по нему правой кнопкой мыши, а затем выберем Свойства

Редактирования ADSI свойства домена

Нажмем кнопку Фильтр и поставим галочку Отображать только атрибуты, доступные для записи

Редактирования ADSI фильтр

В списке атрибутов найдем ms-DS-CreatorSID

Редактирования ADSI ms-DS-CreatorSID

Как мы видим у атрибута ms-DS-CreatorSID стоит значение 10, это значит что каждый пользователь домена может завести  10 рабочих станций, если вы не ограничили это иным способом, например через GPO.

Для изменения значения используем левую кнопку мыши и введем нужное нам значение. Для полного запрета измените атрибут на 0

Редактирования ADSI ms-DS-CreatorSID 0

Нажимаем ОК и закрываем консоль редактирования ADSI.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *