В предыдущей статье «Запрет на ввод в домен компьютера с существующим именем» мы рассмотрели вопрос как реализовать эту задачу средствами GPO, какой от этого мы получим профит и чем это может грозить нашей сети в плане безопасности.
На ряду с предыдущим методом существует еще один вариант решения — это использование делегирования прав на объект с Запретом на сброс пароля учетной записи объекта компьютер. Предположим вы уже делегировали группе ответственной за заведение компьютеров в домен (example\HelpDesk) права на создание объекта компьютер в определенной OU, например DESCTOPS
Исходя из списка прав мы видим, что нашей группе: example\HelpDesk предоставлены полные права на управление объектами в OU DESCTOPS. Создадим новый элемент разрешения с типом Запрет для этого откроем дополнительные свойства на закладке Безопасность свойств организационной единицы DESCTOPS и в окне Дополнительные параметры безопасности нажмем кнопку Добавить. Введем имя нашей группы и нажмем клавишу Проверить.
В окне Элемент разрешения для DESCTOPS применим этот объект к дочернему объекту Компьютер
В окне Разрешения поставим галочку Запретить сброс пароля
Вот таким не хитрым способом мы запретили группе HelpDesk заводить в домен компьютеры с существующим именем.