В предыдущей статье «Запрет на ввод в домен компьютера с существующим именем» мы рассмотрели вопрос как реализовать эту задачу средствами GPO, какой от этого мы получим профит и чем это может грозить нашей сети в плане безопасности.

На ряду с предыдущим методом существует еще один вариант решения — это использование делегирования прав на объект с Запретом на сброс пароля учетной записи объекта компьютер. Предположим вы уже делегировали группе ответственной за заведение компьютеров  в домен (example\HelpDesk) права на создание объекта компьютер в определенной OU, например DESCTOPS

Исходя из списка прав мы видим, что нашей группе:  example\HelpDesk предоставлены полные права на управление объектами в OU DESCTOPS. Создадим новый элемент разрешения с типом Запрет для этого откроем дополнительные свойства на закладке Безопасность свойств организационной единицы DESCTOPS и в окне Дополнительные параметры безопасности нажмем кнопку Добавить. Введем имя нашей группы и нажмем клавишу Проверить. 

В окне Элемент разрешения для DESCTOPS применим этот объект к дочернему объекту Компьютер

В окне Разрешения поставим галочку Запретить сброс пароля

Вот таким не хитрым способом мы запретили группе HelpDesk заводить в домен компьютеры с существующим именем.