Запрет на ввод в домен компьютера с существующим именем

Потенциально в домене Active Directory существует потенциальная дыра в безопасности. Суть ее в том, что по умолчанию каждый пользователь не обладающий правами администратора может ввести в домен до 10 персональных устройств. С одной стороны это удобно, так как избавляет администратора домена или группу технической поддержки от необходимости каждый раз лично осуществлять ввод компьютеров в домен Active Directory , но несет в себе угрозу неосознанных, а местами целенаправленных деструктивных действий.

В чем же заключается проблема? Предположим что в домене имеется какое-то количество ПК отвечающих определенным требованиям в именовании объекта «компьютер», пользователь по не знанию или специально присваивает своему компьютеру уже существующее имя и осуществляет его ввод в домен. В процессе добавления компьютера с уже существующим именем происходит так называемый «сброс пароля учетной записи компьютера», иными словами старый компьютер с таким же именем уже не может войти в домен и сообщает при попытке ввода логина пароля:

«Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

Нарушены доверительные отношения с доменом

Для исключения повторного добавление компьютера в домен с уже существующим именем, необходимо установить жесткий запрет на «сброс пароля» для объектов «компьютер». Данная процедура не помешает создавать новые объекты «компьютер», но предотвратит несанкционированную замену старых.

Данная задача реализуется через объект групповой политики:

Член домена: отключить изменение пароля учетных записей компьютера

расположенный: Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности

переводом выше обозначенной GPO в состояние Включено.

Член домена отключить изменение пароля учетных записей компьютера

Данная GPO настраивает периодическое изменение пароля учетной записи компьютера члена домена.

  • При включении этого параметра член домена не пытается изменить пароль учетной записи компьютера. каждые 30 дней, а использует в своих транзакциях постоянный пароль полученный при создании объекта компьютер в домене Active Directory
  • Если этот параметр отключен, член домена пытается изменить пароль учетной записи компьютера согласно значению параметра «Член домена: максимальный срок действия пароля учетной записи компьютера», имеющего по умолчанию значение «каждые 30 дней».

По умолчанию данная GPO отключена.

При использовании данной GPO необходимо помнить, что пароли учетных записей компьютеров используются для настройки безопасных каналов связи между членами домена и контроллерами домена, а также между самими контроллерами внутри домена. После установки связи безопасный, защищенный канал используется для передачи конфиденциальных данных, необходимых для выполнения проверки подлинности и авторизации.

Запрет на ввод в домен компьютера с существующим именем: 2 комментария

  1. Константин

    Что курил автор во время ваяния сего опуса???

    «пользователь не обладающий правами администратора может ввести в домен до 10 персональных устройств.»
    Спрашивается!!! Каким млять образом, пользователь с правами только Чтение в домене может внести изменение в нем????

    По поводу
    «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

    Давно уже известно почему такое происходит.
    Если во время работы дернуть питание компа, и потом во время загрузки прошляпить момент когда система предложит восстановиться, а админ забыл отключить сею фичу мелкомягких, то система откатится совсем чуть чуть, и в это время сменится ID системы, которое примерно раз в месяц меняется, и тогда вылезет этот косяк.
    Решается простым отключением восстановления системы при перезагрузке.

    И да, в эти сказки выше верят хомячки и мнят себя богами.

  2. Максим

    1. Любой пользователь домена имеет право ввести 10 компьютеров в домен, это дефолтная политика MS, если администратор ее не урезает специально.
    2. По поводу «Не удалось установить доверительные отношения» — в статье написано все правильно, в описанном Вами случае происходит тоже самое, откатывается пароль учетки компьютера. И что Вы подразумеваете под ID системы? Есть SID идентификаторы.

    Судя по всему, хомячок тут Вы, Константин.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *