При добавлении компьютера в домен AD необходимо его предварительное размещение (создание учетной записи компьютера в AD). Это обусловлено некоторыми аспектами безопасности.При присоединении компьютера к домену без его предварительного размещения, учетная запись компьютера создается в контейнере по умолчанию (Computers). Этот контейнер уступает по возможностям организационному подразделению и соответственно к компьютеру, включенному в этот контейнер не будут применяться объекты групповой политики, скрипты входа и выхода. Чтобы сменить контейнер по умолчанию, необходимо выполнить команду redircmp “DN_подразделения для новых объектов компьютеров” (например так redircmp ou=newcomputerou,dc=domainname,dc=com). Тогда новые компьютеры по умолчанию будут создаваться в указанном подразделении.Если учетная запись компьютера не была размещена предварительно, то Windows позволяет любому, прошедшему проверку подлинности создать объект компьютера в контейнере по умолчанию. Это является брешью в безопасности. По умолчанию любому, прошедшему проверку подлинности, разрешено создать до 10 компьютеров. Эти данные указаны в атрибуте ms-DS-MachineAccountQuota домена. Рекомендуется установить значение 0. После присвоения этому атрибуту значения 0 присоединять компьютеры к домену смогут только те пользователи, которым явным образом делегированы разрешения на присоединение к предварительно размещенным объектам компьютеров или создание новых компьютеров.
comments powered by Disqus