Per impostazione predefinita, è da Windows Server 2000 che Microsoft consente agli utenti autenticati di aggiungere fino a 10 account computer al dominio di AD.

Gli utenti seguenti non sono limitati da questa impostazione:

  • Utenti dei gruppi Administrators o Domain Administrators.
  • Utenti che dispongono di autorizzazioni delegate per i contenitori in Active Directory per creare ed eliminare account computer.

Per verificare  il limite di account che ogni utente può creare è definito nell’oggetto dominio, eseguire il seguente comando:

get-addomain | select -exp DistinguishedName | get-adobject -prop 'ms-DS-MachineAccountQuota' | select -exp ms-DS-MachineAccountQuota

image

Considerazioni di sicurezza

Il diritto di un utente a poter aggiungere workstation al dominio presenta però una vulnerabilità da valutare attentamente. Infatti gli utenti con questo diritto potrebbero aggiungere un dispositivo al dominio configurato in modo da violare i criteri di sicurezza dell’organizzazione. Ad esempio, se l’organizzazione non desidera che i propri utenti di disporre di privilegi amministrativi sui propri dispositivi, gli utenti possono installare Windows nei propri computer e quindi aggiungere i computer al dominio. L’utente conosce la password per l’account amministratore locale, può accedere con tale account e quindi aggiungere un account di dominio personale al gruppo Administrators locale.

Soluzioni

Una prima soluzione può essere quella di andare a configurare una GPO al fine di limitare l’aggiunta di computer al dominio solamente ad un gruppo o un utente specifico, nel mio esempio solo ai domain Admin.

Accedere al controller di dominio e avviare la console Group Policy Management. Fare clic con il pulsante destro del mouse su Default Domain Group policy e scegliere Edit.

image

In Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment. espandere User Rights Assignment. Sul lato destro fare doppio clic su Add workstations to Domain.

image

‎Selezionare la casella Define these policy settings. Click Add User or Group e selezionare l’utente o il gruppo. Fare clic su Apply e infine su OK.

image

Gli utenti possono inoltre aggiungere un computer a un dominio se dispongono dell’autorizzazione Crea oggetti computer per un’unità organizzativa o per il contenitore Computer nella directory. Gli utenti a cui è assegnata questa autorizzazione possono aggiungere un numero illimitato di dispositivi al dominio indipendentemente dal fatto che dispongono del diritto utente Aggiungi workstation al dominio. Se un utente dispone delle autorizzazioni per il contenitore e dispone anche del diritto utente Aggiungi workstation al dominio, il dispositivo viene aggiunto in base alle autorizzazioni del contenitore del computer anziché al diritto utente. Qualsiasi modifica all’assegnazione dei diritti utente per un account diventa effettiva al successivo accesso del proprietario dell’account.

Un metodo alternativo è quello di andare a modificare l’attributo ms-DS-MachineAccountQuota con Adsiedit.  Attenersi a questa procedura:

  1. Eseguire Adsiedit.msc come amministratore del dominio. Espandere il nodo Domain NC. Questo nodo contiene un oggetto che inizia con “DC=” e riflette il nome di dominio corretto. Fare clic con il pulsante destro del mouse sull’oggetto e quindi scegliere Proprietà.
  2. Nella casella Selezionare le proprietà da visualizzare selezionare Entrambe. Nella casella Selezionare una proprietà da visualizzare selezionare ms-DS-MachineAccountQuota.
  3. Nella casella Modifica attributo digitare il numero di workstation che si desidera consentire agli utenti di gestire contemporaneamente.
  4. Selezionare Imposta > OK.

Se si vuole calcolare il numero di workstation attualmente di proprietà di un utente, controllare l’attributo ms-DS-CreatorSID degli account computer.

Limitare l’aggiunta di workstation che un utente può aggiungere al dominio
Sharing post