我想知道天气有人可以从安全angular度帮助我两个最关键的情况。
1)首先我们可以在域中devise一个ADS,这样只有选定和预定义的计算机名才能join域。 所有其他计算机名称不应该被允许join域而不pipe用户权限。
2)其次,如果以某种方式(错误或故意)预定义名称以外的计算机名称能够join域,那么在这种情况下,login到域后,用户应该popup警告,将计算机名称更改为其原始预定义名称,否则他不应该被允许使用ADS资源..
任何人都可以实施这样的解决scheme。 如果是,那么请build议我采取相同的步骤和configuration…
感谢你的问候
在组策略中,在Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment名为“将工作站添加到域”的设置。
默认情况下,它被设置为Authenticated Users (即具有有效用户名和密码的任何人)。
正如您所观察到的,在许多环境中,允许任何人将设备添加到域会产生不良后果,包括命名不一致和未授权的设备。
如果您希望限制将工作站join域的能力,请考虑将此用户权限分配给由适当的pipe理员和/或经理组成的指定组。