这听起来对我来说不太可能,但只是要确保:“域用户”的成员可以join到域的计算机(授予他有本地pipe理员帐户)?
教练说,这听起来很不对劲。 我testing了它,当我尝试提供常规用户凭据时,我得到了“拒绝访问”。 我在这里错过了什么?
更新:如果您已在AD中拥有具有该名称的计算机,您将获得拒绝访问权限。 如果您删除该帐户,则具有本地pipe理员帐户的任何用户都可以join该计算机,在AD中自动创build一个帐户。 难以置信的。
是的,他们可能默认join10台电脑 。
您可以使用组策略撤销此权限,也可以更改允许的最大连接数。
如果这是您所关心的问题,则可以更改创build新计算机对象的默认位置。 将该位置上的GPO设置为非常严格,例如禁用本地pipe理员帐户,这样用户最终将拥有比他们开始时更加locking的工作站。 相当不利的一面。
微软对此的看法是,用户可以通过将机器join到域中来select安全和域策略。
您也可以监控谁已经将机器添加到您的域名,然后如果他们行为不当,则会在指定的时间后closures。
取决于你的内部政策是什么 – 我们有一个非常小的商店,但Devs禁止(通过上帝的话,而不是GPO)将机器添加到域。