Qui peut ajouter un ordinateur dans un domaine AD ?

Vous connaissez la réponse ?

Beaucoup serait étonnés de la vrai réponse !

Les administrateurs du domaine bien sûr ! Oui, mais pas seulement. Faites un test, essayez d’ajouter un PC au domaine avec un compte utilisateur standard.

Les utilisateurs authentifiés, par défaut, ont également la possibilité de réaliser cette action. C’est la stratégie de groupe des contrôleurs de domaine par défaut qui en est la cause.

Ceci peut vite devenir une faille de sécurité. Et ceci existe depuis Windows server 2000 !

Le nombre maximum d’intégrations d’ordinateurs dans le domaine d’un utilisateur par défaut est de 10. Pour interdire l’intégration d’ordinateur dans le domaine par un utilisateur, il faut modifier une GPO. Ouvrez votre console “Gestion de stratégie de groupe” et éditez votre stratégie qui s’applique au contrôleur de domaine.

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateurs > Ajouter des stations de travail au domaine

 

utilisateurs_domain

Toutefois ceci ne suffit pas. Le nombre de PC’s ajoutés au domaine par utilisateur est par défaut limité à 10 ! Il faut donc le passer à 0 si on veut bloquer tout jonction au domaine faite avec un compte utilisateur.

Pour modifier le nombre d’ordinateur qu’un utilisateur peut ajouter au domaine, il faut modifier l’attribut “ms-DS-MachineAccountQuota”. Ouvrez votre console ADSI, sélectionnez votre racine du domaine puis cliquez sur Propriétés. Cherchez l’attribut puis modifiez le nombre.

Pour ouvrir la console ADSI :

Démarrer > Exécuter > adsiedit.msc > OK

Après avoir sélectionné la racine du domaine puis Propriétés. Cherchez l’attribut “ms-DS-MachineAccountQuota” comme ci dessous.

ms-ds-machineaccountquota1

A savoir aussi que la limite n’est pas de 10 tentatives d’ajout de machines (réussites ou échouées), mais bien de 10 comptes machines (toujours) présents au niveau du domaine.

_____________________

 

A bientôt sur bidouilleit.wordpress.com !

– Bruno Sousa –

 

Partagez...Share on FacebookTweet about this on TwitterShare on Google+Email this to someoneDigg thisShare on StumbleUponShare on LinkedInPin on PinterestPrint this page

2 réponses

  1. I truly enjoy looking at on this web site , it contains superb blog posts. Heavierthanair flying machines are impossible. by Lord Kelvin. acbecbfafbfd

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *