iT邦幫忙

0

禁止加入網域

匿名 2011-06-12 10:26:296561 瀏覽

各位先進,大家好。
想請問一下,我要禁止員工將電腦加入公司網域,已設定GPO中的"將工作站加入網域", 把 Authentiated Users 群組改為 Domain Admins.但還是有在 computer OU中發現有一下未知的電腦物件加入網域。由安全性看出是由使用者A的帳號加網域的,查看A使用者帳號的群組,也只有domain user.還有什麼權限或設定,可以讓使用者將電腦加入網域?

8
alexlex
iT邦新手 4 級 ‧ 2011-06-14 10:09:18
最佳解答

參考http://support.microsoft.com/kb/243327
你可以把ms DS MachineAccountQuota改為0,這樣domain user就不能join domain,而domain admin不受這個限制

itjen iT邦新手 3 級 ‧ 2011-06-15 10:58:14 檢舉

試過以上方法.
不過,以本機的系統管理員Administrator,還是可以變更加入網域與否耶!?
是否要重開機?

另,是否是2000 / 2003Server才有此問題?
因2008 Server 查adsi編輯器內,並無ms DS MachineAccountQuota的設定!?

再請問,若公司AD Server有2003 / 2008, 是否需要每台皆需修改此設定值為0呢?
謝謝~

4
zcm
iT邦新手 1 級 ‧ 2011-06-13 15:40:45

有本機的系統管理員Administrator帳號或權限也可以加入網域呀!疑惑

匿名 檢舉

Dear zcm,

只有網域帳號才有權限將電腦加入網域。謝謝你的回應。

4
oowo
iT邦高手 1 級 ‧ 2011-06-16 11:17:37

是不是dc的administrator還是…具有相關權限的密碼被猜到了?
印像中…不具有網域ad權限的應該沒有辦法加入才對…(退出好象有本機就可以…有空做做實驗。

harrier7 iT邦研究生 2 級 ‧ 2011-06-20 15:52:45 檢舉

沒有網域管理員的權限,基本上無法加入,在加入時,就會被詢問權限了。
所以樓主應該是密碼外流、或是被猜到了。

我要發表回答

立即登入回答