Блог did5.ru

В рамках оптимизации нагрузки на тех.поддержку на предприятии принято решение о делегирование некоторых обязанностей на доверенных пользователей (далее по тексту — уполномоченных). Одной из таких задач будет добавление и удаление компьютеров в домене Active Directory.

По умолчанию, если особо не менять стандартные политики безопасности домена, то рядовой пользователь без проблем сможет добавить компьютер в домен корпоративной сети. Но есть небольшое ограничение, он сможет добавить только 10 компьютеров. Если эта квота будет превышена, пользователь получит сообщение об ошибке:

«Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.»

«Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.»

Бывают случаи, что пользователю удается обойти это ограничение и количество компьютеров, которых он добавил в домен, уже перевалило за несколько десятков. Магии тут никакой нет, просто нужно понять принцип действия этого ограничения. Илья Сазонов в своем блоге очень внятно об этом рассказал:

Оказывается, в учетной записи компьютера есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя создавшего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер к домену, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то новая учетная запись компьютера создается, иначе появляется выше приведенная ошибка.

Стало ясно, что если пользователь добавляет компьютеры в домен, т.е. создает учетные записи компьютеров в Active Directory, а доменный администратор их после этого удаляет, то этот юзер может и не ощутить наличие этой квоты.

Для решения поставленной задачи такой способ не подходит, т.к. из-за большого количества рабочих станций очень скоро уполномоченные столкнуться с превышением лимита.

Microsoft рекомендует про 3 способа решения:

1. Предварительно создавать учетную запись компьютера
2. Предоставить пользователю разрешение на добавление компьютеров в домен
3. Увеличение квоты

Из этих вариантов для решения моей задачи подходит только второй. Прикинув все за и против решил внедрять.

1. Создал отдельную группу для уполномоченных в AD – Add_PC_in_Domen.

2. В окне оснастки «Active Directory — пользователи и компьютеры», в меню Вид выберал команду Дополнительные функции так, чтобы при нажатии кнопки Свойства была видна вкладка Безопасность.

3. Перешел в Свойства контейнера Компьютеры, вкладка Безопасность — Дополнительно. Добавил в список разрешения новую группу Add_PC_in_Domen, в списке разрешений для этой группы поставил две галки — Создание объектов компьютера и Удаление объектов компьютера.

Осталось добавить доверенных пользователей в группу. Члены этой группу теперь смогут беспрепятственно добавлять компьютеры в домен.

Как запретить пользователям добавлять компьютеры в домен

Нужно группе Прошедшие проверку поставить явный запрет на Создание объектов компьютера, как показано на скриншоте