Esta nota tiene como fin cumplir con dos objetivos diferentes, uno relativo a seguridad, y otro a delegación de una tarea que normalmente quiere reservarse a sólo los administradores
Vamos la primera ¿Sabe que un usuario normal puede unir máquinas al Dominio? Sí, puede, hasta 10 máquinas puede unir al Dominio, lo cual puede traer incontables problemas, desde la instalación automática de aplicaciones hasta Escritorio Remoto, en ambos casos con consumos de licencias. Y aún sin tener en cuenta que de esta máquina seguramente es administrador local, y lo que puede provocar en la red
Y la segunda, es que a veces los administradores, ahora sí, quieren delegar que algún grupo de usuarios pueda unir una cantidad determinada de máquinas al Dominio, pero no 10, seguramente querrán otro número, esto también lo podemos solucionar fácilmente
Primero veamos por qué se produce la situación. Si en Usuarios y Equipos de Active Directory (“Active Directory Users and Computers”) mostramos las opciones avanzadas (“View / Advanced Features”), y observamos los atributos del Dominio, encontraremos una llamado “ms-DS-MachineAccountQuota” con valor de 10. Esto es lo que limita la cantidad de máquinas que puede unir al Dominio
Y el privilegio, en realidad es un Derecho, que le permite unir máquinas al Dominio está en la “Default Domain Controllers Policy”
Por lo tanto la combinación de estos dos factores, es lo que tiene como consecuencia que un usuario normal pueda unir hasta 10 máquinas al Dominio sin necesitar ningún privilegio administrativo en el Dominio, sólo administrador local
Entonces tenemos disponibles dos opciones cambiando estas configuraciones:
- Que nadie pueda unir máquinas al Dominio si no es administrador poniendo la “Quota” en cero (0). Un administrador seguirá pudiendo unir máquinas
- Asignar el privlegio a un grupo en particular, pero con una “Quota” deseada
También está disponible la delegación de crear cuentas de máquinas en las Unidades Organizativas, y por supuesto funciona, lo que en este caso no se puede limitar es la cantidad de máquinas a unir al Dominio
WindowServer 
Comentarios
Guillermo… hace falta que sea administrador local, o siendo un usuario común puede unir la maquina al dominio?… según la screen de “Default Domain Controllers Policy” dice «Authenticated Users» lo cual creo que incluye a cualquier user autenticado sea Admin o no.
Hola Hernán, tiene que ser «administrador local» y «usuario del Dominio»
Inicia sesión con un «administrador local» para poder unir la máquina al Dominio, y cuando le pide credenciales del Dominio alcanza con poner nombre/contraseña de «usuario del Dominio»
Imagina que tengo una cuenta de «usuario normal» en el Dominio, conecto mi máquina portátil a la red de la empresa (en mi máquina son administrador), y puedo unirla al Dominio :)
Buenas tardes,
tengo una consulta, por que cuando quiero unir una maquina a mi dominio estando como usuario administrador local, al momento de poner el usuario y credenciales puedo porner cualquier nombre de usuario y cualquier credenciales este me permite unirla al dominio?, realmente he notado que no hace validacion ni de usuarios ni de credenciales. le pongo cualquier cosa y permite unirla al dominio. Como puedo reparar ese error?
Saludos.
Salvo que en GPO «Default Domain Controllers Policy» alguien haya cambiado la asignación del derecho de unir máquinas al Dominio, por omisión sólo los «Usuarios autentificados», ningún otro
en la default domain controller policy lo tengo difinido quienes son los unicos que pueden unir maquinas al dominio, lo raro es que aunque le ponga cualquier credencial el me permite ingresar al dominio o desacomplar.
Hola Marlon, es no es normal, habría que conocer qué más se cambiado, y conocer más datos
Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home