Quién Puede Unir Máquinas al Dominio, y Cuántas

Esta nota tiene como fin cumplir con dos objetivos diferentes, uno relativo a seguridad, y otro a delegación de una tarea que normalmente quiere reservarse a sólo los administradores

Vamos la primera ¿Sabe que un usuario normal puede unir máquinas al Dominio? Sí, puede, hasta 10 máquinas puede unir al Dominio, lo cual puede traer incontables problemas, desde la instalación automática de aplicaciones hasta Escritorio Remoto, en ambos casos con consumos de licencias. Y aún sin tener en cuenta que de esta máquina seguramente es administrador local, y lo que puede provocar en la red

Y la segunda, es que a veces los administradores, ahora sí, quieren delegar que algún grupo de usuarios pueda unir una cantidad determinada de máquinas al Dominio, pero no 10, seguramente querrán otro número, esto también lo podemos solucionar fácilmente

Primero veamos por qué se produce la situación. Si en Usuarios y Equipos de Active Directory (“Active Directory Users and Computers”) mostramos las opciones avanzadas (“View / Advanced Features”), y observamos los atributos del Dominio, encontraremos una llamado “ms-DS-MachineAccountQuota” con valor de 10. Esto es lo que limita la cantidad de máquinas que puede unir al Dominio

MQUOTA-01

Y el privilegio, en realidad es un Derecho, que le permite unir máquinas al Dominio está en la “Default Domain Controllers Policy”

MQUOTA-02

Por lo tanto la combinación de estos dos factores, es lo que tiene como consecuencia que un usuario normal pueda unir hasta 10 máquinas al Dominio sin necesitar ningún privilegio administrativo en el Dominio, sólo administrador local

Entonces tenemos disponibles dos opciones cambiando estas configuraciones:

  • Que nadie pueda unir máquinas al Dominio si no es administrador poniendo la “Quota” en cero (0). Un administrador seguirá pudiendo unir máquinas
  • Asignar el privlegio a un grupo en particular, pero con una “Quota” deseada

 

También está disponible la delegación de crear cuentas de máquinas en las Unidades Organizativas, y por supuesto funciona, lo que en este caso no se puede limitar es la cantidad de máquinas a unir al Dominio

 

Anuncios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • Hernan  El 12/11/2015 a las 20:15

    Guillermo… hace falta que sea administrador local, o siendo un usuario común puede unir la maquina al dominio?… según la screen de “Default Domain Controllers Policy” dice “Authenticated Users” lo cual creo que incluye a cualquier user autenticado sea Admin o no.

    • Guillermo Delprato  El 13/11/2015 a las 07:03

      Hola Hernán, tiene que ser “administrador local” y “usuario del Dominio”
      Inicia sesión con un “administrador local” para poder unir la máquina al Dominio, y cuando le pide credenciales del Dominio alcanza con poner nombre/contraseña de “usuario del Dominio”
      Imagina que tengo una cuenta de “usuario normal” en el Dominio, conecto mi máquina portátil a la red de la empresa (en mi máquina son administrador), y puedo unirla al Dominio :)

  • Marlon Garcia  El 07/02/2018 a las 16:44

    Buenas tardes,
    tengo una consulta, por que cuando quiero unir una maquina a mi dominio estando como usuario administrador local, al momento de poner el usuario y credenciales puedo porner cualquier nombre de usuario y cualquier credenciales este me permite unirla al dominio?, realmente he notado que no hace validacion ni de usuarios ni de credenciales. le pongo cualquier cosa y permite unirla al dominio. Como puedo reparar ese error?

    Saludos.

    • Guillermo Delprato  El 07/02/2018 a las 18:18

      Salvo que en GPO “Default Domain Controllers Policy” alguien haya cambiado la asignación del derecho de unir máquinas al Dominio, por omisión sólo los “Usuarios autentificados”, ningún otro

  • Marlon Garcia  El 07/02/2018 a las 18:38

    en la default domain controller policy lo tengo difinido quienes son los unicos que pueden unir maquinas al dominio, lo raro es que aunque le ponga cualquier credencial el me permite ingresar al dominio o desacomplar.

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: