保护 Active Directory：谁可以将计算机添加到域？只有域管理员吗？

“只有域管理员才能将计算机添加到域中。”我已经数不清有多少次听到这些话了。但是在安装新域时，会配置一个计数器，该计数器允许每个域用户最多向该域添加 10 台计算机。这是默认设置。该设置可以更改，并且必须在 IT 安全概念中予以考虑。

ms-DS-MachineAccountQuota

该设置可以在 dsa.msc（启用高级功能！）中找到。打开 dsa.msc（Active Directory 用户和计算机）。如果尚未启用，请启用高级功能。接下来打开域的属性（右键单击），单击属性编辑器并导航到属性 ms-DS-MachineAccountQuota。你惊喜吗？每个用户（域用户）最多可以添加 10 台计算机。

或者在 PowerShell 中运行一个简单的 One-Liner。不用关心域名。我们从 Get-ADDomain 调用它。

Get-ADObject ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

谁将 client01 添加到域中？

谁将 client01 添加到域中？ Petra 是域用户，并将 client01 添加到域中。我们可以通过运行一个简单的单行代码来看到它。好吧，我不得不承认这是一个三线。我们检查计算机帐户的 ms-DS-CreatorSID 属性。

Get-ADComputer client01 -Properties mS-DS-CreatorSID | Select-Object -Expandproperty mS-DS-CreatorSID | Select-Object -ExpandProperty Value | Foreach-Object {Get-ADUser -Filter {SID -eq $_}}

更改默认值

值为 0 表示不允许域用户添加计算机帐户。

打开域的属性并双击 ms-DS-MachineAccountQuota。修改值。该数字代表您希望用户能够添加到域中的计算机数量。我建议将其更改为 0。

或者使用 PowerShell。再次强调：不用担心域名。它将自动填写。

Set-ADDomain (Get-ADDomain).distinguishedname -Replace @{"ms-ds-MachineAccountQuota"="0"}

影响

用户被告知已达到最大数量。尝试将计算机加入域时发生以下错误：