Par défaut, lorsqu’un domaine Windows est créé, les utilisateurs authentifiés ont la possibilité de joindre jusqu’à dix ordinateurs au domaine. Bien que cela puisse être très pratique du point de vue de l’utilisateur final, cela représente manifestement un risque de sécurité pour la plupart des organisations.
Il existe essentiellement deux méthodes pour résoudre ce scénario. Je mets généralement en œuvre les deux méthodes pour m’assurer que l’annulation des modifications apportées par l’une d’elles ne permette pas aux utilisateurs de poursuivre cette pratique.
Méthode n° 1
La limite de « dix » ordinateurs est régie par l’attribut ms-DS-MachineAccountQuota dans le répertoire.
vous pouvez ajuster cette limite à zéro en suivant les étapes suivantes :
Ouvrez ADSI Edit à partir du dossier Outils d'administration. Cliquez avec le bouton droit de la souris sur ADSI Edit et choisissez Connect To. Dans la section Point de connexion, choisissez Sélectionner un contexte de nommage bien connu et, dans la liste déroulante, choisissez Contexte de nommage par défaut. Cliquez sur OK. Développez Default Naming Context. Cliquez avec le bouton droit de la souris sur le dossier du domaine dc=[domain],dc=[com], et choisissez Propriétés. Sélectionnez ms-DS-MachineAccountQuota et cliquez sur Modifier. Tapez 0. Cliquez sur OK.
À lire également : Comment bloquer un domaine dans Gmail
Méthode n° 2
Vous avez également la possibilité de donner des droits aux utilisateurs et aux groupes pour ajouter des postes de travail au domaine. Par défaut, l’objet de stratégie de groupe (GPO) « Contrôleurs de domaine par défaut » fournit ce droit. À l’aide de l’éditeur de stratégie de groupe, ouvrez le GPO « Default Domain Controllers » et naviguez jusqu’à l’objet « User Rights Assignment », puis localisez le droit « Add workstations to domain ».
Modifiez ces paramètres et supprimez tous les membres répertoriés. Veillez à ne pas désélectionner l’option permettant de définir le paramètre.
Configuration des ordinateurs -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Affectation des droits d’utilisateur
Normalement, la mise en œuvre d’une seule méthode est nécessaire. Pour l’une ou l’autre méthode, vous devez vous assurer que vous laissez le temps à la réplication de se produire et à la GPO de s’actualiser (si vous choisissez la méthode n° 2) sur tous vos contrôleurs de domaine.