Добавление рабочих станций к домену
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Добавление рабочих станций к домену.
Справочные материалы
Этот параметр политики определяет, какие пользователи могут добавлять устройство к указанному домену. Чтобы параметр вступил в силу, он должен быть назначен так, чтобы он применялся как минимум к одному контроллеру домена. Пользователь, которому назначено это право, может добавить к домену до 10 рабочих станций.
Добавление учетной записи компьютера к домену позволяет устройству работать в сетях на основе Active Directory.
Константа: SeMachineAccountPrivilege
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
- Настройте этот параметр так, чтобы добавлять устройства к домену могли только авторизованные члены ИТ-группы.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Назначение прав пользователя\
Значения по умолчанию
По умолчанию этот параметр предоставляет доступ прошедшим проверку подлинности пользователям на контроллерах домена. Он не определен на автономных серверах.
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Прошедшие проверку пользователи |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
Пользователи также могут присоединить компьютер к домену, если у них есть разрешение создавать объекты-компьютеры в подразделении (OU) или в контейнере компьютеров в каталоге. Пользователи с этим разрешением могут добавлять неограниченное количество устройств к домену независимо от того, есть ли у них право пользователя Добавление рабочих станций к домену.
При этом владельцами учетных записей компьютеров, созданных с помощью права пользователя Добавление рабочих станций к домену, являются администраторы домена. Владельцами учетных записей компьютеров, созданных посредством разрешений в контейнере компьютера, являются создатели этих учетных записей. Если у пользователя есть разрешения для контейнера, а также право Добавление рабочих станций к домену, то устройство добавляется на основе разрешений контейнера компьютеров, а не прав пользователя.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта.
Параметры политики домена.
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В отношении этой политики следует учитывать следующее.
Уязвимость
Право пользователя Добавление рабочих станций к домену представляет собой уязвимость среднего уровня. Пользователи с этим правом могут добавить устройство в домен, конфигурация которого нарушает политики безопасности организации. Например, если пользователи в организации не должны иметь права администратора на своих устройствах, они могут установить на компьютерах ОС Windows и затем добавить компьютеры к домену. Пользователь будет знать пароль для учетной записи локального администратора, он может войти в систему с использованием этой учетной записи, а затем добавить личную учетную запись домена в локальную группу "Администраторы"
Меры противодействия
Настройте этот параметр так, чтобы добавлять компьютеры к домену могли только авторизованные члены ИТ-группы.
Возможные последствия
В организациях, где пользователи никогда не имели разрешений для настройки своих компьютеров и их добавления к домену, эта мера противодействия не применяется. В организациях, где некоторые или все пользователи могли настраивать свои устройства, эта мера противодействия способствует формированию официального процесса по регулированию этих процедур. Она не влияет на существующие компьютеры, если только они не удаляются из домена и затем снова добавляются к нему.