Por padrão, todo usuário membro do grupo Domain User tem permissão para ingressar até 10 máquinas no dominio. Pelo lado da segurança, esta “permissão” pode ter consequências indesejáveis para os Administradores de Rede.
Quer um exemplo? Imagina um usuário que leva um notebook para empresa e ingressa o mesmo no domínio. Se o note é dele, muito provavelmente ele sabe a senha do Administrador local e ser for esperto mal intensionado, pode adicionar seu usuário como administrador local em seu note e ……. bom, chega de dar ideia :) vamos ao que interessa:
Para limitarmos esta quantidade, quer dizer, para zerar esta quantidade, basta executar os seguintes passos:
1º No AD, habilitar a visualização dos Recursos Avaçandos
2º Acessar as propriedades do Dominio
3º Localizar o recurso MachineAccountQuota
4º Alterar para o valor desejado – no caso, 0
Feito isso, nenhum usuário “padrão” (membro de Usuários do Dominio) poderá ingressar máquinas no Dominio,
OBS: DC Windows 2008. Win 2003, altere pelo ADSIEDIT
Em breve, vou postar sobre Delegação de Controle no AD.
[ ]´s
Gustavo Valle 