Отключение возможности создания учетных записей компьютера обычными пользователями в домене Active Directory

  • 25.03.2025
  • 1 602
  • 1
  • 1
  • 1
  • 0
Отключение возможности создания учетных записей компьютера обычными пользователями в домене Active Directory

Описание и решение проблемы

По умолчанию, в домене Active Directory, любой пользователь может добавить до десяти компьютеров в домен. Данная возможность весьма сомнительна с точки зрения безопасности, особенно учитывая, что есть известные уязвимости CVE-2021-42278 и CVE-2021-42287, которые позволяют перехватывать управление доменом. Отключается это следующим образом:

  1. Открываем оснастку "Active Directory - пользователи и компьютеры".
  2. Открываем пункт меню "Вид", и включаем пункт "Дополнительные компоненты".
  3. Нажимаем правой кнопкой по имени домена, и в контекстном меню выбираем пункт "Свойства".
  4. Переходим на вкладку "Редактор атрибутов".
  5. Находим атрибут "ms-DS-MachineAccountQuota", и открываем его двойным щелчком.
  6. Ставим ему значение 0, после чего закрываем все ранее открытые окна нажатием кнопки "ОК".
Была ли эта статья Вам полезна?

Комментарии к статье (1)

    • VLAN

    Тем временем, групповые политики просто существуют

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Напоминаем Вам, что Ваше сообщение будет опубликовано только после проверки администратором сайта. Обычно это занимает 1-2 рабочих дня.