Отключение возможности создания учетных записей компьютера обычными пользователями в домене Active Directory

Описание и решение проблемы

По умолчанию, в домене Active Directory, любой пользователь может добавить до десяти компьютеров в домен. Данная возможность весьма сомнительна с точки зрения безопасности, особенно учитывая, что есть известные уязвимости CVE-2021-42278 и CVE-2021-42287, которые позволяют перехватывать управление доменом. Отключается это следующим образом:

1. Открываем оснастку "Active Directory - пользователи и компьютеры".
2. Открываем пункт меню "Вид", и включаем пункт "Дополнительные компоненты".
   
3. Нажимаем правой кнопкой по имени домена, и в контекстном меню выбираем пункт "Свойства".
   
4. Переходим на вкладку "Редактор атрибутов".
   
5. Находим атрибут "ms-DS-MachineAccountQuota", и открываем его двойным щелчком.
   
6. Ставим ему значение 0, после чего закрываем все ранее открытые окна нажатием кнопки "ОК".