Кто имеет право ввести компьютер в домен?
 

Всем добрый день!
Возник такой вопрос - кто имеет право ввести компьютер в домен?
А возник он вот почему - недавно сотрудник ввел ноутбук в домен из под учетки, которая не относится к группе администраторов домена. На ноуте стоит WInXP, вероятно с SP2 (но тут не уверен). Человек в свойствах системы поставил галочку "является членом домена", указал свою пару логин/пароль и ноут стал членом домена. При этом учетная запись сотрудника является членом 2х групп - "domain users" и "группа1", а в группе "группа1" вкладка "член групп" пустая. Ноут был введен в домен под именем comp1, при этом заранее эта учетная запись не была создана, соответственно ввести ее в домен мог только администратор домена (при создании новой учетной записи в AD в графе "Присоеденить к домену этот компьютер могут пользователь или группа пользователей, указанные ниже:" стоит "Умолчание: администраторы домена").
Справшивается - как этот ноут стал членом домена?

Любой пользователь домена по умолчанию может ввести в домен 10 компьютеров.

...если это определено политикой.
Посмотреть, кто имеет право на присоединение компьютеров к домену, можно в групповой политике - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Назначение прав пользователя - Добавление рабочих станций к домену.

2monkkey, а как это оключить? И какой смысл в этом? И потом - если каждый пользователь может ввести машину в домен, то зачем при создании учетки компьютера в AD можно указать кто этот комп может ввести в домен?
2dimich22, ты пропустил ветку "Локальные политики". А политика "Добавление рабочих станций к домену" не определена.

qwerty123123, да, Локальные политики пропустил. Посмотри свойства контейнера Computers (вкладка безопасность) в оснастке Active Directory Users and Computers.

С этим похоже разобрался - если явно указать пользователя, то другой пользователь эту машину ввести в домен не сможет.
А можно узнать кому именно разрешено вводить машину в домен после того как учетка создана? Или только искать явно указанного пользователя на вкладке безопасность?

qwerty123123,
Администраторам Домена -100%

Указаны только стандартные группы - Account operators, Domain admins, Enterprise admins, Pre-Windows compatible access, Print operators, System, Администраторы, Контроллеры домена прдприятия и прошедние проверку. Причем у группы прошедшие проверку (а сотрудник входит только в эту группу, насколько я понимаю) разрешение только на запись.
P.S. Этот сотрудник также является членом группы Pre-Windows compatible access, т.к. в нее входит группа ВСЕ, но у группы Pre-Windows compatible access права также только на чтение...

Так что получается - нельзя запретить обычным пользователям вводить компы в домен?

qwerty123123,
Можно. Правой кнопкой по домену - Security - Advanced - находим группу Autheficated Users, Edit - ставим галку Deny в строке Create Computer Objects, что перекроет заданное по умолчанию разрешение добавлять компьютеры в домен.

monkkey, cпасибо.
Но тогда вопрос - почему если изначально запрета нет и пользователь может создавать компьютер объекты, то при просмотре действующих разрешений конкретного пользователя у него не отображается это разрешение? Или срабатывает принцип "разрешено то, что не запрещено"? И еще - зачем нужна подобная практика ввода компьютеров в домен простыми пользователями, если можно дать разрешение конкретному пользователю при создании компьютера в AD?

qwerty123123,
Вопросы не ко мне, а к создателям Windows. Разрешение не отображается потому, что в ГП Computer Settings - Windows settings - Security Settings - User Rights Assignment - Add workstations to domain - Properties - Explain написано
Default: Authenticated Users on domain controllers.
А расписывать все галочки, наверное, им было слишком сложно )))

Уважаемый monkkey , а в какой оснастке надо щелкнуть правой кнопкой?

altnboy, в Active Directory - пользователи и компьютеры выбрать вид и поставить галочку "Дополнительные функции", после этого ПКМ на домене -> Свойства и далее по тексту