[решено] Кто имеет право ввести компьютер в домен?

monkkey · Отправлено: **09:46, 10-08-2007** | #2

Любой пользователь домена по умолчанию может ввести в домен 10 компьютеров.

dimich22 · Отправлено: **09:55, 10-08-2007** | #3

...если это определено политикой.
Посмотреть, кто имеет право на присоединение компьютеров к домену, можно в групповой политике - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Назначение прав пользователя - Добавление рабочих станций к домену.

Michael · Отправлено: **10:08, 10-08-2007** | #4

2monkkey, а как это оключить? И какой смысл в этом? И потом - если каждый пользователь может ввести машину в домен, то зачем при создании учетки компьютера в AD можно указать кто этот комп может ввести в домен?
2dimich22, ты пропустил ветку "Локальные политики". А политика "Добавление рабочих станций к домену" не определена.

dimich22 · Отправлено: **10:17, 10-08-2007** | #5

qwerty123123, да, Локальные политики пропустил. Посмотри свойства контейнера Computers (вкладка безопасность) в оснастке Active Directory Users and Computers.

Michael · Отправлено: **10:24, 10-08-2007** | #6

Цитата qwerty123123:

И потом - если каждый пользователь может ввести машину в домен, то зачем при создании учетки компьютера в AD можно указать кто этот комп может ввести в домен?

С этим похоже разобрался - если явно указать пользователя, то другой пользователь эту машину ввести в домен не сможет.
А можно узнать кому именно разрешено вводить машину в домен после того как учетка создана? Или только искать явно указанного пользователя на вкладке безопасность?

Butunin Klim · Отправлено: **10:26, 10-08-2007** | #7

qwerty123123,
Администраторам Домена -100%

Michael · Отправлено: **10:34, 10-08-2007** | #8

Цитата dimich22:

Посмотри свойства контейнера Computers (вкладка безопасность) в оснастке Active Directory Users and Computers.

Указаны только стандартные группы - Account operators, Domain admins, Enterprise admins, Pre-Windows compatible access, Print operators, System, Администраторы, Контроллеры домена прдприятия и прошедние проверку. Причем у группы прошедшие проверку (а сотрудник входит только в эту группу, насколько я понимаю) разрешение только на запись.
P.S. Этот сотрудник также является членом группы Pre-Windows compatible access, т.к. в нее входит группа ВСЕ, но у группы Pre-Windows compatible access права также только на чтение...

Michael · Отправлено: **08:32, 13-08-2007** | #9

Так что получается - нельзя запретить обычным пользователям вводить компы в домен?

monkkey · Отправлено: **10:54, 13-08-2007** | #10

qwerty123123,
Можно. Правой кнопкой по домену - Security - Advanced - находим группу Autheficated Users, Edit - ставим галку Deny в строке Create Computer Objects, что перекроет заданное по умолчанию разрешение добавлять компьютеры в домен.