Benutzer-Berechtigung zum Hinzufügen von Computern zum AD entfernen

Standardmäßig besitzen Benutzer einer Active Directory Domain nach deren Konfiguration das Recht, bis zu 10 Computer zur Domain in den Computers-Container hinzuzufügen, ohne weitere administrative Rechte zu benötigen. Dies stellt offensichtlich ein Sicherheitsrisiko da und sollte geändert werden.

Diese „10-Computer-Policy“ ist durch das ms-DS-MachineAccountQuota Attribut der Domain definiert und kann über ADSI-Edit auf 0 gesetzt werden.

1. Öffnet ADSI Edit aus dem Administrative Tools Ordner oder über Start -> Run -> adsiedit.msc
2. Rechts-Klick auf ADSI Edit und wählt Connect To.
3. Im Abschnitt Connection Point wählt Select A Well Known Naming Context und wählt Default Naming Context aus der Drop-Down Liste.
4. Klickt auf OK.
5. Erweitert Default Naming Context.
6. Rechts-Klick auf den dc=[domain],dc=[com] Domain Ordner und wählt Properties.
7. Sucht das Attribut ms-DS-MachineAccountQuota und klickt auf Edit.
8. Ersetzt den vorhanden Wert mit 0.
9. Klickt OK und beendet ADSI-Edit.

Wichtig ist darauf zu achten, dass die Cluster Computer Accounts weiterhin das Recht haben müssen, Computer Objekte anzulegen. Daher müssen diese explizit dazu berechtigt werden.