Limitando ingresso de estações de trabalho no domínio

Com este tutorial mostramos como limitar o ingresso de estações de trabalho no domínio por usuários comuns membros do grupo Domain Users.

por Ademir Yuri

Overview

Vamos mostrar como limitar usuários comuns membros do grupo Domain Users para que não consiga ingressar estações de trabalho no domínio.

Por padrão qualquer usuário autenticado têm privilégio para ingressar até 10 estações de trabalho no domínio sem intervensão da equipe de suporte.

Para este tutorial estaremos utilizando a ferramente ADSIEDIT.MSC inclusa no Support Tools. Para saber como instalar o support tools clique aqui.

Solução

Em um controlador de domínio:

1. Ir e Start e depois em Run

2. Digitar Adsiedit.msc

3. No painel esquerdo expandir Domain, clicar em DC=seudominio com o botão direito do mouse e depois em Propriedades.

4. Na tela DC=seudominio Properties selecione o atributo ms-DS-MachineAccountQuota e clique em Edit.

5. Na tela Integer Attribute Editor no campo Value digite 0 (zero) e depois clique em OK.

6. Novamente na tela DC=seudominio observe o atributo ms-DS-MachineAccountQuota com o valor 0. Clique em OK para salvar a alteração e feche o Adsiedit.msc.

7. Com esta alteração quando um usuário de forma arbitrária for ingressar uma estação de trabalho no domínio sem o prévio conhecimento da equipe de suporte ele receberá a mensagem de erro abaixo.

Após a implementação do Support Tools, já teremos como utilizar fárias ferramentas, tais como: replmon, adsiedit.msc, ldp, dcdiag, netdiag e netdom para trabalharmos com Active Directory fora estas ferramentas temos inúmeras para Ntfrs, DFS, DNS e etc..

Conclusão

Com este tutorial mostramos como limitar o ingresso de estações de trabalho no domínio por usuários comuns membros do grupo Domain Users.

Referência

http://support.microsoft.com/?kbid=251335

http://support.microsoft.com/kb/243327