Inicio »
» Controla quién puede unirse a tu dominio
Hay acciones que los auditores damos como hechas por ser el abc de la seguridad. Una de ellas es tan simple como "quién puede añadir máquinas a mi dominio". Lógico ¿no?. Por defecto Windows Server deja que cualquier usuario pueda añadir máquinas a un dominio hasta un máximo de 10, el único requisito es que sea Usuario Autentificado.
Poniendo barreras al entorno.
Vamos a cambiar esta política. Existen dos formas de hacerlo; la primera, sobre la directiva de controlador de dominio y la segunda cambiando un atributo del dominio.
La primera, simplemente añadimos el Grupo de usuarios permitidos para este menester en la definición de esta directiva:
La segunda opción es cambiando el atributo ms-DS-MachineAccountQuota, que define el número máximo de máquinas que puede añadir un usuario autenticado. Lo ponemos a 0 y un problema menos.
Por último, les dejo como sacar el valor definido de máquinas por usuario permitidas en Powershell.
Get-ADDomain | select -ExpandProperty DistinguishedName | Get-ADObject -Properties 'ms-DS-MachineAccountQuota' | select -ExpandProperty ms-DS-MachineAccountQuota
0 comentarios:
Publicar un comentario