Dea*_*ean 8 windows-server-2003 domain
这对我来说听起来不太可能,但可以肯定的是:“域用户”的成员能否将计算机加入域(假设他拥有本地管理员帐户)?
教官这么说,听起来很不对劲。我测试了它,当我尝试提供普通用户凭据时,我得到了“拒绝访问”。我在这里错过了什么吗?
更新: 如果您在 AD 中已经有一台具有该名称的计算机,您将被拒绝访问。如果删除该帐户,任何具有本地管理员帐户的用户都可以加入计算机,自动在 AD 中创建帐户。逆天。
如果您对此感到担忧,则很有可能更改创建新计算机对象的默认位置。将该位置上的 GPO 设置为非常严格,例如禁用本地管理员帐户,这样用户最终会获得比开始时更锁定的工作站。相当不利。
Microsoft 对此的看法是,用户通过将计算机加入域的能力来选择加入您的安全和域策略。
| 归档时间: |
|
| 查看次数: |
850 次 |
| 最近记录: |