Per impostazione predefinita, gli utenti standard possono aggiungere un computer al dominio. E' qualcosa che non vuoi. Inoltre, gli amministratori utilizzano il proprio account amministratore di dominio per aggiungere un computer al dominio. Sebbene sia la soluzione più semplice perché dispone di tutte le autorizzazioni, non è consigliabile. È invece necessario creare un nuovo account con autorizzazioni limitate e utilizzarlo per unire un computer a un dominio. In questo articolo imparerai come configurare un account computer per l'aggiunta al dominio.
Unisci il computer al dominio
Unire un computer a un dominio è fantastico in modo che diventino parte di esso. Tuttavia, non solo gli amministratori di dominio possono unire un computer a un dominio. Anche un account utente standard può aggiungere il computer al dominio e, una volta fatto ciò, diventerà automaticamente il proprietario del computer. Ciò dà loro la possibilità di assumere il controllo del computer e diventare amministratori locali in pochi semplici passaggi.
Per impostazione predefinita, qualsiasi utente autenticato può aggiungere fino a 10 computer al dominio. L'aggiunta della workstation all'oggetto Criteri di gruppo (GPO) del dominio determina chi è autorizzato ad accedere ai computer. Per impostazione predefinita, è impostato su Utenti autenticati. Il numero massimo di computer che ciascun utente può aggiungere è controllato dall'impostazione ms-DS-MachineAccountQuota, che per impostazione predefinita è 10.
Quando un utente aggiunge un computer al dominio, ottiene automaticamente determinati privilegi sull'oggetto computer, ad esempio GenericAll. Per evitare di concedere questi privilegi agli utenti normali, si consiglia di modificare questa impostazione e utilizzare un account dedicato appositamente per unire i computer al dominio.
Lettura consigliata:Come unire il PC Windows 11 al dominio del server Windows
Nota:Gli utenti possono aggiungere fino a 10 desktop al dominio con il proprio nome di accesso purché dispongano di un account utente nel dominio. Questo è impostato per impostazione predefinita e si consiglia di modificarlo seguendo questo articolo.
Passaggio 1. Rimuovere gli utenti autenticati da Criteri di gruppo
Rimuovi tutti gli utenti e i gruppi dalla policy di gruppo:
- Accedi aController di dominio
- InizioGestione criteri di gruppo
- Fare clic con il pulsante destro del mouse suCriterio dei controller di dominio predefiniti
- SelezionareModificare
- Vai al sentieroConfigurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Assegnazione diritti utente
- Fare doppio clic sulla politicaAggiungi workstation al dominio
- Rimuovi tutti gli utenti e i gruppi
- ClicOK
- Verificare che ilAggiungi workstation al dominiol'impostazione delle politiche èvuoto
Impostare il valore dell'attributo della quota dell'account del computer su0in AD seguendo i passaggi seguenti:
- InizioUtenti e computer di Active Directory
- Fare clic suVisualizzazione
- AbilitareFunzionalità avanzate
- Fare clic con il pulsante destro del mouse suDominio
- ClicProprietà
- Seleziona l'attributoms-DS-MachineAccountQuota
- ClicModificare
- Imposta il valore su0
- ClicOK
- Verificare che ilms-DS-MachineAccountQuotal'attributo mostra il valore0
Supponiamo di voler fare lo stesso con PowerShell.
Ottieni il valore dell'attributo ms-DS-MachineAccountQuota.
Get-ADDomain | Get-ADObject -Properties ms-DS-MachineAccountQuota Imposta ms-DS-MachineAccountQuota su0.
Set-ADdomain -Identity contoso.com -Replace @{"ms-DS-MachineAccountQuota"="0"}Passaggio 3. Crea un account dedicato
Crea un account di servizio dedicato che utilizzerai per unire i computer al dominio:
- InizioUtenti e computer di Active Directory
- Crea un account di servizio dedicato con una password complessa
- Assicurarsi che illa password non scade mail'opzione dell'account è selezionata
Passaggio 4. Concedere le autorizzazioni all'account
Concedere le autorizzazioni necessarie all'account del servizio per aggiungere, rimuovere e riconnettere il computer al dominio:
- InizioUtenti e computer di Active Directory
- Fare clic con il pulsante destro del mouse sull'impostazione predefinitaComputercontenitore
- SelezionareControllo delegato…
- ClicProssimo
- Seleziona l'account di serviziosvc-domainjoin
- ClicProssimo
- SelezionareCrea un'attività personalizzata da delegare
- ClicProssimo
- SelezionareSolo i seguenti oggetti nella cartella
- AbilitareOggetti informaticidall'elenco
- AbilitareCrea gli oggetti selezionati in questa cartella
- AbilitareElimina gli oggetti selezionati in questa cartella
- ClicProssimo
- SelezionareControllo completo(una volta cliccato sopra, verrà selezionato tutto)
Nota:SelezioneremoControllo completoperché vogliamo utilizzare l'account di servizio non solo per unire il computer al dominio ma anche per unirlo nuovamente, rimuoverlo e rinominarlo.
- Verificaloqualunque cosaè selezionato
- ClicProssimo
- ClicFine
Passaggio 5. Verifica l'account del computer aggiunto al dominio
È essenziale testare le modifiche una volta impostato tutto.
Nota:Gli amministratori possono aggiungere un computer al dominio perché dispongono di tutti i privilegi. Tuttavia, non è consigliabile utilizzare questi account e dovresti utilizzare l'account di servizio che hai creato perché dispone di privilegi minimi.
Accedi al computer e aggiungi il computer al dominio utilizzando un account utente standard. Viene visualizzato l'errore.
Utilizza l'account di servizio per aggiungere il computer al dominio e funzionerà correttamente.
Questo è tutto!
Conclusione
Hai imparato come configurare un account computer di aggiunta al dominio. Innanzitutto, impedisci agli utenti di unire un computer a un dominio. Successivamente, configura un account di servizio dedicato e utilizza questo account per unire i computer a un dominio. Assicurati che tutto il team ne sia consapevole e che non utilizzi più i propri account amministratore.
Ti è piaciuto questo articolo? Potrebbe interessarti anche la reimpostazione della password dell'account KRBTGT. Non dimenticare di seguirci e condividere questo articolo.
