'Người dùng tên miền có thể tham gia máy tính vào miền không?

Điều đó nghe có vẻ rất khó đối với tôi, nhưng chỉ cần chắc chắn: Thành viên của 'Người dùng tên miền' có thể tham gia một máy tính vào miền (được cho là anh ta có tài khoản quản trị viên cục bộ) không?

Người hướng dẫn nói điều đó, và nó có vẻ rất sai. Tôi đã kiểm tra nó và tôi nhận được 'Truy cập bị từ chối' khi tôi cố gắng cung cấp thông tin đăng nhập của người dùng thông thường. Am i thiếu cái gì ở đây?

Cập nhật: Bạn nhận được quyền truy cập từ chối nếu bạn đã có một máy tính có tên đó trong AD. Nếu bạn xóa tài khoản, bất kỳ người dùng nào có tài khoản Quản trị viên cục bộ đều có thể tham gia vào máy tính, tự động tạo tài khoản trong AD. KHÔNG THỂ TIN ĐƯỢC.

Có, họ có thể tham gia tối đa 10 máy tính theo mặc định.

Bạn có thể thu hồi quyền này, sử dụng Chính sách nhóm hoặc thay đổi số lượng tham gia được phép tối đa.

Nếu đây là một mối quan tâm của bạn, bạn hoàn toàn có thể thay đổi vị trí mặc định nơi các đối tượng máy tính mới được tạo. Đặt GPO trên vị trí đó rất hạn chế, chẳng hạn như vô hiệu hóa tài khoản Quản trị viên cục bộ và bằng cách đó, người dùng sẽ kết thúc với một máy trạm bị khóa nhiều hơn so với trước đây. Khá là không tôn trọng.

Quan điểm của Microsoft về điều này là người dùng đang chọn các chính sách bảo mật và tên miền của bạn bằng cách có khả năng kết nối các máy với miền.

Bạn cũng có thể theo dõi những người đã thêm máy vào miền của bạn và sau đó bẻ khớp sau khi thực tế nếu chúng hoạt động sai.

Phụ thuộc vào chính sách nội bộ của bạn là gì - chúng tôi có một cửa hàng rất nhỏ nhưng Devs bị cấm (theo lời của Chúa, không phải GPO) khi thêm máy vào miền.