Domänenbenutzer dürfen Computer Standardmäßig zur Active Directory Domäne hinzufügen

Was vielen Administratoren nicht bekannt ist … Domänenbenutzer ( Authentifizierte User ) dürfen Standardmäßig neue Computer Objekte in der Domäne anlegen. Die maximale Anzahl der anzulegenden Computer Objekte steht per default auf 10. Es kann in manchen Umgebungen aus Sicherheitsgründen gewollt sein, das Domänenbenutzer keine Computer Objekte anlegen dürfen.

Den Standardwert kann man aber recht einfach anpassen.

Der Wert steht im Active Directory Attribut “ms-DS-MachineAccountQuota” an der Domäne. Diesen Wert kann man per ADSIEDIT.MSC oder LDP.EXE nach den eigenen Wünschen anpassen.
Schon ist die Domäne wieder ein bisschen sicherer geworden 🙂